hledat:

Uživatelské aspekty hesel

Aleš Padrta
Computerworld, 2. prosince 2011

Na závěr seriálu o heslech se zaměříme na netechnickou oblast, konkrétně na interakce s uživateli, kteří musí hesla používat – jejich chování totiž zásadně ovlivňuje bezpečnost hesel. Pochopení myšlenkových pochodů uživatelů zlepší vzájemnou komunikaci, a bude tak snazší je přesvědčit o správném chování.

Aspekty uživatelské psychiky

K požadavkům týkajícím se hesel přistupují uživatelé stejně jako ke všem ostatním nařízením a předpisům. Pokud mají pocit, že jim daný požadavek ztěžuje práci nebo je jinak nesmyslně zatěžuje, mají tendence tato nařízení ignorovat nebo různými způsoby obcházet. V oblasti hesel jsou tak ignorována doporučení pro jejich tvorbu a jsou obcházeny technické prvky, například pokud si systém pamatuje N posledních hesel a po uživateli vyžaduje volbu úplně nového, uživatel N-krát zadá nějaké heslo a v další iteraci pak zase zadá své původní oblíbené heslo.

Jedinou možností jak uživatele přimět, aby rozumně zacházeli s heslem, je vysvětlit jim, proč je konkrétní požadavek zaveden, a přesvědčit je o jeho užitečnosti. I v případech, kdy je uživatel přistižen při obcházení směrnic, je všeobecně doporučováno spíše konstruktivní řešení než trest – s výjimkou notorických potížistů.

Jako prevenci výše uvedeného je nevhodné zavádět požadavky, jejichž smysl nejsme schopni uživatelům vysvětlit. Všeobecně doporučované „best practices“ lze shrnout do bodů:

• Vymyslet, publikovat a propagovat návod, jak vytvořit bezpečné heslo, protože uživatelé jej sami hledat nebudou.
• Neměnit hesla častěji než po deseti dnech, jinak mají uživatelé tendence recyklovat hesla. Při podezření na únik hesla jej okamžitě změnit. Pokud tuto skutečnost zjistí správce systému, měl by uživatele ihned informovat.
• V případě, kdy uživatelé potřebují přístupy k více systémům, zavést SSO (Single-Sign-On), protože jinak budou jistě obcházet nařízení týkající se různých hesel pro rozličné systémy.
• Zajistit, aby uživatelé správně vnímali IT bezpečnost tím, že
  • je vždy zdůrazněno, proč musí dané pravidlo dodržovat,
  • v případě kontroly vhodnosti hesla je každé odmítnutí vysvětleno (zvolené heslo je slabé, protože ... a hrozilo by, že jej může někdo snadno uhodnout a vydávat se za vás),
  • pravidelně nebo alespoň občas zmínit hrozby, tj. co se může stát, když heslo získá někdo jiný, a pochybení řešit konstruktivním vysvětlováním.
• Nebránit se v odůvodněných případech sdíleným kontům typickým pro krátkodobé hromadné akce, kdy se nevyplatí vytvářet konto každému jedinci.

Cena hesla

Z informací uvedených v předchozích dílech je možné relativně snadno ohodnotit výdaje vynakládané na udržování hesla v bezpečí. Kromě provozu technických opatření (jejich bezpečné uložení, zabezpečený přenos dat, generátory jednorázových hesel, detekce lámání hesel apod.) však nesmí být zapomínáno na uživatele a jejich komfort. Každá operace s hesly také stojí nějaký čas a leckdy i psychické úsilí – například minimální požadavky na sílu hesla spolu s nutností jej v pravidelných intervalech měnit často vedou k obléhání uživatelské podpory. Obdobně působí zavedení reverzního Turingova testu. Předmětem následných diskuzí jsou pak seznamy problémů, které tato bezpečnostní opatření uživatelům způsobují, a občas je k zahlédnutí i kalkulace nákladů – kolik uživatele stojí dodržování pravidel. Typicky doba strávená změnou hesla, zpomalení práce způsobené vzpomínáním na heslo a případnou návštěvou helpdesku pro nové nastavení hesla.

Málokterý uživatel však vidí i druhou stranu rovnice, kterou je cena hesla. Pokud by totiž mohl obě hodnoty porovnat, poznal by, že nepohodlí spojené s bezpečným používáním hesla více než vyváží problémy způsobené jeho zneužitím. Ideálním řešením je uživatelům tuto skutečnost osvětlit, aby chápali přínosy použitých opatření. Nejprve je tedy třeba ujasnit si, jakou hodnotu představuje konkrétní heslo, resp. služba, k jejímuž užívání nás heslo opravňuje. U freemailové schránky bude situace jiná než u podnikového informačního systému nebo dokonce u hesla zpřístupňujícího administrátorský účet serveru. Praktickým důsledkem by měl být výběr a nastavení vhodných bezpečnostních opatření vždy s ohledem na hodnotu daného účtu.

Domino efekt

Pokud uživatel používá několik různých účtů, má přirozenou tendenci nastavit si všude stejné heslo. Sice tak šetří svou paměť, ale v případě kompromitace jednoho účtu dojde rázem k vyzrazení hesla také ke všem ostatním. Útočník sice musí zjistit, které další účty uživatel používá, ale získané údaje mohou být zařazeny do slovníku a pro dané uživatelské jméno pak prioritně zkoušeny. Samotné označení domino efekt vychází z postupného pádu účtů do rukou útočníka, ke kterému byl potřeba pouze jeden počáteční impulz – a tím bylo získání jediného hesla.

Dalším souvisejícím problémem, který není uživatelům zcela zřejmý, je skutečnost, že pokud je stejné heslo používáno k více účtům, je ochrana hesla pouze tak silná jako nejméně zabezpečený účet. Zatímco některé služby mají implementovánu většinu z dříve diskutovaných opatření a umí se kvalitně bránit útokům vedoucím ke kompromitaci hesla, jiné služby nemusí mít opatření žádná, a získání hesla je tak velmi snadné.

Z principu neexistuje žádné technické opatření, které by uživatele donutilo nastavit si pro každý používaný účet odlišné heslo, protože velmi často jsou ve správě různých organizací. Záleží tedy pouze na uživateli, na jeho znalostech a odpovědnosti. Jediným způsobem, jak se bránit domino efektu, je pouze patřičné školení, kde jsou vysvětlena rizika a správné chování.

Grafická hesla

Podle výzkumů si člověk lépe pamatuje grafické informace než prostý text, a pokud bychom uživatelům měli vycházet vstříc, je přechod od znakového hesla ke grafickému jednou z možností. Místo zadávání hesla na klávesnici uživatel postupně vybírá obrázky z nabídnuté množiny – v základní verzi jde v podstatě o promítnutí „speciální klávesnice“ na monitor, jen místo znaků jsou k vidění obrázky. Heslo se pochopitelně skládá z více po sobě jdoucích obrázků, aby bylo obtížněji uhodnutelné.

Uživatel si tak může zvolit pro něj lépe zapamatovatelné heslo (např. leknín – zubr – leknín – domek – žába – ferrari – ferrari – sluníčko), zatímco pro útočníka jde stále o „osmiznakové“ heslo. Množina obrázků navíc může být výrazně větší než 96 běžně používaných znaků, čímž se velmi sníží možnosti útoku hrubou silou. Na druhou stranu je zadávání takovýchto hesel značně pomalejší než hesel textových. Lze také počítat s vytvořením slovníků – například je pravděpodobné, že si lidé budou vybírat jim blízké obrázky, tj. hesla budou obsahovat tematické obrázky (např. jen auta, jen květiny nebo jen matematické symboly apod.). Ve vývoji jsou i další varianty grafických hesel – gesta v mřížce, výběr obličejů, umístění objektu do rastru apod. V budoucnu se s nimi jistě setkáme.

Slovo na závěr

Hesla jsou a zřejmě i dlouhou dobu budou součástí IT prostředí. Vzhledem k tomu, že jde často o jediný prostředek sloužící k autentizaci uživatele, a tedy i umožňující používání elektronické identity, je potřeba s nimi vhodně zacházet. V první řadě jde o odpovídající technická opatření, která heslo dostatečně ochrání před off-line i on-line útoky a současně přiměje uživatele dodržovat elementární požadavky na bezpečnost hesla. Dále je pak třeba věnovat pozornost vzdělávání uživatelů, kteří jsou často nejslabším článkem.

O autorovi

Aleš Padrta
Autor je řešitelem projektu Velká infrastruktura sdružení Cesnet.