Java týden Java týden
Pouze tento týden sleva až 80 % na celý Java e-learning!
Brno? Vypsali jsme pro vás nové termíny školení OOP v Brně!

Průzkum: Hesla do deseti let zmizí

Unicorn College Tento obsah je dostupný zdarma v rámci projektu IT lidem.
Vydávání, hosting a aktualizace umožňují jeho sponzoři.

Podle průzkumu společnost SecureAuth se počet kybernetických útoků za poslední dobu zmnohonásobil. Např. 59% dotázaných expertů na bezpečnost přiznalo, že v jejich společnosti došlo k únikům dat za posledních 12 měsíců aspoň jednou. Částečně za to může firemní politika jednoho hesla.

Průzkum také ukazuje, že hesla často představují náklad. 85% expertů na kyberbezpečnost uvedlo, že se zaměstnanci velice často obrací na help-desk s tím, že heslo zapomněli.

Až 91% všech expertů na kyberbezpečnost věří, že tradiční hesla do deseti let zcela zaniknou. 97% dotázaných věří, že nové metody autentizace jsou spolehlivé (ověření otiskem prstu, dvoufázové ověření atd.) a 95% potvrdilo, že do deseti let zavedou nová - lepší - bezpečnostní opatření.

62% dotázaných věří, že finanční ztráty způsobené kyberútoky převyšují investici do bezpečnostních opatřeních proti nim.

"Průzkum ukazuje, že chuť po alternativách k běžnému heslu roste," prohlásil Craig Lind, vedoucí SecureAuth. "Vylepšení autentizace přinese trhu nové možnosti. Tyto nové metody udržují bezpečí a zároveň nebrání zaměstnacům v produktivitě. Nové metody zahrnují třeba rozpoznávání zařízení, analýzu pohybu osob či biometrické ověření. Zavedení všech těchto opatření ještě nějakou dobu potrvá, ale jsem přesvědčen, že v dnešní době je nutná proaktivita, než reaktivita."

Zdroj: Infosecurity Magazine


 

 

Zprávu pro vás napsal Filip Matthias Lukl 16.12.2015 21:01
Avatar
Autor momentálně pracuje jako překladatel v jedné malé velké společnosti. A také rád píše...
Všechny články v sekci
Zprávy ze světa softwaru
Aktivity (2)

 

 

Komentáře

Avatar
Jan Lupčík
Šéfredaktor
Avatar
Jan Lupčík:16.12.2015 22:14

Brzo místo "Zapomněli jste heslo?" bude "Zapomněli jste telefon?". :D

Odpovědět  +4 16.12.2015 22:14
TruckersMP vývojář
Avatar
Odpovídá na Jan Lupčík
Michal Žůrek - misaz:16.12.2015 22:17

nebo "Zapomněli jste, který prst?"

 
Odpovědět  +8 16.12.2015 22:17
Avatar
Daniel Vítek
Tým ITnetwork
Avatar
Daniel Vítek:16.12.2015 22:39

Nebude potřeba heslo? Není první fází u dvoufázového ověření právě heslo?

Odpovědět  +9 16.12.2015 22:39
Na síti působím už pěknou řádku let. Pokud budeš něco potřebovat, písni mi, pokusím se ti poradit :)
Avatar
David Novák
Redaktor
Avatar
David Novák:17.12.2015 11:17

No nevím.. Jestli 97% věří, že ověření otiskem prstu je bezpečné.. Tak jsou asi dost naivní :D

Není zas tak složité získat něčí otisk prstu a vyrobit si umělý prst se stejným..

Odpovědět  +4 17.12.2015 11:17
Chyba je mezi klávesnicí a židlí.
Avatar
Neaktivní uživatel:17.12.2015 11:35

Otisk prstu lze použít pouze jako doplněk ke zvýšení bezpečnosti, nikoliv jako náhradu za hesla.
Teda aspoň dokud mi někdo nevysvětlí, jak si budu moct v případě otisku prstu měnit preventivně "heslo" jednou do měsíce, jak budu moct používat různá hesla pro různé služby, jak budu postupovat v případě úniku citlivých dat (jakože pár společnostem už se stalo, že jim hesla vytekla ven) apod.

@David Novák: umělý prst je nápad (asi) z bondovek z doby před mnoha lety. Dnes není potřeba nikomu usekávat ruku. Stačí se podívat na situaci s bankomaty - někdo namotnuje čtečku a data si přečte v době, kdy se klient snaží přihlásit. Nebo odposlechne komunikaci, nebo se nabourá do databáze... Chci říct - není potřeba mít ten prst fyzicky, stačí přece získat jenom ta data, která ho popisují.

Odpovědět  +1 17.12.2015 11:35
Neaktivní uživatelský účet
Avatar
Honza
Člen
Avatar
Honza:17.12.2015 13:59

Roman to vystihl dobře, není potřeba získat příslušnou část těla (prst, oko a bůh ví co ještě) aby se člověk mohl přihlásit do počítače. Je potřeba si uvědomit jak tyto porovnání pracují. Aby počítač byl schopen cokoli posoudit, musí si to převést do podoby ve které tomu bude rozumět, to jest do jedniček a nul. A v tu chvíli je jedno jestli zadáváte heslo, matláte prstama po čtečce a nebo mu zpíváte svojí oblíbenou písničku, výstup budou vždycky jen jedničky nebo nuly které počítač zpracuje a rozhodne jestli souhlasí/nesouhlasí se vzorem. Takže ve své podstatě jde jen o to jak náročné je to "heslo" (ať už v jakékoli podobě získat) ale jde to vždycky. Navíc teď se nám může zdát že některé nové způsoby zabezpečení jsou lepší než ty běžné, ale to může být také proto že se moc nepoužívají, tudíž se ti co se snaží někam vlámat na ně ještě nezaměřili. Ve chvíli kdy se nějaký způsob přihlašování rozšíří dostatečně na to aby stálo za to se o něj zajímat, najde se vždycky několik způsobů jak dané zabezpečení obejít.

Odpovědět 17.12.2015 13:59
Snadnou cestou se daleko nedostanete, je tam velká tlačenice...
Avatar
David Novák
Redaktor
Avatar
Odpovídá na Neaktivní uživatel
David Novák:17.12.2015 14:36

Myslím, že jsi to pochopil špatně - data popisující tvůj se přece nikde posílat nebudou - co je to za hloupost?

Jde pouze o ověření toho, kdo za tím počítačem sedí - následná přihlášení ke službě by samozřejmě probíhalo pomocí tajného klíče a nejspíše složitého, jedinečného hesla, které by bylo pouze v tvém PC. Ty by ses otiskem prstu ověřil a následně by se automaticky vytvořilo šifrované spojení - výhoda je ta, že člověk žádné heslo nevymýšlí ani nepoužívá - může být tedy dostatečně složité a také jedinečné.

A pokud ti ověření probíhá pouze lokálně v PC nebo nějakém terminálu, tak mi řekni, jak bys to chtěl rychle a jednoduše obejít.. Nejjednodušší řešení je opravdu sejmout otisky prstů majitele a vyrobit si (zabere to pár hodin) falešný prst a ten následně použít..

Chápu ale, že zpráva může být poněkud matoucí.. Ovšem hesla (šifrovací klíče) jako takové rozhodně v blízké době nezmizí.

Odpovědět  +1 17.12.2015 14:36
Chyba je mezi klávesnicí a židlí.
Avatar
Honza
Člen
Avatar
Odpovídá na David Novák
Honza:17.12.2015 15:06

Nejde o to že by se nutně posílala někam po síti data reprezentující tvůj prst. Jde o to že ve chvíli kdy přejedeš prstem po čtečce, sejmou se nějaká data která se převedou na jedničky a nuly a pak se s nima něco děje dál. Tudíž přejetí prstu po čtečce se dá nahradit tím, že počítači rovnou předhodím tu binárku reprezentující prst oprávněného uživatele (teď neřeším kde ty data získám). To co se pak děje potom je už stejný v obou případech. Jde prostě jen záměnu způsobů jakým se vstupní data dostanou do počítače.

Odpovědět 17.12.2015 15:06
Snadnou cestou se daleko nedostanete, je tam velká tlačenice...
Avatar
David Novák
Redaktor
Avatar
Odpovídá na Honza
David Novák:17.12.2015 17:35

Tak to bych chtěl vidět, jak je tomu počítači "předhodíš".. :D

Máš zamčený PC.. Šifrovaný HDD (vcelku běžné opatření v bezpečnostně kritických aplikacích).. Jak počítači předhodíš počítači nějaká data, když se do něj v tu chvíli vůbec nedostaneš?

Odpovědět  +2 17.12.2015 17:35
Chyba je mezi klávesnicí a židlí.
Avatar
Odpovídá na David Novák
Uživatel sítě :17.12.2015 19:36

Nic není nedobytné, vždycky se něco najde. :-`

Odpovědět 17.12.2015 19:36
Chybami se člověk učí, běžte se učit jinam!
Avatar
Odpovídá na Uživatel sítě
Michal Žůrek - misaz:17.12.2015 19:55

ale on používá Linux.

 
Odpovědět 17.12.2015 19:55
Avatar
David Novák
Redaktor
Avatar
Odpovídá na Uživatel sítě
David Novák:17.12.2015 20:16

No v tomto případě bych si dokázal představit "hack" takovýto:
Rozebrat PC a vyměnit čip, který ovládá čtečku otisků prstů za svou verzi, která automaticky odešle příslušná data, která jsem "nějak" získal. Ovšem řekl bych, že je proti tomu relativně snadná ochrana - počítač by věděl jedinečné ID čipu a od jiného by informace nepřijal. Čip by se při sestavování PC naprogramoval na jedinečné ID konkrétního PC a své ID by odeslal pouze po předchozí verifikaci, že je připojen k správnému PC.

Jediné řešení, jak toto obejít, by bylo podívat se do ROM daného čipu - což by vyžadovalo speciální vybavení, protože by to běžně nebylo možné. Pokud by v implementaci nebyla někde kritická chyba, která by umožnila toto ověření obejít (což by snad nemělo být možné - je to relativně jednoduchá věc), tak bude celý proces trvat dlouhý čas. A pokud jdeš někam krást data, tak těžko budeš mít čas rozebírat PC.. A také by to bylo velmi podezřelé ;)

To je mnohem jednodušší nalepit fólii na některý z předmětů, co oběť používala a vyrobit si falešný prst. Prolomení této ochrany pak zabere asi tak sekundu. A ono získat otisk prstu je poměrně jednoduché - navíc má jistě většina států rozsáhlou databázi.. A Apple taktéž..

Odpovědět  +1 17.12.2015 20:16
Chyba je mezi klávesnicí a židlí.
Avatar
Odpovídá na David Novák
Michal Žůrek - misaz:17.12.2015 20:39

akorát aby byl hardware aspoň trochu funkční potřebuje ke své funkčnosti nějaký software a na to opravdu není potřeba rozebírat čip čtečky otisků prstů. jestliže se budeme autentizovat prstem, tak prostě nebude phishing na textová hesla, ale na otisky prstů. Jediný rozdíl tedy, je že prstu se v reálném světě ať chci nebo nech i nezbavím, textové heslo v reálném světě nikde být zapsané nemusí.

 
Odpovědět  +2 17.12.2015 20:39
Avatar
David Novák
Redaktor
Avatar
Odpovídá na Michal Žůrek - misaz
David Novák:17.12.2015 20:46

Pokud by se to takto rozšířilo, tak očekávám podporu na úrovni CPU - SW by vůbec do ověření nezasahoval.. Dal by žádost o ověření a buď by ji dostal, nebo ne.

Phising by na otisky tolik nehrozil, protože samotné otisky by se nikam neposílali - pouze nějaké složité hesla, které by PC generoval. Pochybuju, že by to příslušní inženýři udělali hloupěji ;)

Odpovědět 17.12.2015 20:46
Chyba je mezi klávesnicí a židlí.
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na David Novák
Martin Dráb:17.12.2015 21:17

Pokud by se to takto rozšířilo, tak očekávám podporu na úrovni CPU - SW by vůbec do ověření nezasahoval.. Dal by žádost o ověření a buď by ji dostal, nebo ne.

AFAIK už tímto způsobem dost biometrických zařízení funguje – jako blackbox, který nijak nepublikuje svá privátní data (klíče atd.). Software jej může jenom žádat o provedení příslušných operací. Samozřejmě je tu otázka, jak snadno se dá do takových bio zařízení dostat.

Hlavní problémy u bioim. údajů vidím v tom, že když ti je někdo odcizí, tak je obvykle nedokážeš změnit, a v tom, že (oproti standardní kryptografii) je pravděpodobnost false positives dost vysoká.

P.S.
Snad už to tady nikdo neříkal... :-).

Odpovědět  +3 17.12.2015 21:17
2 + 2 = 5 for extremely large values of 2
Avatar
David Novák
Redaktor
Avatar
Odpovídá na Martin Dráb
David Novák:17.12.2015 21:34

Naprostý souhlas.. :)

Myslím, že lidi moc koukají na filmy s "hackery".. :D

Pokud se bavíme čistě o PC, tak podpora přímo v CPU podle mě ještě není - musí to jít přes OS a nějaký SW, takže tam je teoreticky jistá zranitelnost..

Odpovědět 17.12.2015 21:34
Chyba je mezi klávesnicí a židlí.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 17 zpráv z 17.