Nový standard pro tvorbu hesel

Stará pravidla a doporučení pro tvorbu hesel, která jsou dodnes stále hojně uplatňovaná, vychází z šestnáct let starého standardu amerického Národního institutu standardů a technologie (NIST – National Institute of Standards and Technology). Od té doby se však situace v odvětví dramaticky změnila. Prosazují se nové metody autentizace, útočníci disponují rozsáhlými databázemi uniklých hesel a uživatelé jsou ze starých požadavků a omezení týkajících se tvorby kvalitního a silného hesla natolik frustrovaní, že ve výsledku používají hesla snadno odhalitelná a opakující se. O této problematice jsme psali v novince „Ukradená hesla – vaše možná také“ . 

Z těchto důvodů americká NIST připravila v roce 2017 nový standard , který část břemene spojeného s tvorbou odolného hesla přenáší na provozovatele služby. Standardy vydávané NIST jsou sice závazné pro omezený okruh organizací, ale často se jimi dobrovolně řídí i soukromé společnosti po celém světě. 

 

Nevynucovat změnu hesla

Uživatelé jsou doslova zavaleni desítkami hesel, která si i bez vynucené obměny stěží pamatují. Pravidelná nucená změna vede ke zjednodušování a opakování či triviální variabilitě, což v důsledku útočníkům výrazně ulehčuje pokusy o prolomení hesla. Podle NIST by měl uživatel své heslo měnit pouze v případě, že se jedná o jeho svobodnou vůli nebo když se obává, že došlo k úniku hesla.

 

Nehlídat algoritmickou složitost

Požadavky na kombinaci čísel, velkých a malých písmen a speciálních znaků jsou dle NIST přežitkem. Uživatel by měl mít právo použít jakékoliv tisknutelné znaky ASCII, znaky Unicode, mezery (ne tabulátor ani neviditelná mezera) nebo třeba symboly emoji, stejně jako mít heslo složeno jen z písmen. Avšak je třeba mít na paměti, že není rozumné vzdávat se silných hesel! Silné heslo se nepozná podle počtu čísel či použití speciálních znaků. Důležité je, že je unikátní, dostatečně dlouhé a nedá se snadno uhodnout.

 

Nepoužívat kontrolní otázky a nápovědy

V době sociálních sítí, kdy se dá o uživateli zjistit spousta informací na pár kliknutí, je používání kontrolních otázek velkou bezpečnostní chybou. Rozhodně by neměly být nabízeny předvolené možnosti a používání nápověď je rovněž pasé.

 

Konstrukce hesla

Uživatel by neměl být při tvorbě hesla nijak výrazně omezován. Zůstal však požadavek na minimální délku osmi znaků. Doporučená maximální délka je 64 znaků, přičemž chce-li mít uživatel jako heslo větu o několika slovech, mělo by mu to být umožněno. Délka 64 znaků byla zvolena kvůli tomu, že se vejdou do jednoho řádku na většině obrazovek.

Uživatel by měl mít možnost zadané heslo zobrazit nebo vypnout hvezdičky/tečky z důvodu kontroly možných překlepů. Heslo by se však po uplynutí určité doby mělo schovat.

 

Porovnání s databází

Provozovatel služby by se měl postarat, aby zadáváná hesla byla porovnávána se seznamy dříve uniklých hesel a se slovy ze slovníků. Například náš informační systém QML sám ověřuje nová hesla oproti databázi HaveIBeenPWNed.com. Systém by měl rovněž umět rozeznat opakované či sekvenční sady znaků (třeba zzzz nebo abc456) a také kontextová slova jako název služby, uživatelské jméno či kombinaci těchto údajů. Následně by měl na nevhodnost používaného hesla uživatele upozornit.

 

Omezení počtu pokusů

V případě provedení útoku hrubou silou by mělo být zabráněno neomezenému počtu pokusů o přihlášení a účet by měl být v překročení stanoveného limitu uzamčen. Kromě toho je možno použít další bezpečnostní techniky jako je CAPTCHA, nastavení časového limitu mezi pokusy, možnost přihlášení ze schválených IP adres apod.

 

Šifrování

Předchozí standard o šifrování neuvažoval, dle nového je nutné udržovat hesla v takové formě, aby co nejvíce ztížila případný útok. Databáze případných získaných hesel by měla být správně zahašovaná.

 

Vícefaktorová autentizace

Standard doporučuje doplnit heslo o další prvek, aby samotná znalost hesla útočníkovi nepomohla, protože mu bude chybět možnost ověření identity. NIST zároveň varuje před použitím SMS jako druhého faktoru. Klasické mobilní zprávy totiž můžou být poměrně snadno zachyceny. Dokument proto doporučuje spíše softwarové generátory jednorázových hesel či ověření pomocí biometrických údajů.

 

Nový standard sice klade důraz na pohodlí uživatele, ale ne na úkor zabezpečení. Měli bychom mít na mysli, že heslo je velmi slabý zabezpečovací prvek, proto přichází na řadu robustnější řešení jako jsou hardwarové tokeny, smart karty či mobilní telefony s biometrickými čtečkami. Nebude to dlouho trvat a multifaktorová autentizace plně nahradí tradiční přihlašování pomocí hesla.