Prevence

Politiku hesel se vyplatí nepodceňovat

12 min. čtení

Hesla dnes používají všichni. A většina z nás jich má příliš mnoho na to, aby si je zapamatovala, a proto často recyklujeme stejná hesla pro více účelů, jak už osobních, tak firemních. Právě přihlašovací údaje jsou pro kyberútočníky stále nejžádanějším artiklem. Když získají údaje vašich zaměstnanců, pokusí se proniknout dále do vaší společnosti.

Zkušenosti našich bezpečnostních expertů potvrzují i další průzkumy, například závěry zprávy společnosti Verizon „2021 Data Breach Investigations Report“, která se zaměřuje na případy úniku dat ve firmách. Analytici v ní zjistili, že 46 % subjektů byly malé firmy. Podle studie zůstávají přihlašovací údaje nejžádanějšími daty. Takové údaje potom kyberzločinci používají k získání dalšího přístupu do společnosti.

Stejná studie také zjistila, že 80 procent incidentů souvisejících s kyberútoky využilo slabých nebo opakovaných hesel v dotčené firmě. Podle Světového ekonomického fóra byla hesla také nejzranitelnějším místem organizací během pandemie COVID-19. Nejrychlejší krok, jak se v takových statistikách neobjevit, je zaměřit se na nastavení takové interní politiky hesel, která útočníkům zkomplikuje práci.

Aktuální hrozby pro hesla 

Naši analytici pravidelně sledují útoky v Česku a varují před nimi. V případě operačního systému Windows se v Česku nejčastěji útočí na přihlašovací údaje pomocí password stealerů. Ve většině posledních měsíců jde o polovinu detekovaného malware u nás. Tento typ hrozeb se zaměřuje na přihlašovací údaje uložené v prohlížečích a šíří se spamem.

Slabé heslo = žádné heslo

V roce 2022 podle CyberNews.com patřila mezi ta nejčastější například po sobě jdoucí řady čísel, “qwerty” nebo „password“. To je jako nepoužívat žádné heslo. 

Mezi další faktory, které klasifikují heslo jako slabé, patří osobní údaje, jako jsou jména členů rodiny a domácích mazlíčků, narozeniny a adresy. Kyberzločinci mohou tyto informace snadno zjistit pomocí jednoduchého vyhledávání na webu a vygenerovat tisíce náhodných kombinací hesel, aby se mohli nabourat do vašich účtů.

Jakmile přiřadí správné heslo k účtu, nic jim nebrání v tom, aby se přihlásili ke všem vašim dalším účtům, které používají stejné přihlašovací údaje. Z tohoto důvodu webové stránky a aplikace doporučují uživatelům, aby volili čísla, speciální znaky a kombinace velkých a malých písmen, a tím svá hesla co nejlépe ochránili. Tyto detaily přidávají exponenciálně více možností, jaká mohou vaše hesla být, a tím se stávají pro hackery méně předvídatelnými.

Jak si tvoří hesla Češi 

Lidé často tíhnou k tvorbě snadno zapamatovatelných hesel a uživatelé v České republice nejsou výjimkou. Jak jsou na tom vaši kolegové s tvorbou hesel? Podle našeho průzkumu z jara 2021 sází čeští uživatelé na složitost a unikátnost. Do jaké míry se tím v praxi řídí, je otázka. Podle našich dat si totiž 61 % uživatelů hesla pamatuje, což u těch odolných a komplexních není možné. Třetina lidí si hesla zapisuje a pouze čtvrtina používá správce hesel.

S unikátností si také většina uživatelů hlavu neláme. Jen 32 % uvádí, že má unikátní heslo do všech služeb, 39 % má několik hesel, která se náhodně opakují, 22 % má několik hesel podle typu služby a 7 % dokonce používá jen jediné heslo.

Podobné výsledky vykázal i celosvětový průzkum společnosti Google. Opakující se hesla používá 52 % uživatelů a 13 % uživatelů má ke všem účtům pouze jediného heslo.

Proč k heslům nejde přistupovat ekologicky 

V podstatě z dat plyne, že naprostá většina uživatelů více či méně hesla recykluje. Jedná se o jednu z nejčastějších chyb, ke které se uživatelé uchylují.

Nejzávažnějším problémem při recyklaci hesel je tzv. credential stuffing. Jedná se o útok, při kterém jsou služby, typicky různé webové stránky, bombardovány zombie zařízeními zadávajícími odcizené přihlašovací údaje. 

Útočící klienti botnetu získávají kombinace uživatelských jmen a hesel z předchozích úniků dat a automaticky se cílových serverů dotazují, dokud nenarazí na padnoucí kombinaci a nezískají odpovídající přístup. V roce 2018 stál právě tento typ útoku za 30 miliardami pokusů o přihlášení.  

Jak zjistit, jestli je mé heslo bezpečné a v bezpečí?

Sílu hesla si lze ověřit na internetu. Za jak dlouho lze konkrétní heslo prolomit pomocí slovníkového útoku lze vidět na stránce howsecureismypassword.net. Při ověřování síly hesla z bezpečnostních důvodů doporučujeme nezadávat existující heslo, ale jeho přibližnou obdobu.

Jestli dané přihlašovací údaje byly součástí jakéhokoliv úniku hesel, je možné zjistit na webu haveibeenpwned.com. Uživatelé na stránce najdou i doporučení, jak postupovat, pokud jejich údaje součástí úniku byly.

Význam druhého faktoru

Pro firmy, které provozují jakékoli přihlašování, je zastavení slovníkových útoků a credential stuffingu dost oříšek. Možnosti firem, jak vynucovat jedinečná hesla, jsou také omezené – jeden znak navíc bezpečnosti příliš nepomůže, byť je najednou heslo unikátní.

Doporučujeme proto přistoupit k dalšímu kroku – vícefázovému ověření (MFA). Optimální je mít jej povinně zapnuté u všech klíčových služeb, ale i třeba soukromých sociálních sítích. Vyzkoušet můžete náš ESET Secure Authentication, řešení nabízí ověření identity pomocí hardwarového klíče, SMS nebo nejbezpečněji mobilní aplikace s využitím biometrie a push notifikací.

6 základních pravidel pro dobrou politiku hesel

1. Definujte politiku jednoduše a srozumitelně  

Popište pravidla tak, aby obsahovala všechny důležité informace – například délku hesla, složitost a maximální počet neúspěšných pokusů o přihlášení. 

2. Vynucujte na všech úrovních respektování pravidel 

Všichni zaměstnanci musí dodržovat firemní zásady bezpečnosti hesel, včetně těch nejvýše postavených. Právě ti jsou často terči útoků.

3. Ukládejte hesla bezpečně 

Uložte uživatelská hesla jako tzv. salted hash a použijte hashovací algoritmus speciálně navržený pro ukládání hesel.

4. Využívejte zakázané seznamy 

Vytvořte „blacklist“ nejčastějších, slabých nebo dříve zneužitých hesel a ve firemní síti je zakažte.

5. Neměňte hesla často 

Expirace hesel je nyní praxí, kterou například NIST i britské Národní centrum pro kybernetickou bezpečnost (NCSC) nedoporučují. Změnu radí jen v případě, že došlo ke kompromitaci hesla. Pokud jsou uživatelé nucení měnit hesla příliš často, pravděpodobně si budou volit hesla jednodušší nebo zvolí triviální strategii, jako je přidání čísla nebo písmena na konec hesla a jejich následné zvýšení při každé změně. Oba přístupy mají za následek slabší ochranu firemního systému. Pokud má firma pravidelnou změnu hesel ve své bezpečnostní politice, obecně by změny neměly být častější než jednou za čtvrt roku. 

6. Aplikujte tato pravidla na celou infrastrukturu včetně IoT 

Pravidla pro tvorbu hesel by měla zahrnovat všechna hesla chránící zařízení a systémy, zejména IoT, jako jsou bezpečnostní kamery, inteligentní huby a routery. Pokud tato zařízení nemají správnou konfiguraci nebo využívají defaultní nastavení, roste riziko, že útočníci tuto chybu zabezpečení najdou a zneužijí.

7. Vzdělávejte (se) 

Vysvětlujte všem kolegům, jak si bezpečná hesla tvořit, jak je spravovat, a proč je to důležité. V rámci pravidel vynucujte unikátní hesla a zakažte jejich recyklaci. Tyto dovednosti ostatně všichni využijí i v soukromém životě. Pokud si se školením nevíte rady, sdílejte video níže nebo se obraťte na naše techniky.