P@ssw0rd. Ano či ne?
2. května jsme oslavili světový den hesel. Den, bez kterého bychom se klidně v našich kalendářích obešli. Bylo by totiž v digitálním světě o dost bezpečněji. Ne bez druhého května, ale bez hesel.
A právě snahy o tuto větší bezpečnost některé IT profesionály (a auditory) paradoxně dost děsí.
Výborným příkladem bylo prohlášení společnosti Microsoft, že vynucené vypršení platnosti hesel bude odstraněno z doporučených nastavení pro lokální Active Directory od verze Windows klienta 1903. Je to zcela správné a plně to následuje aktuální doporučení NIST. Protože paradoxně častá změna hesla snižuje jeho bezpečnost. Ostatně v Office 365 se toto doporučení nabízí již přes půl roku.
Ale protože lidé bohužel nečtou, mnoho (bohužel i novinářů) to bohužel pochopilo ve smyslu, že toto nastavení zmizí z AD a Windows. To není pravda. Jedná se pouze o doporučení. Technologicky budou GPO, dialog pro změnu hesla i počítání délky jeho platnosti fungovat stále stejně. Takže se opět trochu uklidníme. A začněme raději myslet ve trochu větším pohledu, než je jen délka platnosti hesla.
Má to ale určitě svá ale. Heslo, které nikdy nevyprší má své opodstatnění jen tehdy, je-li podpořena například druhým faktorem, procesy, které detekují, že bude dostatečně unikátní a komplexní. Že při jeho kompromitaci vynutím jeho změnu, a především dokážu tento fakt rozpoznat.
Buďme ovšem upřímní. Vy máte snad rádi svoje hesla? Heslo do počítače, do systému, k administraci, k bankovnictví, do telefonu, ke speciálnímu počítači pro správu AD, heslo lokálního správce. Všude samá hesla. Každé jiné, s jinou vynucenou složitostí a různou dobou platnosti. Zapomínají uživatelé svoje hesla, vyžadují jejich reset přes telefonický kontakt technické podpory, značí si je ve žlutých lístečcích na monitory?
Proč se hesel zbavit?
Protože většinou kreativita uživatelů při jejich tvorbě a používání není příliš velká, naopak místy i škodlivá. Dle průzkumů více než polovina uživatelů používá stejné heslo pro přístup k více účtům, až pětina používá jméno svého příbuzného či domácího mazlíčka. Stejně tak dnes firemně oblíbené politiky komplexity hesel je většinou naučí používat čísla roků či data narození v jejich heslech.
A přesně taková hesla je jednoduché zkusit získat analýzou sociálních sítí. Nebo z jiného veřejného úniku přihlašovacích údajů, protože ne všichni vývojáři webových stránek, elektronických obchodů umí hesla ukládat do databází správně a šifrovaně.
Heslo01, 123456, Password, Qwerty, iloveyou, Abcd1234, Toneuhodnes či PIN 1234 nebo 1111 na mobilním telefonu a teoreticky máme šanci 21 % proniknout ke každé identitě na světě. Ostatně i mnohem silnější hesla lze pomocí slovníkových útoků či prostým brute-force útokem dešifrovat za pár minut.
Důkazem o tomto faktu může být jiný průzkum, který říká, že až 81 % průniků do firemních IT systémů bylo způsobeno ukradením přihlašovacích údajů, nebo slabými a snadno odhadnutelnými hesly.
Oproti tomu až 99 % z těchto napadení by šlo zabránit, byť i zcela jednoduchým, zavedením druhého faktoru ověření identity při přihlášení.
Nechci hesla. Jak na to?
Strategie je jednoduchá. Zlepšit bezpečnost prostředí a identit uživatelů. Identit, kterými přistupujeme k firemním systémům a citlivým informacím. A to tak, aby koncový uživatel měl ideálně lepší zážitek z celého procesu než při používání obyčejného hesla.
Cesta přes dlouho známé řešení Smart Card je sice možná, ale dnes nepříliš vhodná. Uživatelé je nechávají v počítačích, pokud je nemusí použít při přístupu do kuchyňky či na toaletu.
Někdy stačí vyrazit na onu cestu pomalými krůčky, například uživatele naučit vytvářet správně bezpečná hesla či rozpoznat běžné phishingové útoky, které mohou potkat. Zajistit kontrolu a procesy, co se bude dít, když bude identita kompromitována. A jak takový stav vůbec zjistím. Bude to SIEM, který mi ohlídá aktivity přihlášení? Bude to databáze ukradených hesel a identit? Bude to nějaký jiný sofistikovanější nástroj?
Výhodou těchto malých kroků je získání času pro kroky větší. Kroky, které zároveň mnohé standardní vektory útoků zcela eliminují.
Jak chcete po uživatel pomocí falešného e-mailu získat jeho heslo, pokud uživatel heslo nikdy nezískal a žádné nemá?
Výběrem správné technologie můžeme zároveň zajistit, že dokud se uživatel a jeho identita chovají standardně a bezpečně, nebude ho ona přidaná bezpečnost rušit při práci. Dokážeme například druhý faktor vynutit podmíněně jen mimo prostory společnosti, protože dole sedí nerudný vrátný a kontroluje občanské průkazy? Dokážeme rozpoznat míru rizika při přihlášení podle země, času, chování v systému a například přihlášení omezit z této lokality, ale ne z firemního ústředí?
Nasazení správné technologie nám v mnohem ulehčí to nejdůležitější, určí jasné chování a funkce, které pomohou při adopci u uživatelů, důležitou poslední částí. Musíte uživatele naučit, jak v tomto novém prostředí žít. A možná nejen uživatele, i technickou podporu, ale i samotné IT.
Jaké technologie nám s tímto procesem pomohou?
Windows Hello for Business na koncové stanici může pomocí biometrických údajů nahradit užití hesla při přihlašování do počítače i autentizace v samotném systému. Bezpečnou metodou s pomocí TPM pak uložit i samotné pověřovací údaje. Při pokročilé konfiguraci pak umožňuje použít i další faktory, jako je viditelnost určité sítě či autentizačního serveru. Mojí osobní zkušeností je, že použití je více než velmi návykové.
Microsoft Authenticator aplikace na mobilní platformy iOS a Android umožňuje jednoduché zavedení druhého faktoru v podobě nejen běžné SMS či jednorázového generátoru autentizačních kódů. Ale především jednoduchou notifikací. Notifikací, na kterou jsou uživatelé již zvyklí z jiných aplikací. A pokud nejde jinak, na opsání kódu jsou již zvyklí ze své bankovní aplikace. A právě aplikace Authenticator může fungovat nejen jako další faktor, ale jako přímá náhrada hesla již při přihlášení.
Bezpečnostní klíče jako hardware zařízení, které například pomocí FIDO2 umožňují uložit a používat autentizační tokeny. Přihlášení pak vyžaduje přítomnost tohoto zařízení či dokonce potvrzení akce přihlášení dalším biometrickým údajem. Bezpečnostním klíčem dnes může být například i právě počítač s Windows či telefon s novějším systémem Android.
Microsoft Edge jako prohlížeč, který dokáže využít přihlášení pomocí Windows Hello for Business i přenesení pověření z FIDO2 certifikovaných zařízení. I vývojáři webových stránek mohou využít například dostupných SDK a nabídnout tuto metodu autentizace a ověřování k jejich službám.
Azure Active Directory či Active Directory jako úložiště nejen identit, ale také jako správce autentizačních metod, které jsou uživatelům k dispozici. Ono totiž i v lokálním prostředí se lze do velké míry hesel zbavit, pokud s tím dokáží aplikace žít. Volby v AD na to již několik let máme. Stejně tak zde máme metody, jak uživatel může svoje heslo či autentizační metody změnit a to bezpečně při ověření jeho identity jiným způsobem.
Samozřejmě, nasazení těchto technologií by mělo být podpořeno i na nižší úrovni celé pyramidy bezpečnosti. Protože potřebuji v tomto případě více věřit samotné stanici, kde jsou uloženy přihlašovací tokeny uživatele. Tedy šifrováním pevného disku pomocí BitLocker či aspoň Device Encryption, zapnutím Secure Boot, aktualizací a správnou konfigurací UEFI, instalací či upgrade na aktuální verzi Windows 10 1809 a novější.
Zbývá jen začít…
Více se můžete dočíst v oficiální příručce Passwordless, která vás nasměruje i ke správné dokumentaci či na správného technického partnera. Mnoho štěstí na vaší cestě k budoucnosti bez hesel, to přeji závěrem.