Dreamstime
StoryEditor

Poradňa: Recyklácia je „in“, pri heslách to však neplatí

30.05.2024, 14:00

Vo svete kybernetickej bezpečnosti sa pozeráme na prihlasovacie údaje ako na prvú líniu obrany podniku v boji proti čoraz sofistikovanejším hrozbám. Mať silné a bezpečné prihlasovacie údaje je preto kľúčové.

Napriek ich dôležitosti môžu byť heslá kompromitované mnohými, aj relatívne jednoduchými spôsobmi.

Zneužitím prihlasovacích údajov sa to však vo väčšine prípadov nekončí a reťazec kybernetického útoku pokračuje. Výsledkom je zneužitie systémov a krádež citlivých údajov, finančné straty a poškodenie dobrého mena.

Čo hovoria dáta

Globálne štatistiky potvrdzujú, že bezpečnosť podnikových dát a systémov je čoraz častejšie narušená „prelomeným“ heslom. Podľa správy IBM X-Force 2024 ide o medziročný nárast o 71 percent.

No aj napriek rastúcej dostupnosti nových metód prihlasovania a túžbe po „bezheslovej“ budúcnosti vidíme, že práve heslá zostávajú najrozšírenejšou metódou autentifikácie. Zároveň sú však veľmi obľúbeným cieľom kyberzločincov.

Podľa Google Cloud 2023 Threat Horizons Report v uplynulom roku až 86 percent prípadov úniku firemných údajov pramenilo zo zneužitia ukradnutých prihlasovacích údajov. K tým sa útočníci môžu dostať rôznymi spôsobmi – od využitia sociálneho inžinierstva a phishingu cez malvér až po prelomenie viacfaktorovej autentifikácie či útoky hrubou silou. No napríklad aj tak, že ich ukradnú z vášho prehliadača.

Pozor na recykláciu hesiel

V ideálnom svete by sme sa preto mali snažiť útočníkom ich snahy čo najviac sťažiť. Prax však ukazuje pravý opak – podľa Google Cloud 2023 Threat Horizons Report môže za 60 percent globálnych kybernetických incidentov práve nedostatočná politika hesiel.

Tá v praxi vyzerá aj tak, že vaši zamestnanci heslá recyklujú – napríklad opakovane používajú ako prihlasovacie meno rovnaký e-mail a heslo, a to na viacerých zariadeniach, weboch či aplikáciách. Ak sa prostredníctvom nezabezpečeného webu kybernetický zločinec dostane k prihlasovacím údajom zamestnanca, ktorý ich používa zároveň aj v práci, zrazu má v rukách „kľúče od vášho kráľovstva“.

Heslá jedine bez papierika

Okrem toho môžu byť heslá vašich zamestnancov pre kyberzločincov veľmi ľahko uhádnuteľné. Zložité heslo by ideálne malo vyzerať ako dlhý reťazec znakov bez zmyslu. A ten sa dá len veľmi ťažko prelomiť, ak vôbec. Zároveň je však takéto heslo ťažko zapamätateľné. Riešením je správca hesiel, tzv. password manager.

Jedna vec je vytvoriť heslo bezpečné a jedinečné, druhá zas jeho spoľahlivá ochrana. A tá sa zanedbáva. Potvrdzujú to aj dáta – správcu hesiel musí globálne v práci používať iba 25 percent zamestnancov. Zapisovanie hesiel „na papierik“ alebo ich zdieľanie ďalším členom tímu je tak smutná prax nielen na Slovensku.

Bezheslová budúcnosť

Ako vidíme, v dnešnom digitálnom prostredí sa tradičné metódy autentifikácie založené na heslách ukazujú ako nedostatočné na to, aby vyhovovali vyvíjajúcim sa bezpečnostným potrebám. Aj preto sa čoraz viac organizácií obracia na alternatívne riešenia autentifikácie „bez hesiel“ využívajúce biometriu, hardvérové tokeny či mobilné push upozornenia. Tie zvyšujú bezpečnosť, ale aj zlepšujú používateľskú skúsenosť zamestnancov.

Aj keď tieto alternatívne riešenia zatiaľ nie sú uplatniteľné všade, predpokladáme, že nás čaká nová éra autentifikácie bez hesiel.

Silvia Strežová, void SOC, centrum kybernetickej bezpečnosti Soitron

 

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
02. november 2024 14:26