Chraňte svá data

26. 6. 2015 | Zdroj: BusinessInfo.cz

motiv článku - Chraňte svá data Počítače jsou vám bližší, než si možná připouštíte. Svěřujete jim osobní nebo citlivé firemní informace, které by nikdo jiný neměl vidět. Jak efektivně data v počítači ochránit před zvědavci či zloději?

Ochrana dat a soukromí v dnešním propojeném světě není nic jednoduchého, jedinou univerzální radu nelze čekat. Cílem článku je nastínit možné scénáře úniku vašich dat a co možná nejvíce ztížit zvědavcům, nebo rovnou útočníkům, jejich získání a přečtení. Často navíc úroveň bezpečnosti nezávisí jen na vás, ale i na programátorech a administrátorech vámi využívaných služeb, jejichž práci zkrátka neovlivníte.

Heslo jako základ

Bezpečnost stojí a padá s korektní autentizací. Jde o proces identifikace uživatele - ověření, že je skutečně tím, za koho se vydává. Způsobů autentizace existuje nepřeberné množství, o těch nejznámějších si přečtete v boxíku na protější straně. Základním způsobem je však již od nepaměti heslo, které zná nebo alespoň by měl znát, pouze daný uživatel.

Avšak právě při tvorbě hesel uživatelé často velmi chybují. Vyjma administrátorů majících přístup k citlivým datům přitom nelze mít nikomu za zlé, že si nepamatuje třeba velmi silné heslo Isoer,79d.§rix12.dR!. Uživatelům ale lze mít za zlé následující:

  • používání krátkých hesel, tzn. s méně než 8 znaky,
  • používání snadno odhadnutelných hesel, viz boxík 25 nejpoužívanějších hesel v roce 2013,
  • používání stejných hesel napříč různými službami,
  • používání zjistitelných správných odpovědí na kontrolní otázky.

Lze jednoznačně stanovit, kolik znaků stačí pro bezpečné heslo? Nelze, vždy totiž záleží na možnostech útoku vedoucího k jeho odhalení. Rozlišujeme dva druhy útoků:

  • útok hrubou silou (Brute Force) - zkoušení všech kombinací hesel. Pomalejší, ale jistý způsob odhalení hesla,
  • slovníkový útok (Dictionary Attack) - výběr a zkoušení pouze nejpoužívanějších hesel.

Nezaručuje úspěch, avšak odhalení může být velmi rychlé, jelikož uživatelé hesla jako aaa, ahoj, abc, heslo, 123 a jejich obměny v daném jazyce velmi často používají.

Pokud je například nějaká webová služba nastavena tak, že po třech neúspěšných pokusech o zadání hesla zablokuje účet na dalších 10 hodin, výrazně se prodlužuje doba pro úspěšný útok hrubou silou i u krátkého pětiznakového hesla. Pokud ale administrátor této služby umožní nekonečné a neomezené zkoušení hesla, bude útok dříve nebo později úspěšný. Jde jen o to, kde leží ono „později". Útok obvykle probíhá kombinovaně, nejprve se zkouší slovníková hesla a po neúspěchu přichází hrubá síla.

Problém nastává ve chvíli, kdy se útočník zmocní celé databáze hesel uživatelů. A že se tak děje, dokazují nedávné útoky na Sony, Adobe nebo Dropbox. Hesla jsou obvykle zašifrovaná, i tak je lze prolomit.

25 nejpoužívanějších hesel v roce 2013

Server SplashData News (splashdata. blogspot.cz) každý rok uvádí Top 25 nejpoužívanějších hesel. Databázi sestavuje z úniků databází, které hackeři vystavili veřejně na internetu. Ročník 2013 značně ovlivnil únik více než 38 milionů uživatelských účtů společnosti Adobe, to kdybyste se divili, proč je v Top 25 na desátém místě heslo adobe123 a na patnáctém místě photoshop. Hezký příklad toho, že vytvářet hesla relevantní k dané službě není dobrým nápadem.

  • 1. 123456
  • 2. password
  • 3. 12345678
  • 4. qwerty
  • 5. abc123
  • 6. 123456789
  • 7. 111111
  • 8. 1234567
  • 9. iloveyou
  • 10. adobe123
  • 11. 123123
  • 12. admin
  • 13. 1234567890
  • 14. letmein
  • 15. photoshop
  • 16. 1234
  • 17. monkey
  • 18. shadow
  • 19. sunshine
  • 20. 12345
  • 21. password1
  • 22. princess
  • 23. azerty
  • 24. trustno1
  • 25. 000000

Od složitosti k jednoduchosti

Parametry bezpečného hesla dříve splňovalo heslo s délkou alespoň osm znaků kombinujících velká a malá písmena, číslice i speciální znaky. Mnoho služeb takové heslo stále vyžaduje a nutno podotknout, že se hůře pamatují. Lze si pomoci berličkou: různá písmena lze nahradit podobnou číslicí, některé písmeno uděláte velké a přidáte speciální znak.

Například dobře odhadnutelné heslo Computer lze zaměnit za C0mpu!3r, které bude útoku hrubou silou odolávat výrazně déle. Útočníci však obvyklé záměny o → 0, e → 3, i → ! a podobné znají a přidávají je do svých slovníků.

Právě z tohoto důvodu se v posledních letech od složitého hesla upouští a doporučuje se klidně jednodušší, zato co možná nejdelší heslo. Zatímco C0mpu! 3r je dlouhý 8 znaků, computerjecasopis má již 17 znaků. Teoreticky by mohlo heslo rychle podlehnout slovníkovému útoku, ovšem za předpokladu, že by takový slovník byl v češtině a především obsahoval i logické fráze.

Stačí ale mírná modifikace na C0mputerIs- Casak!, a přestože je heslo o znak kratší, vykáže díky nahrazení českého slova je za anglické is odolnost proti slovníkovému útoku a současně zahrnutím velkých písmen, číslic a speciálních znaků vzroste odolnost proti útoku hrubou silou. Dlouhé frázové heslo navíc obvykle napíšete na klávesnici mnohem rychleji než heslo krátké, z nesmyslně složených znaků. Vyzkoušejte si to.

Druhým velkým prohřeškem je používání stejných hesel napříč různými službami. Použít stejné heslo do diskuzního fóra o autech, které vytvořil a spravuje samouk a nadšenec Franta Vonásko, a do internetového bankovnictví, je nejlepší cestou, jak o úspory přijít. Řešení je prosté a účinné, pro různé služby si vymyslete příhodná frázová hesla: radjezdimautem a penizevbezpeci. Zvýšení bezpečnosti těchto hesel máte za domácí úkol.

Tip
Chcete vědět, jak silná jsou vaše hesla? Služba Microsoftu vám to po jeho zadání prozradí. Jako nejsilnější bude označeno heslo s alespoň 14 znaky, současně obsahující velké písmeno, číslici a speciální znak.

Spousta služeb také stále využívá kontrolní otázky, na které je uživatel dotázán při zapomenutí nebo při špatném zadání hesla. Problém tkví v tom, že spousta uživatelů zde logicky zadává pravdivé informace: rodné jméno vaší matky nebo město, kde jste se narodili, jsou informace, které lidé ve vašem okolí znají.

Své by o tom mohla vyprávět Paris Hiltonová, jejíž telefonní seznam a pár lechtivých fotografií uniklo do vln internetu v únoru 2005. Útočník se zde do uživatelské služby T-Zones amerického T-Mobilu dle některých zdrojů dostal poté, co na kontrolní otázku „jméno vašeho domácího mazlíčka" zadal jméno čivavy, kterou Paris často a ráda vystavovala objektivům fotoaparátů.

Kontrolní otázky nejsou v principu špatnou ochranou, špatné je odpovídat na ně pravdivě. Vymyslete si vlastní odpovědi, zcela nesmyslné a neodhadnutelné, avšak zároveň takové, které si zapamatujete.

Čas potřebný k prolomení hesla hrubou silou
Složení hesla Délka hesla
Použité znaky Počet možných znaků 6 8 10 12 14
Jen malá písmena 26 0,3 s 3 min 39 h 3 r 2 045 r
Malá a velká písmena 52 20 s 15 h 5 r 12 394 r 33 515 075 r
Malá a velká písmena, číslice 62 57 s 61 h 27 r 102 304 r 393 257 529 r
Malá a velká písmena, číslice, znaky 95 12 min 77 d 1 898 r 17 134 795 r 154 640 721 tisíciletí

Současná průměrná grafická karta je schopna generovat zhruba miliardu MD5 hashů za vteřinu, nejsilnější grafické karty i více než desetkrát. Výsledky jsou zaokrouhleny.

Šifrování vybraných dat

Doposud jsme řešili pouze to, jak zabránit neautentizovaným osobám přístup k vašim datům. Nastal čas data skutečně chránit, a to lze jedině šifrováním. Problematika šifrování by vystačila na samostatný článek, poradíme vám však první kroky.

Rozlišujeme základní dva druhy šifrování: synchronní a asynchronní. První způsob hůře odolává útoku hrubou silou, vykazuje však až tisíckrát vyšší rychlost než šifrování asynchronní, které naopak nabízí vysokou úroveň zabezpečení. Šifrování proto probíhá následně: pomocí asynchronního šifrování jsou zabezpečeny synchronní klíče, které se používají pro šifrování dat na disku. Jak je patrné, nejslabší místo řetězce představuje bezpečné uložení asynchronních šifrovacích klíčů. To jsme ale v teoretické úrovni, kterou neovlivníte.

Podíváme se na praktické postupy zabezpečení dat.

EFS: Šifrování adresářů a souborů

Technologie EFS sloužící k šifrování dat je stejně stará, jako NTFS, tedy již od Windows 2000. Bohužel však ani dnes není podporována ve všech Windows: Vista od Business, 7 od Professional a 8.1 od verze Pro výše. EFS lze použít právě pouze se souborovým systémem NTFS, používáte-li například na flashdisku FAT32 nebo ExFAT, budou sem zkopírované zašifrované soubory dešifrovány. Jelikož se data šifrují vaším osobním certifikátem a klíčem uloženým v počítači, nemůžete bez jejich přenesení data rozšifrovat na jiném počítači.

Výhodou EFS je jednoduchost použití. Vytvoříte jednoduše adresář, do kterého budete ukládat zašifrovaná data.

Šifrování pevného disku

Heslo do počítače ani heslo do operačního systému neochrání data uložená na disku. Zloděj či útočník může vyjmout disk a připojit jej k počítači jinému, čímž obě zabezpečení obejde. Řešením je standardní šifrování veškerého obsahu disku. Dříve tento proces ukrojil z výkonu procesoru, dnes však zpomalení nezaznamenáte. Zároveň pamatujte: pokud heslo k disku zapomenete, můžete se nadobro rozloučit se svými daty.

Šifrování disku nabízí řada programů, ve Windows Vista a 7 (verze Ultimate a Enterprise) a Windows 8.1 (Pro a výše) však máte k dispozici systémový nástroj BitLocker. Majitelé jablečných počítačů mají již od verze 10.3 Panther takzvaný FileVault, standardní šifrování a dešifrování dat na disku za běhu. První verze uměly šifrovat jen domovskou složku uživatele, od OS X Lion však již lze šifrovat celý disk. Šifrování zapnete v Předvolby systému - Zabezpečení a soukromí - FileVault.

V případě Windows je aktivace šifrování mírně složitější. BitLocker totiž standardně vyžaduje základní desku s tzv. TPM (Trusted Platform Module) čipem, který slouží k bezpečnému uchovávání šifrovacích klíčů. Bývá standardem u byznysových notebooků, běžné základní desky ani domácí notebooky jej obvykle neobsahují. BitLocker ale můžete používat i bez TPM, ale za cenu nižší bezpečnosti. Neprovádí se například kontrola integrity systémových souborů při startu systému, kdy ještě nevládne klasický antivirový program.

Šifrování disku je řešením i při krádeži notebooku - k datům se nikdo bez znalosti hesla nedostane ani po vyjmutí disku a jeho připojení k jinému počítači. Nelze jej však považovat za všelék, data jsou v bezpečí ve stavu vypnutí a v hibernaci, avšak po spánku a probuzení heslo vyžadováno není. Údajně však existují postupy, jak lze BitLocker obejít, a dle některých spekulací se špitá i o zadních vrátkách pro americkou Agenturu pro bezpečnost NSA.

Pokud ale obchodujete s dětskou výživou a ne plutoniem a svá data chcete chránit před zvědavou konkurencí, poslouží šifrování skvěle.

Pamatujte také na skutečnost, že zašifrovaný disk neochrání vaše data před viry a další havětí, která řádí během spuštěného operačního systému, kdy jsou data přístupná. Neochrání proti malwaru, který sleduje úhozy na klávesnici a hledá hesla k vašim službám či k internetovému bankovnictví.

Když nepomohou Windows

Zatím jsme využívali standardní funkce operačních systémů, v případě Windows však jen u těch vyšších verzí. Účinně šifrovat a skrývat data však mohou všichni bez rozdílu verze OS, bez pomoci aplikací třetích stran to však nepůjde.

Šifrovacích programů existuje řada, král je však jen jediný: TrueCrypt. Důvodů, proč je král, je hned několik. Vyjma ověřené bezpečnosti programu to jsou některé unikátní funkce. Především existuje kromě pro Windows i pro OS X a Linux a zašifrovaná data můžete otevřít napříč platformami. Dále podporuje dvojitý skrytý prostor.

Zvažme scénář, kdy po vás někdo pod jakoukoli výhrůžkou vyžaduje heslo právě pro dešifrování vašich dat v TrueCryptu. Sdělíte primární heslo k datům, která mohou vypadat důvěryhodně, ale nejsou pravdivá. Útočník nemá možnost zjistit, zda druhý, skrytý oddíl vůbec existuje. Vy se do něj dostanete použitím jiného hesla. Výsledný soubor má navíc pevně danou velikost, neplní se tedy postupně, jak do něj ukládáte citlivá data. Jedná se o účel, útočník nezjistí, kolik dat zkrátka soubor obsahuje a zda jste mu skutečně ukázali vše.

První kroky s programem najdete v samostatném boxíku.

Rychlé tipy k vyššímu bezpečí

  • Používejte šifrování disku.
  • Aktualizujte operační systém, nainstalujte kvalitní antivirový program.
  • Elektronickou poštu zasílejte výhradně přes zabezpečené připojení.
  • Nepoužívejte stejná hesla pro různé služby, ke službám se připojujte výhradně přes
    HTTPS.
  • Používejte raději delší fráze než krátká komplikovaná hesla.
  • Nezadávejte pravdivé odpovědi na kontrolní otázky.
  • Nenavštěvujte podezřelé weby, neotvírejte podezřelé přílohy e-mailů.

Na hesla zapomeňte

Zapamatovat si extrémně dlouhá a pro každou službu unikátní hesla samozřejmě v praxi nelze. Existují však správci hesel, a to v podobě programů i různých služeb. Myšlenka je prostá: pod jediným velmi silným heslem se uloží a zašifrují všechny ostatní vaše přístupové údaje. Můžete je členit do kategorií a nechybí praktický generátor silných hesel. Za všechny zmiňme vynikající a zdarma dostupný KeePass na internetové adrese keepass.info.

V současné době, kdy takřka každý používá více zařízení, se do popředí dostávají multiplatformní aplikace, jako OnePassword, LastPass, Dashlane či český StickyPassword, které umožňují synchronizaci hesel prostřednictvím cloudu. Navíc díky integraci do webového prohlížeče zpříjemňují obsluhu, nemusíte otevírat peněženku a přihlašovací údaje se vyplňují automaticky. Některé jsou placené, jiné jsou v základu zdarma a teprve za synchronizaci požadují roční poplatek. Vězte ale, že jde o velmi dobře utracené peníze.

Nechcete-li žádné další programy používat, vytvořte si textový soubor a uložte jej do šifrovaného souboru pomocí TrueCryptu. Komfort použití bude sice nižší, avšak data zůstanou v bezpečí.

Dvoufázové ověřování

Dvoufázové ověřování vyžaduje vyjma tradičního hesla ještě jeden způsob ověření. Může to být například SMS zaslaná na vaše telefonní číslo. Vyjma bankovních domů toto po posledním útoku nabízí i Dropbox nebo Microsoft.

Další možností je přihlášení pomocí autentizačního klíče s dočasnou platností. Nabízí se aplikace Authenticator od Googlu, která funguje jednoduše: služba (Google, Microsoft, Facebook...) vygeneruje QR kód, který v aplikaci vyfotíte. Při přihlášení do libovolné služby budete požádáni nejen o tradiční heslo, ale i o toto šestimístné číslo, které zjistíte jen z vlastního telefonu.

Útočník, který získá vaše primární heslo, se do služby bez současné znalosti ověřovacího kódu, a tedy i vlastnictví telefonu, k vašim datům nedostane. Vhodné je samozřejmě následně ochránit i telefon, například vstupním heslem nebo gestem.

Převzato ze speciálu ICT, přílohy deníku E15.cz. Autor článku: Jiří Kuruc, Časopis Computer

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek