Kdo nemá heslo, tomu ho neukradnou
Používání hesel na internetu je nekonečná potíž. Velká část z nich je takzvaně slabá, majitelé je zapomínají, dostatečně často je nemění a dělají málo pro ochranu svých dat i peněz. „Lidé jsou líní pamatovat si unikátní heslo pro každou službu, a tak používají všude stejné. Pokud je pak některá ze služeb napadena a hesla uniknou, útočníci je zkouší i na ostatních,“ říká Michal Salát, ředitel týmu Threat Intelligence v Avastu. Technologicky pokročilé společnosti míří k systému jiného zabezpečení, než je heslo.
Než bude v praxi běžné, řešením může být například využít nabídky digitálních správců hesel. „Heslo je však v tomto případě uloženo mimo samotného poskytovatele služby, takže vždy existuje možnost jeho odcizení a zneužití. Optimální je kombinace jedinečného, složitého hesla a jednorázově generovaného kódu s využitím biometrických prvků. Tedy kombinace něčeho, co uživatel zná, něčeho, co má, a něčeho, co uživatel je,“ radí Michal Satur z poradenské společnosti EY. Toto vícefaktorové ověření banky ve svých aplikacích musí pro zjišťování identity používat povinně.
Biometrika je lepší, ale ne dokonalá
Hackeři každý týden ukradnou v průměru milion hesel. Jinou cestou je začít ověřovat jinak a obejít se bez hesla. Už před několika lety v alianci FIDO, jejímž posláním je vyvíjet a podporovat standardy ověřování, vznikl koncept s cílem snižovat celosvětovou „závislost“ na heslech. Dnes na něm spolupracují technologické giganty jako Google, Apple či Microsoft. Problém je, že pro zavedené instituce může být obtížné již přidělená hesla svým klientům odebírat a nutit jim přihlášení jinou cestou.
Výhodu mají tam, kde vlastní systém i aplikaci staví od začátku. „Když nemám žádné heslo, nemůžu ho zapomenout ani ztratit, nikdo mi ho nemůže ukrást,“ říká technologický ředitel projektu Partners banky Jiří Raška. Na začátku vývoje se tam rozhodli, že jejich klienti žádné heslo pro komunikaci s bankou potřebovat nebudou.
V tomto systému zákazník na začátku potřebuje osobní doklad, tedy nejčastěji občanský průkaz, a mobilní telefon nebo údaje do bankovní identity. Aplikace provádí na pozadí řadu kontrol, například prověřuje, zda není doklad nahlášen jako kradený. Pak zvolené zařízení – mobilní telefon, který splňuje požadované bezpečnostní parametry – aktivuje. A banka ho od té doby považuje za důvěryhodné.
Část lidí se bojí instalovat mobilní bankovnictví a raději využívá pro přístup k bance počítač. Použití mobilu je však výrazně bezpečnější.
Uživatel v aplikaci volí PIN, který se nikam nepřenáší, v Partners ho ani nebudou znát. Zůstává uložen v zabezpečené podobě jen v zařízení, nikdo ho nemůže po cestě „odposlechnout“. Pro případné útočníky bude mnohem obtížnější vylákat z klientů údaje podvodným způsobem, třeba pomocí phishingu. Když neexistuje uživatelské jméno ani heslo, nemá uživatel útočníkům, kteří se vydávají za průzkumníky veřejného mínění nebo zástupce různých institucí, co prozradit. Pro každé další přihlášení se pak používají, pokud s tím klient souhlasí a jeho zařízení takovou možnost podporuje, biometrické údaje – otisk prstu nebo sken obličeje. Až potom PIN, pokud biometrika nefunguje.
I tento způsob má svá úskalí a lze ho zneužít. „Lidé si mnohdy do telefonu nahrají i otisky prstů svých dětí, aby jim umožnili hrát hry. Nebo sekundární sken obličeje svého partnera, aby mohl ovládat chytrou domácnost. A tím jim mohou umožnit neomezený přístup k bankovním službám,“ říká Satur. I banky se však podle něj vydají takovouto cestou, postupně se připojí k technologickým společnostem do aliance FIDO a zbaví se systému vydávání a využívání hesel.
Do banky nejlépe s klíčem
Většina bank biometrické přihlášení využívá. Často jde o jednu z možných metod a s hesly se stále pracuje, i když už také jinak. „Česká spořitelna již hesla v podstatě eliminovala. Jako ověřovací faktor využíváme PIN, který je navázán na příslušný uživatelský certifikát. Hesla jsou snadněji napadnutelná phishingem. Je zřejmé, že lidé mohou předat neautorizovaným subjektům i svůj PIN, ale tím již porušují pravidla pro bezpečné zacházení se svými produkty,“ říká František Bouc z České spořitelny. Pro přihlašování do její mobilní aplikace George používá buď biometrii, tedy otisk prstu či sken obličeje, nebo PIN.
V Air Bank přihlašování do mobilního bankovnictví úplně bez hesla nyní nechystají. „Klienti si sice musí své heslo do aplikace nastavit vždy (a protože účet u Air Bank jde založit i přímo v aplikaci, je zde heslo potřeba i pro podpis rámcové smlouvy – pozn. red.), zároveň si ale mohou vybrat, jestli se do My Air chtějí do budoucna přihlašovat už jen otiskem prstu nebo rozpoznáním obličeje, aby heslo pro přihlašování už nemuseli zadávat,“ říká Roman Macháček z Air Bank. Heslo pak nepotřebují pro internetové bankovnictví, protože se do něj mohou přihlásit právě pomocí aplikace.
Využívání klíče, což je ona mobilní aplikace, s níž majitel potvrzuje přihlášení do internetového bankovnictví i transakce, je mezi bankami stále rozšířenější. „Na mobilních aplikacích jdeme do značné míry cestou passwordless, tedy bez hesla. Rozhodně ale nejdeme cestou eliminace faktoru, kdy uživatel něco zná,“ vysvětluje projektový manažer Komerční banky Tomáš Vohnický. A dodává, že se klienty snaží vzdělávat, aby volili co nejbezpečnější komunikaci.
Raška říká, že v Partners budou moci při vynechání hesla snáz detekovat podvodné jednání. „Nebude třeba řešit komplexitu hesel, jak často se mění, ve kterých systémech se předává, jakým způsobem heslo od klienta putuje. Díky tomu něco ušetříme. Na druhou stranu zase vynaložíme víc peněz na jiné bezpečnostní prostředky, například ověřování dokladu, zjišťování, zda nejde o falzum, či ověřování identity držitele zařízení. Jedná se o automatizovaný proces, ale i tak je poměrně komplexní,“ porovnává Raška.
Klienti mohou tuto bezpečnostní inovaci navíc vnímat jako nebezpečí. „Mohou mít pocit, že právě heslo chrání jejich účet nejlépe. Bezpečnostní experti však doporučují cestu bez hesel jako bezpečnější. Dodnes se část lidí třeba bojí instalovat mobilní bankovnictví a raději využívá počítač. Přitom je použití mobilu výrazně bezpečnější. Používáte aplikaci, kterou vydala banka, a nebezpečí phishingu i jiných typů útoku je nižší,“ dodává Raška.
Zdroj: ekonom.cz