Firma AppBugs, specializovaná na mobilní bezpečnost, otestovala stovku nejpopulárnějších aplikací, které jsou propojené s profilem uživatele a slouží k přístupu k nějaké službě. (Příkladem může být zpravodajská služba CNN nebo specializovaný cestovatelský portál Expedia). Test byl zaměřen na odolnost aplikací a s nimi propojených uživatelských účtů vůči pokusům prolomit heslo hrubou silou. Ukázalo se, že 53 ze zmíněné stovky testovaných aplikací nemá žádné omezení pro opakované pokusy o zadání hesla.

Umožnit neomezený počet pokusů o zadání hesla je podle výzkumníků AppBugs jednoznačně bezpečnostní chybou. „Z naší analýzy 70 miliónů reálně používaných hesel vyplývá, že síla typického hesla závisí na 10–20 bitech. V prvním případě útočník k nalezení hesla potřebuje 1024 a v druhém 1048576 pokusů. Pokud uvážíme rychlost zadávání hesel 30 za minutu, může odhalení hesla trvat půl hodiny až 24 dnů, přičemž koordinovaný útok z většího počtu IP adres tuto dobu srazí na odpovídající zlomek,“ vysvětluje AppBugs.

Rozsah problému

U populárních aplikací je běžné, že existují ve verzích pro oba nejrozšířenější operační systémy, tedy jak pro Android, tak pro iOS. Z dat obchodu Google Play vyplývá, že odhalených 53 nezabezpečených aplikací má dohromady na 300 miliónů stažení; společnost Apple počty stažení neuvádí, ale výzkumníci AppBugs odhadují, že data za iOS budou obdobná jako za Android. Celkový počet stažení aplikací s nedostatečnou odolností proti pokusům prolomit heslo je tedy zhruba 600 miliónů.

Jedno heslo nestačí

„Odhalení AppBugs je jenom další důkaz, že tradiční hesla nedokážou zabezpečit systémy a data před neoprávněným přístupem. Ani oprava zmíněné chyby nepředstavuje systémové řešení – tím je až nasazení vícefaktorové autentizace, nejlépe na bázi jednorázového hesla,“ komentuje Peter Stančík, Security Evangelist společnosti ESET.

Příkladem efektivního řešení pro vícefaktorovou autentizaci zmíněného typu je ESET Secure Authentication, které tradiční zabezpečení heslem posiluje o druhé heslo, vygenerované zabezpečenou aplikací na mobilním přístroji uživatele.

ESET Secure Authentication je jednoduše nasaditelné (standardní nasazení je možné kompletně – na serverové i klientské straně – realizovat do deseti minut) a uživatelsky přátelské. Jeho výhodou je, že nevyžaduje používání hardwarového tokenu, ale umožňuje využít existující infrastrukturu – smartphone. V případě, že uživatel nedisponuje chytrým telefonem, je standardně k dispozici alternativní způsob zabezpečení jednorázovým heslem: heslo se vygeneruje na serveru a je uživateli doručeno jako SMS.

Řešení ESET Secure Authentication může být nasazeno třemi způsoby. Vybrané rozšířené aplikace podporuje nativně a díky přítomnosti rozhraní API je možné toto řešení jednoduše integrovat do existujícího autentizačního systému, využívajícího Active Directory společnosti Microsoft. Pomocí vývojářské sady (SDK) je navíc možné řešení ESET Secure Authentication implementovat také do libovolného vlastního systému, tedy bez potřeby použití Active Directory.

„Existuje řada důvodů, proč zabezpečení pouhým heslem nestačí, a to ani v případě dostatečně dlouhých a správně implementovaných hesel. Jakmile je možné použít stejné heslo víckrát, jde prostě o riziko. A jednorázová hesla toto riziko účinně řeší,“ shrnuje Peter Stančík, Security Evangelist společnosti ESET.