Mít jen heslo už dnes nestačí, radí bezpečnostní expert. Doporučuje vícestupňové ověření
„Silné heslo by mělo být dostatečně dlouhé a tvořené z nahodilých slov, která by neměla být nijak spojená s vaší osobou,“ doporučuje Radek Šichtanc, ředitel útvarů bezpečnosti ve společnosti O2. Přesto heslo jako jediné ověření dle něj nestačí. Je zastáncem vícestupňové ochrany. „Existují principy vícefaktorové autentizace: něco, co vím, něco, co mám, a něco, co jsem,“ vysvětluje.
Co vypadalo ještě před pár lety jako sci-fi, je dnes běžné. Třeba odemykání aplikace v mobilu skenem duhovky nebo otiskem prstů. Kam se posuneme za dvacet let?
To je dobrá otázka. Dneska je biometrie, která je jedním z faktorů, který se používá pro autentizaci, už celkem běžná, ale pořád ji máme v nějakém zařízení, které ji umí přečíst. Do budoucna se může stát, že tyto autentizační prostředky budou součástí našeho těla.
Svými gesty si vytváříme jedinečný digitální profil, který systém ověřuje a tím chrání naše data, říká expert
To znamená, že nebudeme muset mít další hardware někde v ruce, ale budeme mít tyhle prvky implantované přímo v těle. Ale berte to samozřejmě s nadsázkou, nemusí se to stát.
Heslo je zatím stále nejpoužívanější způsob, jak ochránit svůj účet. Jak se dá takové heslo zneužít?
Většinou je to tak, že uživatel, který to heslo vymyslí, udělá už na začátku, kdy heslo vymýšlí, nějakou chybu. Třeba zvolí slabé nebo snadno odhadnutelné heslo. Pokud je chcete mít silné, mělo by být co nejvíce náhodné.
Aby to pro uživatele bylo lépe uchopitelné, tak jim radím, že stačí, když bude dostatečně dlouhé. Délka hesla opravdu hraje zásadní roli v jeho síle. A ideálně by to mělo být něco, co není spojené s vaší osobou. Vhodné je zvolit si nějaký řetěz náhodných slov – tomu se říká passfráze. Ale heslo je obecně dnes už v podstatě překonaný koncept.
Vy jste zastánce vícestupňového zabezpečení, můžete přiblížit, o co jde?
Existují principy vícefaktorové autentizace: něco, co vím, něco, co mám, a něco, co jsem. To znamená heslo: to je něco, co jsem si vymyslel, znám ji jen já – to je samozřejmě princip toho tajemství.
„Behaviorální biometrie je v podstatě vaše chování, gesta, která používáte, když píšete na klávesnici.“
Pak je tu něco, co mám: to může být nějaký další autentizační prostředek, třeba kartička s čipem. A třetí faktor, něco co jsem: to je biometrika – otisk prstů, sken rohovky a tak podobně. Tento koncept je s námi už řadu let, ale bohužel většina z nás stále používá jen heslo. A to už dnes nestačí.
Co je to behaviorální biometrie?
To je zajímavá věc. Nejen otisky prstů, obličej, sítnice, duhovka a tak podobně vytvářejí náš jedinečný profil, ale ten může být spojen i s něčím, co uživatelé třeba ani nevnímají. Jde v podstatě o vaše chování, o gesta, která používáte, když píšete na klávesnici, nebo o pohyb, jakým s mobilem manipulujete.
To všechno vytváří jakýsi váš digitální profil, na jehož základě jsme schopni vás ověřit. Toto ověření je celkem spolehlivé a je fajn v tom, že je transparentní, nemusíte mít žádný další prostředek, nemusí si nic instalovat. Tento systém používá docela dost institucí.
Co může Radek Šichtanc říct o spolupráci s FBI? A co znamenají pojmy jako phishing nebo třeba threat hunteři? Poslechněte si celý rozhovor.