IT bezpečnosť: Kto pozná Vaše heslo?
Meno a heslo sú základnými prvkami pre prístup k informačným či operačným systémom azda od začiatku éry informatizácie. Žiaľ, aj napriek tomu, že v súčasnej dobe existujú technické možnosti realizovať prihlasovanie bezpečnejšími spôsobmi, meno a heslo patrí medzi najčastejšie spôsoby prihlásenia sa do systému. Za bežných okolností systém nedokáže zistiť, či je prihlásenie podozrivé alebo štandardné, či ho vykonáva právoplatný používateľ alebo neoprávnený útočník.
Identifikácia
Používateľské meno slúži na identifikáciu používateľa v systéme. Štandardne je to verejne známa informácia (napr. pre prístup k firemnému počítaču to môže byť zaužívaný tvar „meno.priezvisko“). V niektorých prípadoch sa však využíva zásada, že aj používateľské meno je „tajné“, teda jeho tvar nie je možné jednoducho odvodiť na základe známej skutočnosti. Ako príklad môže poslúžiť prihlasovacie meno do internetového bankovníctva či prihlasovacie meno pre správcov IT systémov, ktorí si vytvárajú prístupy tak, aby z názvu účtu nebolo zrejmé, že sa jedná o administrátorský, teda správcovský prístup. Niektoré systémy a zariadenia pri ich prvotnom nastavení vyzývajú používateľa na vytvorenie vlastného mena, čo má za cieľ znemožniť prelamovanie hesla známeho konta „admin“. Toto opatrenie zároveň predstavuje prínos pre administrátorov bezpečnosti, keďže v prevádzkovom zázname (tzv. logu) sa dá jednoduchšie odhaliť, že sa niekto skúšal neoprávnene prihlásiť ako administrátor použitím známych názvov správcovských účtov (teda admin, Administrator, root, …).
Používateľské heslo slúži na autentifikáciu používateľa v systéme, teda ako dôkaz, že som naozaj taký používateľ, ktorého používateľské meno som zadal. Iba stručne pripomeňme základné zásady pre tvorbu hesla. Heslo by mal byť taký text, ktorý dáva zmysel iba Vám a nie je možné ho na základe poznatkov o Vašej osobe odvodiť. Dĺžka býva stanovená rôzne, v súčasnosti medzi 12 až 20 znakmi, závisí to od politiky konkrétnej organizácie a možnostiach systémov. Medzi hlavné nedostatky hesla patrí skutočnosť, že je ho možné odchytiť zachytávaním stlačených písmen na klávesnici, odpozorovať, získať iným spôsobom (napr. z papierika pod klávesnicou). O jednoduchom odvodení hesla, ktoré v sebe nesie meno mačky či psa používateľa nehovoriac.
Žiaľ, v praxi sme sa stretli s prípadmi, kedy prístupové heslo do počítača zamestnancov, emailovej schránky či informačného systému nie je dôverné – teda nepozná ho iba jeho vlastník/používateľ, ale je známe aj administrátorovi. Táto situácia predstavuje významné bezpečnostné a právne riziko.
Predstavme si situáciu, že sa niekto prihlási prostredníctvom prístupového mena a hesla jedného zo zamestnancov do emailovej schránky a posiela vulgárne emaily obchodným partnerom. Pri vyšetrovaní incidentu sa ľahko odhalí, že email nebol odoslaný zo škodlivého serveru, ale že bol použitý legitímny emailový systém organizácie a emailová adresa zamestnanca. Okamžite sú so zamestnancom začaté kroky pracovnoprávneho postihu. Ak sa však v ich priebehu preukáže napr. svedeckou výpoveďou pracovníkov, že heslá museli prezradiť IT oddeleniu/nadriadenému (alebo si ich nemohli zmeniť na vlastné), nie je možné právne dokázať, či nevyžiadaný email skutočne poslal zamestnanec, alebo jeho prihlasovacie údaje zneužila cudzia osoba (samozrejme okrem prípadu ak by ho niekto pri tomto čine videl).
Nemožnosť zmeniť si prístupové heslo za vlastné či povinnosť oznámiť svoje heslo niekomu inému predstavuje vážnu prekážku uplatňovania jedného zo základných princípov informačnej bezpečnosti – tzv. nepopierateľnosti aktivít, teda akejsi nespornosti pri určovaní, kto vykonal skúmanú akciu v systéme (napr. odoslanie emailu, zaslanie prevodu financií v banke).
Častokrát sa organizácie snažia vyhovoriť na to, že heslo zamestnanca potrebujú kvôli zastupiteľnosti, technickej podpore menej IT-gramotných používateľov a pod. Žiaľ, takýto prístup nie je správny a už vôbec nie je v súlade s normou ISO27001 pre informačnú bezpečnosť, ktorá jednoznačne hovorí, že prihlasovacie informácie majú byť utajené a známe iba konkrétnemu pracovníkovi.
Avris Vám ponúka svoje služby pri riešení vyššie uvedených problémov
Existujú bezpečné postupy, ktoré umožnia zachovanie tajnosti hesla a zároveň nelimitujú možnosti riešenia zastupiteľnosti či IT podpory. Rovnako vieme pomôcť s riešením, ktoré Vás úplne odbremení od potreby hesiel a navrhne modernejšie a odolnejšie formy bezpečného prístupu do informačných či operačných systémov.