Jmenuji se …@...cz

Pokud nejste dítětem Elona Muska máte pravděpodobně „normální“ jméno.

Nevím, kdo přišel jako první s myšlenkou používat jako přihlašovací jméno - emailovou adresu. Vůbec mi to nepřijde jako šťastný nápad. Na první pohled se to zdá jako skvělá myšlenka! Málokomu se asi stane, že by zapomněl svoji emailovou adresu a tak se vyřeší problém, který má čas od času každý uživatel – jaké jsem tam použil přihlašovací jméno a o heslu nemluvě. Protože hesla se zapomínaly a zapomínají, znalost přihlašovacího jména je alespoň polovina cesty k jeho obnově. Představte si, že jste zapomněli obojí, potom asi obnova přihlášení nebude triviální úlohou.

Ale jak to tak bývá, dobré úmysly dláždí cestu do pekla. Takže si zopakujme, že cca 80 % všech současných úspěšných útoků je realizováno přes prolomení nebo zcizení hesla či nezabezpečené porty a služby. Aby se kdokoliv, tedy i hacker mohl někde přihlásit, potřebuje jednak jméno a také heslo. Jméno tedy není pro něj problém.

Předpokládám, že zjistit můj služební email je otázka sekund pokud máte připojení na Internet, a tady číhá ta nešťastná věc, která pomáhá hackerům. Mají moje přihlašovací jméno a teď už jim zbývá, se jenom vypořádat s mým heslem. Já jako uživatel s bezpečnostním povědomím se jim to snažím znepříjemnit. Takže nepoužívám služební, snadno dohledatelný email pro přihlašování k službám, které nesouvisí s mou prací (tam to bohužel moc nejde obejít). Z vlastní zkušenosti si však troufám tvrdit, že je mezi námi spousta uživatelů, která to tak nemá a která klidně použije služební email k přihlášení na eshop nebo do videopůjčovny.

Druhou věcí už je pak heslo, ale o tom se nechci nějak zvlášť rozepisovat (až někdy příště). Když jsem zmínil, že se provádějí útoky na hesla, nepředstavujte si jenom nějaký „tupý“ útok hrubou silou (zkoušení všech možných kombinací), ale jedná se většinou o promyšlené metody kombinující jak technické provedení, tak manipulaci uživatele.

Častým cílem jsou pak právě mechanismy pro samoobslužnou obnovu hesla uživatele a opět má útočník usnadněnou úlohu díky tomu, že zná naši emailovou adresu. Způsobů, jak toho zneužít je více a vždy záleží na konkrétním systému. Nebudu teď konkrétní, jak to udělat. Víte však, který systém obnovy hesla je dnes považován za „nejpitomější“, přestože je a byl často používán? Je to využití kontrolní otázky. Jde o to, že hackeři dokážou na první pokus uhodnout resetovací otázku ve 20 % případů, v 16 % případů lze odpověď na otázku nalézt na sociální síti a ve 40 % si odpověď nepamatují samotní uživatelé. Ostatně svoje by o tom řekla třeba US politička Sarah Palin, jejíž webmail hackli školáci. Mimochodem, pokud jsme u toho, kontrolní otázka není vědomostní test a tak si tam můžete dát jakoukoliv odpověď, pokud si ji budete pamatovat.

Nespoléhejte na to, že se vaši uživatelé dokážou vždy sami ubránit, chystejte je na to, trénujte je. Bohužel se dá čekat, že ten útok jednou přijde.

Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš byznys a velikost, klidně se obraťte na AUTOCONT. Rádi vám poradíme a jak se říká, za zeptání nic nedáte. :-) AUTOCONT ví jak.

Zájem ?