Uniklá hesla Dropboxu ukazují na konec hesel, jak je známe

Teoretický únik sedmi milionů hesel uživatelů cloudového úložiště Dropbox.com poukazuje nejenom na nutnost využívat dodatečné možnosti zabezpečení přihlašování (dvoufaktorová autentizace), ale také na konec hesel tak jak je doposud známe. Zatímco používání dvoufaktorové autentizace je snadné (tam kde je podporována provozovatelem), změna mechanismu a návyků týkajících se používání hesel je dlouhodobá a problematická záležitost.

V pondělí se na službě Pastebin.com objevil dokument obsahující čtyři stovky e-mailu a hesel, které měly být získaný hacknutím populární služby Dropbox. Ta slouží jako cloudové úložiště pro miliony uživatelů a neznámý útočník tvrdí, že má zhruba sedm milionů údajů o účtech.

Dropbox samotný uvádí, že k hacknutí služby samotné nedošlo, ale že se opakuje stejné schéma jako v předchozích případech, e-maily a hesla byly získány z jiných služeb a poté použity pro přihlášení do Dropboxu – útočníci tím byli schopni vytvořit seznam e-mailů a hesel, které je možné použít. Dropbox samotný tvrdí, že většina z těchto hesel už neplatí.

V praxi to tedy znamená, že útočníci velmi pravděpodobně například zkusili vzít některý z velkých úniků v minulosti a postupným zkoušením ověřili, že kombinace e-mailu a hesla platí i pro Dropbox. Klasický případ, kdy uživatelé používají jedno heslo pro více služeb, něco co by v případě důležitých služeb na Internetu rozhodně neměli dělat.

Dropbox v tomto případě opět doporučuje aktivovat dvoufaktorovou autentizaci, tedy totéž co je už delší dobu nutné používat u služeb, kde chcete mít jistotu, že se někdo nedostane do vašeho účtu sociálním inženýrstvím, hrubou silou nebo tím, že jste nedodržovali dostatečně bezpečná hesla. Dvoufaktorová autentizace spočívá v použití mobilních telefonů jako dodatečného prvku pro získání (v případě ověření přes SMS) nebo vygenerování (v případě mobilních aplikací) dodatečného ověřovacího kódu. Do takto chráněného účtu se je pak možné přihlásit pouze, pokud potvrdíte klasické přihlášení heslem ještě právě tímto dodatečným kódem.

Z tohoto i předchozích úniků (viz nedávný únik @gmail adres s hesly i další úniky předtím) je zřejmé, že pokud jakákoliv důležitá služba na Internetu nenabízí dvoufaktorovou autentizaci, je potřeba provozovatele k tomuto velmi rychle dotlačit a uživatelé se musí naučit tuto dodatečnou ochranu používat.

Otázkou samozřejmě zůstává, jaká je vlastně budoucnost hesel. Hesla, tak jak je známe doposud, jsou dnes z velké části mrtvá a nepraktická. Jsou příliš snadno zneužitelná a potřeba složitých hesel spolu s nutností mít jiná hesla pro každou službu je dělá obtížně použitelnými i pro samotné uživatele. Systém přihlašování čekají změny, které dnes naštěstí jsou možné právě díky existenci mobilních telefonů a snadné dostupnosti mobilních aplikaci i mobilního internetu.

Mobilní aplikace sloužící jako ochrana pro přihlašování k internetovým službám ale samozřejmě budou znamenat, že se tyto stanou kritickým prvkem v zabezpečení. Otázka toho jak podobné aplikace budou vytvořeny a zda nebudou obsahovat bezpečnostní chyby (a možností obejít tyto mechanismy) je také poměrně důležitou s ohledem na bezpečnost přihlašování do počítačových systémů.

Samotnou kombinaci přihlašovacího jména/oceneni-a-uspechye-mailu a hesla ale bohužel zatím nic hned tak nenahradí. Byť by trochu pomohlo, aby e-mail přestal být univerzálně použitelným přihlašovacím jménem. Pohodlí pro uživatele zde paradoxně přináší také pohodlí pro účastníky – stačí znát e-mail a ten otevírá možnosti na všech internetových službách, kde ho uživatel mohl použít.

Safetica radí, jak správně pracovat s hesly na Internetu

Systém přihlašovacích údajů, na kterém je založen internet, je poměrně problematický, ale bohužel prozatím nenahraditelný. V praxi totiž znamená, že uživatelé si zjednodušují život a jedno heslo používají na řadě služeb. Navíc velmi často používají hesla, která jsou velmi snadná na zapamatování a tím také na odhalení (ne nadarmo je nejvíce používané heslo na světě 12345).

Správná práce s hesly by především měla zahrnovat používání tzv. silných hesel. Tedy takové kombinace písmen, symbolů a číslic, která není snadno odhalitelná. A zároveň by nemělo jedno heslo být použito na více místech. Nejpraktičtější je navíc nemyslet na heslo jako na jedno slovo, ale třeba na posloupnost slov – taková hesla jsou jednodušeji zapamatovatelná a prakticky neodhalitelný běžnými způsoby.

Pro služby jako je Gmail, Facebook, Linkedin, Twitter, Dropbox (obecně jakékoliv, které jsou významnější) je navíc velmi vhodné uvažovat o využití tzv. dvoufaktorové autentizace. Ta spočívá v propojení přihlašování pomocí jména a hesla s mobilním telefonem (nebo jiným zařízením umožňujícím generovat unikátní kódy). Pokud se někdo chce přihlásit na takto chráněný účet, musí přihlášení po zadání jména a hesla ještě potvrdit v aplikaci na mobilním telefonu nebo zadáním kódu, který mu je poslán do mobilního telefonu.

Dobrým pomocníkem pro práci s hesly na Internetu jsou různé generátory unikátních hesel a programy umožňující bezpečně zapamatovat si (a také vyplnit) hesla na jednotlivých webech. Něco takového například v jednodušší podobě nabízí Google Chrome, v pokročilejší podobě je možné využít některé ze správců hesel jako je LastPass, KeePass či 1Password, řešení zpravidla dostupná zdarma. Správa hesel a generování hesel je součástí i profesionálních bezpečnostních řešení, jako je třeba česká Safetica.

Systémy na správu hesel navíc umožní přihlašovací údaje synchronizovat napříč počítači, v některých případech i na mobilní zařízení jako jsou tablety či telefony. Použití Google Chrome na Androidu či iOSu nabízí také něco podobného a zjednodušuje život. A může pomoci tam, kde by se uživatel bránil složitějšímu heslu z důvodu obtížného zadávání na mobilním zařízení.

Správci hesel vám mohou zpravidla pomoci odhalit, zda někde nepoužíváte stejné heslo vícekrát a nová hesla vám vytvoří na jedno kliknutí. Případně nutná změna hesel po úniku z nějaké služby je tak podstatně jednodušší.