Úpadok hesiel

Hesl├í boli met├│dou autentifik├ície d├ívno pred vyn├ílezom modern├Żch technol├│gi├ş a kybernetickej bezpe─Źnosti; ÔÇ×Hesl├íÔÇť kedysi pou┼ż├şvali starovek├ę spolo─Źnosti na umo┼żnenie vstupu do exkluz├şvnych priestorov a na zabr├ínenie vstupu cudzincom. Dnes pou┼ż├şvame hesl├í na ochranu citliv├Żch inform├íci├ş, overovanie toto┼żnosti a obmedzenie pr├şstupu k na┼íim ├║─Źtom – je tu len jeden probl├ęm – hesl├í samy osebe nerobia dos┼ą na to, aby zabr├ínili neopr├ívnen├ęmu pr├şstupu.

Hesl├í s├şce v bl├şzkej dobe ├║plne nezanikn├║, ale aby boli spotrebitelia citliv├Żch ├║dajov skuto─Źne chr├ínen├ş, mal├ę a stredn├ę podniky a ve─żk├ę podniky bud├║ musie┼ą roz┼í├şri┼ą pou┼ż├şvanie hesiel implement├íciou met├│d viacfaktorovej autentifik├ície (MFA) do svojich pl├ínov prevencie straty ├║dajov. V pr├şpade MFA je mo┼żn├ę zabr├íni┼ą neopr├ívnen├ęmu pr├şstupu pou┼ż├şvan├şm viacer├Żch foriem overenia vo vz├íjomnom spojen├ş.

Listy, konferencie a ─Ćal┼íie inform├ície o hed┼żov├Żch fondoch za 4. ┼ítvr┼ąrok 2019

Identita ako slu┼żba a probl├ęm s heslami

Hesl├í s├║ teoreticky jedine─Źn├Ż re┼ąazec znakov, ktor├Ż pozn├í iba ur─Źen├Ż pou┼ż├şvate─ż. Pod─ża LastPass je skuto─Źne ┼ąa┼żk├ę zapam├Ąta┼ą si skuto─Źne jedine─Źn├ę hesl├í Spr├íva o psychol├│gii hesiel, ┼íokuj├║ce 59% op├Żtan├Żch pou┼ż├şvate─żov opakovane pou┼ż├şva rovnak├ę heslo, pri─Źom v pr├şpade ├║niku hesla v d├┤sledku poru┼íenia ochrany ├║dajov zostan├║ v┼íetky ich ├║─Źty a citliv├ę ├║daje zranite─żn├ę. Po spusten├ş o─Źak├ívan├Żch streamovac├şch slu┼żieb Disney+ sa predpokladalo, ┼że tis├şce ├║─Źtov boli naru┼íen├ę pri poru┼íen├ş ochrany ├║dajov. Pri ─Ćal┼íom vy┼íetrovan├ş incidentu spolo─Źnos┼ą Disney nena┼íla ┼żiadne d├┤kazy o vn├║tornom poru┼íen├ş. ┼ápekulovalo sa, ┼że tieto ├║─Źty boli napadnut├ę pou┼ż├şvate─żmi pou┼ż├şvaj├║cimi rovnak├ę pou┼ż├şvate─żsk├ę men├í a hesl├í, ktor├ę boli predt├Żm ukradnut├ę pri predch├ídzaj├║cich poru┼íeniach.

Pre kohoko─żvek, kto m├í v minulosti opakovan├ę pou┼żitie prihlasovac├şch ├║dajov, v├ís slu┼żba Doned Been Pwned zalo┼żen├í na darovan├ş m├┤┼że upozorni┼ą na poru┼íenie slu┼żieb, ktor├ę maj├║ ├║─Źty priraden├ę k v├í┼ímu e-mailu.

─Äal┼íou zranite─żnos┼ąou hesiel je potreba datab├ízy na ich ulo┼żenie. Napriek tomu, ┼że na zamaskovanie a ochranu hesiel existuje ┼íirok├í ┼ík├íla ┼íifrovac├şch technol├│gi├ş, v napadnutej datab├íze bud├║ ─Źasto nakoniec pou┼ż├şvate─żsk├ę men├í a hesl├í dek├│dovan├ę a uniknut├ę, ─Ź├şm sa ponechaj├║ ├║─Źty pre in├ę slu┼żby pou┼ż├şvaj├║ce rovnak├ę hesl├í otvoren├ę pre pr├şstup neopr├ívnen├Żch pou┼ż├şvate─żov.

Identita ako slu┼żba (IDaaS)

Poskytovatelia identity ako slu┼żby (IDaaS), ako napr├şklad OneLogin a Centrify, pom├íhaj├║ zaisti┼ą a spravova┼ą online identity pre organiz├ície prostredn├şctvom funkci├ş na spr├ívu ident├şt a pr├şstupu (IAM) vr├ítane technol├│gi├ş jednotn├ęho prihl├ísenia (SSO), ktor├ę umo┼ż┼łuj├║ svojim klientom spravova┼ą ve─żk├Ż po─Źet pou┼ż├şvate─żov a ich povolenia. Poskytovatelia IDaaS bud├║ tie┼ż spravidla pon├║ka┼ą funkcie na auditovanie spr├ívania sa pri pou┼ż├şvan├ş poveren├ş pou┼ż├şvate─ża.

Správcovia hesiel

Hesl├í vygenerovan├ę pou┼ż├şvate─żmi sa daj├║ ─Źasto ─żahko uh├ídnu┼ą, znova pou┼żi┼ą alebo ponecha┼ą na nezabezpe─Źenom centr├ílnom mieste, ako je z├ípisn├şk, tabu─żkov├Ż procesor alebo dokument programu Word. Spr├ívcovia hesiel, ako s├║ 1Password, LastPass a KeePass, sa zameriavaj├║ na rie┼íenie t├Żchto zranite─żnost├ş vytvoren├şm bezpe─Źn├Żch a jedine─Źn├Żch hesiel pre ka┼żd├ę prihl├ísenie a ich ulo┼żen├şm pod jedno hlavn├ę heslo alebo in├Żmi sp├┤sobmi autentifik├ície, ako je biometria.

Spr├ívcovia hesiel poskytuj├║ u┼ż├şvate─żom bezpe─Źnos┼ą jedine─Źn├Żch hesiel, pri─Źom vy┼żaduj├║ iba to, aby si pam├Ątali jedno ÔÇ×hlavn├ę hesloÔÇť, ─Źo im u─żah─Źuje pou┼ż├şvanie jedin├ęho hesla bez s├║visiacich zranite─żnost├ş.

Biometria

V kontexte autentifik├ície a bezpe─Źnosti ÔÇ×biometriaÔÇť znamen├í pou┼ż├şvanie na┼íich jedine─Źn├Żch biologick├Żch vlastnost├ş – odtla─Źkov prstov, tv├ír├ş a hlasov – na overenie na┼íej identity. Biometria sa u┼ż be┼żne pou┼ż├şva ako autentifik├ítor v spotrebite─żskej technol├│gii – AppleNajlep┼í├şm pr├şkladom je Face ID a vstavan├ę sn├şma─Źe odtla─Źkov prstov na mobiln├Żch telef├│noch, ako je LGG6.

S biometriou je ┼ąa┼ż┼íie manipulova┼ą ako so ┼ítandardn├Żmi textov├Żmi heslami, ale ani nie s├║ ├║plne nerozbitn├ę. Aj ke─Ć je to nepravdepodobn├ę, v pr├şpade kr├íde┼że biometrickej identity pou┼ż├şvate─ża s├║ d├┤sledky tak├ę z├íva┼żn├ę, ako keby bola jeho identita odcudzen├í. Uniknut├ę heslo je mo┼żn├ę obnovi┼ą na nov├ę heslo – odtla─Źky prstov pou┼ż├şvate─ża sa nedaj├║ tak ─żahko meni┼ą.

─Äal┼íou nev├Żhodou biometrie je, ┼że implement├ícia biometrie nie je v┼żdy ─żahko uskuto─Źnite─żn├í, preto┼że na ich pou┼żitie je potrebn├Ż ┼ípecializovan├Ż hardv├ęr alebo softv├ęr, tak┼że s├║ ove─ża menej v┼íadepr├ştomn├ę ako textov├ę hesl├í, ktor├ę je mo┼żn├ę pou┼żi┼ą s ─żahko dostupn├Żm hardv├ęrom a softv├ęrom pre kl├ívesnice.

Biometriu, ak je k dispoz├şcii, je mo┼żn├ę pou┼ż├şva┼ą v spojen├ş s in├Żmi technol├│giami, ako s├║ napr├şklad spr├ívcovia hesiel. Poskytovatelia softv├ęru na spr├ívu hesiel, ako napr├şklad LastPass a 1Password, umo┼ż┼łuj├║ pou┼ż├şvate─żom s povolenou biometrickou funkciou smartphones pou┼ż├şva┼ą svoje registrovan├ę odtla─Źky prstov namiesto svojich hlavn├Żch hesiel.

Hardv├ęrov├ę ÔÇőÔÇőtokeny

Hardv├ęrov├ę ÔÇőÔÇőtokeny – tie┼ż zn├íme ako bezpe─Źnostn├ę tokeny – s├║ fyzick├ę zariadenia, ako s├║ pr├şvesky na k─ż├║─Źe, ─Źipov├ę karty a jednotky USB s jedine─Źn├Żm overovac├şm softv├ęrom, ktor├ę maj├║ fungova┼ą v spojen├ş s in├Żmi bezpe─Źnostn├Żmi opatreniami na obmedzenie pr├şstupu neopr├ívnen├Żch pou┼ż├şvate─żov.

Aby sa zabr├ínilo strate, kr├íde┼żi alebo nevhodn├ęmu po┼żi─Źaniu naru┼íenia zabezpe─Źenia hardv├ęrov├Żch tokenov, obvykle sa pou┼ż├şvaj├║ ako s├║─Źas┼ą strat├ęgie viacfaktorovej autentifik├ície spolu s jedine─Źn├Żmi osobn├Żmi identifika─Źn├Żmi ─Ź├şslami (PIN), heslami alebo in├Żmi autentifik├ítormi.

Overenie na z├íklade znalost├ş (KBA)

Vedomostn├í autentifik├ícia sa pou┼ż├şva vo viacfaktorov├Żch autentifika─Źn├Żch procesoch ako dodato─Źn├ę bezpe─Źnostn├ę opatrenie. KBA sa ─Źasto uskuto─Ź┼łuj├║ vo forme ÔÇ×tajn├Żch ot├ízokÔÇť s odpove─Ćami, ktor├ę s├║ pre pou┼ż├şvate─ża jedine─Źn├ę.

K─ż├║─Źovou chybou KBA je, ┼że odpovede na be┼żn├ę vopred ur─Źen├ę (statick├ę) tajn├ę ot├ízky, ako napr├şklad ÔÇ×ko─żko m├íte dom├ícich zvieratÔÇť a ÔÇ×ako sa vol├í va┼ía najstar┼íia neterÔÇť, mo┼żno ─Źasto nechtiac odhali┼ą na soci├ílnych m├ędi├ích alebo v le┼ż├ęrny rozhovor. To je mo┼żn├ę zmierni┼ą pou┼żit├şm dynamick├Żch KBA, pri─Źom ot├ízky sa generuj├║ z v├Ą─Ź┼íieho hlavn├ęho zoznamu dostupn├Żch ├║dajov a pou┼ż├şvate─żovi je poskytnut├Ż obmedzen├Ż ─Źas na zodpovedanie ot├ízky, ─Ź├şm sa zni┼żuje pr├şle┼żitos┼ą pre neopr├ívnen├Żch pou┼ż├şvate─żov jednoducho sk├║ma┼ą odpovede.

Jednorazov├ę hesl├í (OTP)

Jednorazov├ę hesl├í (OTP) sa dod├ívaj├║ v r├┤znych form├ích a ─Źasto sa pou┼ż├şvaj├║ ako s├║─Źas┼ą s├║boru 2-Faktorov├í (2FA) alebo viacfaktorov├í (MFA) autentifika─Źn├í strat├ęgia. U┼ż├şvate─ż sa obvykle prihl├ísi pomocou svojho norm├ílneho hesla a potom sa zobraz├ş v├Żzva na zadanie sekund├írneho jednorazov├ęho hesla generovan├ęho met├│dami, ako s├║ randomizovan├ę k├│dy poskytovan├ę prostredn├şctvom spr├ív SMS alebo gener├ítorom k├│du 2FA, ako napr├şklad Authy alebo Microsoft Authenticator.

Identita ako slu┼żba: ─îo m├ím robi┼ą ─Ćalej?

Teraz, ke─Ć m├íte preh─żad o potenci├ílnych mo┼żnostiach zabezpe─Źenia autentifik├ície, budete sa musie┼ą rozhodn├║┼ą, ktor├ę mo┼żnosti s├║ pre v├ís alebo va┼íu organiz├íciu vhodn├ę. Spotrebitelia aj organiz├ície by mali absol├║tne vyu┼żi┼ą zv├Ż┼íen├║ bezpe─Źnos┼ą opatren├ş t├Żkaj├║cich sa viacfaktorovej autentifik├ície (MFA) na zlep┼íenie zranite─żnosti pou┼ż├şvania iba hesiel. V├Ą─Ź┼íie organiz├ície pracuj├║ce s citliv├Żmi ├║dajmi bud├║ vo ve─żkom ┼ąa┼żi┼ą z vlastnost├ş poskytovate─ża slu┼żby Identita ako slu┼żba (IaaS), ktor├Ż bude outsourcova┼ą technol├│gie a procesy potrebn├ę na adekv├ítnu spr├ívu rozsiahlych povolen├ş pou┼ż├şvate─żov, a spotrebitelia pracuj├║ci na zlep┼íen├ş hygieny hesiel m├┤┼żu za─Źa┼ą t├Żm, ┼że prihl├ísenie sa na odber upozornen├ş od str├ínky Have I Been Pwned a pou┼ż├şvanie spr├ívcu hesiel na generovanie jedine─Źn├Żch a bezpe─Źn├Żch hesiel pre ka┼żd├║ z ich slu┼żieb.