Článek
Vědci z Institutu inženýrů z oborů elektrotechniky a elektroniky (IEEE – největší globální organizace, sdružující přes 420 tisíc techniků) představili softwarové řešení pro bezpečnější správce hesel. Nazvali ho NoCrack.
Vylepšení spočívá v tom, že při pokusu o prolomení hlavního hesla, tedy hesla pro přístup do samotné aplikace pro správu hesel, dostane útočník sadu falešných hesel. Zatímco u tradičních správců hesel se útočník okamžitě dozví, že zkoušené heslo je neplatné, po každém pokusu prolomit heslo NoCrack musí alespoň jedno získané „heslo“ reálně vyzkoušet – jinak netuší, zda s aktuálním pokusem o prolomení uspěl. To představuje přinejmenším významné zdržení; navíc většina seriózních služeb limituje počet pokusů o přihlášení, což testování autentičnosti hesel komplikuje.
Autorský tým z IEEE zatím nemá žádné konkrétní plány na vytvoření komerčního produktu na bázi NoCrack. Nemusí se tedy zaobírat detaily typu jak vyřešit chybně zadané heslo pro přístup do správce hesel. Kdyby se to totiž stalo, legitimní uživatel by se ocitl v pozici útočníka: NoCrack by mu vygeneroval falešná hesla úplně stejně jako v případě pokusu o prolomení hlavního hesla.
Není to zásadní problém. Dá se řešit například tak, že uživatel by si během nastavování správce hesel vybral obrázek, jaký se ukáže při zadání správného hesla a jaký naopak při zadání neplatného. Oprávněný uživatel by se tak dozvěděl, že zadal neplatné heslo, zatímco útočník by musel získaná hesla pracně testovat.
Ani NoCrack není řešením
Ani případné úspěšné nasazení řešení na bázi představeného konceptu NoCrack by nic nezměnilo na faktu, že prostá hesla nemohou bezpečné přihlašování zajistit. Pro opravdu důležité služby zůstává nejvhodnějším řešením dvoufaktorová autentizace, kdy klasické heslo je doplněno jednorázovým heslem, nejlépe generovaným zabezpečenou aplikací v mobilním přístroji uživatele.
Příkladem řešení na bázi dvoufaktorové autentizace je ESET Secure Authentication. Jde o řešení, které minimálními náklady a jen malými nároky na uživatele dramaticky zvýší bezpečnost systémů a dat před neoprávněným přístupem. Protože je to čistě softwarové řešení (jako tzv. token slouží mobilní telefon, přesněji zabezpečená aplikace ESET v něm), odpadá nutnost investovat do dedikovaného tokenu; také pro uživatele je lepší používat pouze mobil místo toho, aby se museli starat o další zařízení.
Klíčovou výhodou řešení ESET Secure Authentication je možnost integrace do prakticky jakéhokoli prostředí. Nabízí systémovým architektům a vývojářům možnost integrovat moderní zabezpečení přístupu k datům a systémům také do prostředí, v němž není k dispozici Active Directory společnosti Microsoft. Tuto možnost dává vývojářská sada (SDK – Software Development Kit) pro programovací jazyky .NET, PHP a Java; ve všech případech ESET nabízí také návody jak pro vývoj, tak pro nasazení a příklady použitelného kódu.
Díky aplikačnímu rozhraní a vývojářské sadě je tedy možné jednoduše nasadit dvoufaktorovou autentizaci k zabezpečení přístupu k prakticky jakékoli aplikaci, a také dokonce ke konkrétním transakcím. Autentizací – a to silnou – tedy lze podmínit například kopírování kritických dat. To umožní ochranu těchto dat pro případ zneužití identity jejich legitimního uživatele.