DESATERO - bod druhý

01.04.2025 08:00 - Od Pavel

2. Drž své autentizační údaje v tajnosti a přihlašuj se bezpečně.


2FA

Všude kde můžete, používejte dvou faktorovou autentizaci. Jak na ni, Vám jistě rád poradí Váš IT správce. Jedná se o způsob, kdy je k přihlášení potřeba použít minimálně 2 způsoby autentizace současně. 

Možné způsoby autentizace jsou:

      • co víte: informace, kterou ví jen uživatel, například heslo, PIN, atd.
      • co máte: fyzický objekt ve vlastnictví uživatele, například bezpečnostní token (USB zařízení, občanský průkaz s čipem, mobilní telefon, platební karta, atd.)
      • čím jste: biometrická charakteristika uživatele (otisk prstu, snímek oční duhovky, sítnice nebo obličeje, DNA, ...)
      • kde jste: připojení k určité počítačové síti (tj. IP adresa) nebo k určitému zařízení, určitá GPS pozice, atd.


Heslo

A jak na bezpečnost při používání hesel?  Stačí se řídit těmito radami.


  •  Používejte silná hesla.

       Taková, která se nedají uhodnout nebo prolomit v krátké době. Silné heslo je takové, které :

      • se skládá minimálně ze tří typů znaků (malá písmena, velká písmena, číslice, speciální znaky),
      • je dostatečně dlouhé, alespoň 12 znaků (při použití 2FA lze mít heslo i 8 znaků)
      • nedá se uhádnout nebo odvodit. Nepoužívejte v hesle slova a údaje, které se vztahují k Vám nebo Vašim blízkým, stejně tak posloupnosti znaků a číslic, známá slova, atd. Dobrým příkladem je heslo, které se skládá z počátečních písmen nějaké věty (například: K.10tmpm.aJV  - Kniha 10 tisíc mil pod mořem autor Julius Verne)
  • Používejte pro každou službu jiné heslo.

      To je důležité proto, že když dojde k uniku Vašeho hesla u jedné služby, aby nemohlo být použito k přihlášení u jiných služeb. Zásadně oddělujte hesla soukromá a                  pracovní. V soukromí mějte různá hesla pro bankovnictví, email, e-shopy, sociální sítě, kontakt s úřady, atd. Proč? Jsou tu 2 hlavní důvody:

      • Ne každý systém má stejnou úroveň zabezpečení. Takže, když například útočník získá Vaše heslo z nějakého čínského e-shopu, mohl by ho použít pro přihlášení do Vašeho bankovnictví. V minulosti se již stala spousta případů, kdy na veřejnost unikly stažené databáze klientů. (například společnosti Mall). Další příklad zneužití může být třeba ten, kdy útočník v e-shopu na Vašem účtu objedná zboží nebo provede změnu nastavení Vašeho účtu. Následně do Vašeho emailu přijde žádost o potvrzení. Pokud máte do emailu stejné heslo jako do Vašeho e-shopu, útočník se dostane i tam, a potvrzení provede. A to některé eshopy provedou automaticky i platbu pokud máte u nich uložené platební informace, což není dobrý nápad.
      • Neznáte způsob zabezpečení uložených hesel. Správně mají být hesla ukládána ve formě HASH. Je možné, že některé služby ukládají Vaše hesla v čitelné podobě a má k nim přístup minimálně administrátor této služby. Ten je pak může zneužít.


  • Hesla si pravidelně měňte.

    • Každé heslo se dá prolomit. Záleží jen na výkonu stroje, na kterém se to provádí a dostupném času. Proto žádná Vaše hesla nebudou bezpečná napořád.

     

  • Používejte pouze bezpečné password managery.

    • Každý člověk potřebuje běžně několik hesel k různým službám a ve spojitosti s jejich složitostí není v silách každého si je pamatovat. Rozhodně si nepište hesla nikam na lístečky. Ideální je používat na to specializovaný SW (password manager), kde jsou Vaše hesla uložena šifrovaně a dostanete se k nim pouze Vy. Vybírejte ale takový,  který je důvěryhodný, nebo takový, který používá Vaše firma.


  • Funkce zapamatovat heslo.

    • Používání funkce uložit heslo, kterou Vám nabízí třeba webový prohlížeč, není bezpečné. Obzvláště u zařízení, ke kterým má administrátorský přístup někdo jiný,            nebo pokud někdo má oprávnění změnit Vaše přihlašovací heslo k takové stanici. Pak se může přihlásit k takové stanici Vašim účtem a hesla si zobrazit.

     

  • Když dostanete nové heslo, vždy si heslo změňte před jeho prvním použitím.

    • To je důležité proto, že ve chvíli předání heslo neznáte jen Vy. Proto si ho změňte hned, aby jste heslo ke svému uživatelskému účtu znali jen Vy.

     

  • Své heslo nikomu neprozrazujte.

    • A to nikdy a opravdu nikomu a za žádných okolností. A už vůbec ne, pokud Vám někdo volá, nebo píše. Ani firemnímu IŤákovi. Neexistuje důvod, proč by měl někdo 

    znát  Vaše heslo. Správce, který to potřebuje k nějakým servisním účelům, si může Vaše heslo legálně změnit. V takovém případě je taková aktivita zapsána v logu a        daný  správce za takovou operaci odpovídá. 
    Pamatujte si, že ten kdo zná Vaše heslo, může provádět činnosti pod Vaším jménem a odpovědnost za to nesete Vy sami.  Nikdy nedovolte svému kolegovi, aby něco dělal  pod Vašimi autentizačními údaji.

     

  • Při zadávání hesel dávejte pozor na možná odpozorování.
      Vždy si buďte jistí, že se někdo nekouká třeba přes Vaše rameno. Taky dávejte pozor na průmyslové kamery.  Stejně jako když zadáváte třeba PIN ke kartě u bankomatu.
      Stejnou opatrnost a obezřetnost dodržujte i u jiných autentizačních prvků. Kromě hesla jsou to například:
      • PIN
      • Čipy a čipové karty
      • Autentikátory pro 2FA


    Nejčastější metody, kterými se někdo snaží získat Vaše autentizační údaje jsou:

      • Telefonní hovor, kterým se někdo vydává za firemního IŤáka.
      • Phishingový email:  Kdy útočník zašle zdánlivě důvěryhodný email s odkazem na falešnou stránku, kde sbírá autentizační údaje, které tam zadáváte.
      • Odpozorování.
      • Kolega s nabídkou, že Vám s něčím pomůže.


Biometrické přihlášení.

Víte, že v systému Windows je možné si nastavit přihlášení pomocí biometrie? Konkrétně otisku prstu a rozpoznání obličeje. I v tomto případě je však nutné mít nastavené silné heslo. Následně si můžete nastavit ověření/přihlášení pomocí biometrie, abyste nemuseli pokaždé zadávat složité heslo. Má to však svá pravidla:

      • Ne na každém zařízení je to umožněno – aby to bylo technicky možné, musí být Vaše zařízení vybaveno kamerou nebo čtečkou otisku prstů, která má Microsoft certifikaci. Také je možné, že tuto možnost blokuje Váš správce.
      • Použití biometrie je podmíněno zadáním PINu. Ten se používá jako záložní způsob při nerozeznání Vašich biometrických údajů, stejně jako je tomu třeba v telefonu. Z předchozích informací je logické, že i onen PIN musí být dostatečně bezpečný, aby nemohl být zneužit útočníkem, který nezná Vaše heslo. Proto by měl být minimálně 6 místný číselný, ale ideálně by měl být kombinací čísel a znaků stejně jako heslo.

Telefon

Kromě samotného počítače/notebooku a přihlašování do aplikací a služeb je důležité mít i správně zabezpečený telefon. Možnosti odemykání telefonu jsou:

      • Gesto – není bezpečný způsob.
      • Pin – měl by být alespoň 6 místný.
      • Heslo – bezpečnější způsob. Ideálně pokud je heslo komplexní.
      • Biometrie  - nejbezpečnější způsob.

Pavel

Kategorie :
Tagy :