Heslá, sociálna manipulácia s heslami, dvojfaktorová autentizácia

Heslá, sociálna manipulácia s heslami, dvojfaktorová autentizácia

Sociálna manipulácia (sociálne inžinierstvo) preniká stále viac a viac aj do nášho digitálneho sveta a  zameriava sa stále sofistikovanejšími metódami na získavanie citlivých informácií od potenciálnych obetí. Využíva pritom rôzne prvky ovplyvňujúce úsudok človeka – typické ľudské vlastnosti ako je zvedavosť, dôvera vo autority (aj fiktívne autority), obava z prekážok/problémov/nefungovania služby a rad ďalších

Jedným z príkladov na ktorom si môžeme problém priblížiť je phishingová správa, ktorá sa šírila aj medzi slovenskými používateľmi – samozrejme v slovenskej mutácií. Tejto filozofia je postavená na vyvolaní obavy prijímateľa správy, že môže prestať fungovať ním využívaná služba (v danom príklade konkrétne jeho e-mailová schránka).

 

Krok za krokom ako bola potenciálna obeť nachytaná

  1. prichádza Vám e-mailová správa s popisom problému, ktorý máte vyriešiť – v tomto prípade sa jedná o výstrahu obmedzenia funkčnosti Vašej e-mailovej schránky z dôvodu jej preplnenia
  2. v snahe riešiť tento problém kliknete na pripravený link v snahe vykonať požadovanú aktualizáciu účtu
  3. ste presmerovaný na prihlasovací formulár – pritom si väčšina „obetí“ nevšimne, že sa jedná o jednoduchý formulár vytvorený pomocou služby Google Docs
  4. vyplníte požadované dáta a odošlete – kto je príjemcom tejto informácie sa asi nikdy nedozviete
  5. neznámemu „útočníkovi“ ste poskytli prístupové údaje čím získal plnú kontrolu nad Vašim e-mailovým účtom

autent_1

 

Dôsledky

Mnoho poslucháčov kurzov a prednášok (vyžiadajte si informácie o kurzoch a prednáškach) pri diskusiách o tejto forme manipulácie má tendenciu bagatelizovať riziko úvahami typu „veď ja v tých mailoch nemám nič tak zásadné, čo by sa dalo zneužiť“. Pritom si neuvedomujú na čo všetko vlastne e-mailovú komunikáciu vlastne používajú a čo vlastne môže získať „útočník“ prístupom k ich mailovému kontu.

 

Reálne riziká

  • zneužitie e-mailu pre komunikáciu – útočník má v podstate prístup k Vášmu kontu a tak vo Vašom mene (s použitím Vašej emailovej adresy) môže rozosielať e-mailové správy za rôznymi účelmi
    • marketingové aktivity – rozosielanie reklamných správ, ponúk (SPAM)
    • ohováranie, šikanovanie, vyhrážanie, šírenie poplašných správ
  • prístupy k web aplikáciám
    • používatelia často používajú rovnaké heslá pre prístup do viacerých aplikácií – často získaním jedného hesla (napr. prístupového hesla do Vašej e-mailovej schránky) získa útočník prístup/kontrolu nad radom ďalších aplikácií, ktoré využívate
    • získanie prehľadu – do vašej schránky chodí rad správ z rôznych web stránok, e-shopov, diskusných skupín a ďalších internetových aplikácií kde ste zaregistrovaní – útočník tak získava prehľad čo všetko využívate
    • e-mailom zasielané požiadavky na zmenu prístupových hesiel do rôznych aplikácií ktoré využívate prostredníctvom internetu – napríklad pri expirovaní aktuálne platného hesla

 

Čítajte tiež:   Ako „hacknúť“ e-banku?

 

Dodržujte aspoň základné zásady

  1. nepoužívajte rovnaké prihlasovacie mená/heslá pre všetky používané aplikácie, web stránky, diskusné skupiny, prístupy a podobne – keby aj došlo k prezradeniu či úniku jedného z nich, ten kto sa dostane k jednému z nich nevie ich zneužiť pre prístup ďalším
  2. neznačte si heslá na viditeľné miesta (post-it bločky, papieriky, kalendáre) – vyhýbate sa tým najmä riziku zneužitia od osôb pohybujúcich sa vo Vašom bezprostrednom okolí
  3. využívajte externé formy prihlasovania napr. pomocou password manažérov alebo využite dvojfaktorovú autentizáciu používateľa (ak to daná aplikácia podporuje)

 

Dvojfaktorová autentizácia používateľa

Rizík úniku hesiel je skutočne široké spektrum a to najmä v prípade ak využívate jednoduchú tzv. jednofaktorovú autentizáciu  (prihlasovacie meno/heslo). Pre zvýšenie bezpečnosti prihlasovania je preto ideálne zvýšiť počet prihlasovacích faktorov o ďalší prvok a používať tzv. dvojfaktorovú autentizáciu. Jej základnou myšlienkou je doplnenie druhého stupňa – ktorým je externý bezpečnostný predmet (viac o problematike autentizácie nájdete v článku Od anonymity k autentizácii). Tento plní úlohu bezpečného úložiska citlivých informácií ako prihlasovacie mená/heslá, osobné certifikáty, šifrovacie kľúče.

Hardvérové bezpečnostné tokeny

V praxi sú obvykle využívané dva základné typy tokenov – čipové kartyUSB tokeny. V princípe sa jedná o identické riešenie, ich rozdiel je len vo forme pripájania k počítaču – zatiaľ čo čipové karty používajú čítačku kariet pripojenú k počítaču, USB tokeny sa pripájajú priamo k USB portu.

autent_2

Princíp použitia zo strany používateľa je jednoduchý:

  • po pripojení k USB portu má používateľ jedinú úlohu – zadať bezpečnostný PIN kód, ktorým je chránená jeho čipová karta/ USB token
  • následne systém načíta informácie, ktoré sú v bezpečnej forme uložené v chránenej pamäti tohto bezpečnostného predmetu a tieto sú použité v ďalšom procese
  • môže sa jednať o široké spektrum bezpečnostných informácií:
    • prihlasovacie meno/heslo k operačnému systému alebo aplikačným programom
    • prvky elektronického podpisu
    • šifrovacie kľúče používané pre šifrovanie dát na pevnom disku alebo v sieti

 

 

ESET Secure Authentication

Zaujímavým riešením určeným skôr do firemného prostredia je riešenie postavené na princípe jednorázových náhodne generovaných hesiel. Heslo je vytvárané kombináciou štandardného hesla a jednorázového hesla generovaného prostredníctvom mobilného telefónu.

 

autent_3

 

Jednoduché vysvetlenie jeho princípu je zrejmé z nasledujúceho videa:

 

 

Nech siahnete po ľubovoľnej externej forme autentizácie môžete mať istotu, že ste učinili správny krok pre zvýšenie bezpečnosti svojho digitálneho života.

podpis

logovpravo

Vyjadrite váš názor v komentároch