Největší poučení z narušení bezpečnosti dat společnosti Yahoo je to, o kterém nikdo nemluví

Od včerejšího oznámení společnosti Yahoo, že hackeři zcizili soukromé informace o půl miliardě účtů, se sice hodně mluví a po prolomení hesla se objevují obvyklé rady (změňte si heslo, nepoužívejte heslo opakovaně na více stránkách atd.) proběhlo médii, existuje několik zásadních poučení, kterým se nedostává dostatečné pozornosti, ale která jsou pro podniky i spotřebitele nesmírně důležitá.

1. Nepoužívejte k ověřování zpochybňující otázky

Společnost Yahoo ve svém oficiálním prohlášení uvedla, že „zneplatnila nezašifrované bezpečnostní otázky a odpovědi, takže je nelze použít k přístupu k účtu“, a doporučila dotčeným stranám, aby „změnily heslo a bezpečnostní otázky a odpovědi u všech ostatních účtů, na kterých jste použili stejné nebo podobné údaje, jaké jste použili pro svůj účet Yahoo“.“

Dost jednoduché, že??

Ne. V mnoha případech je to fakticky nemožné.

Nemůžete obnovit dívčí příjmení své matky. Narozeniny své matky nemůžete přesunout na jiné datum. A nemůžete zpětně změnit barvu svého prvního auta ani místo, kde jste poprvé potkali svého manžela či manželku. Ano, lidé si mohou zapamatovat a využít falešné odpovědi na takové otázky – ale tím se jednoduše otázka s výzvou mění v požadavek na druhé heslo, a zejména pokud musíte toto „heslo“ měnit více než jednou v reakci na několikanásobné narušení, mizí jakákoli výhoda zapamatování si otázky místo hesla.

Výzvy jsou obvykle extrémně slabé formy ověřování, které jsou problematické z mnoha důvodů. Doufejme, že narušení bezpečnosti Yahoo poslouží jako katalyzátor pro další firmy, aby se jich zbavily.

Igor Bajkalov, hlavní vědecký pracovník společnosti Securonix, mi zmínil podobnou myšlenku: „Z pohledu uživatele jsou největším problémem nezašifrované bezpečnostní otázky a odpovědi, které se při tomto narušení ztratily – zatímco to neustále kompromitované heslo si můžete snadno změnit, kolik oblíbených domácích mazlíčků můžete mít?“

2. Prohlášení po narušení – často sepsaná za pomoci odborníků na krizové řízení a vztahy s veřejností – nadále bagatelizují riziko narušení pro lidi.

Společnost Yahoo ve své zprávě uvedla, že hesla, která byla ukradena, byla „hashovaná hesla (v drtivé většině pomocí bcrypt)“, aniž by laicky vysvětlila, co to znamená nebo že i s hashováním jsou uživatelé vystaveni riziku, že jejich hesla budou prolomena – zejména proto, že hackeři měli data Yahoo pravděpodobně k dispozici téměř dva roky. Jak uvedl Michael Lipinski, CISO a hlavní bezpečnostní stratég společnosti Securonix: „Vypadá to, že tým Yahoo se snaží odvrátit riziko pro uživatele tím, že tvrdí, že hesla byla zaheslována pomocí bcrypt. Zeptejte se jich, jak to dopadlo v případě Ashley Madison. Použili stejný hash soli a hackeři našli způsob, jak obejít metody prolomení hesla hrubou silou.“

Organizace samozřejmě mohou přijmout opatření, aby v případě narušení databáze hesel snížily riziko prolomení hesla hrubou silou. Jak to formuloval Amichai Shulman, technický ředitel společnosti Imperva: „Aby se zabránilo útokům hrubou silou, neměli by se bezpečnostní pracovníci spoléhat pouze na zásady hesel , ale měli by přijmout konkrétní detekční opatření, jako je omezení rychlosti pokusů o přihlášení, detekce pokusů o přihlášení z automatizovaných prohlížečů, opatrné zacházení s přihlášeními z neočekávaných zemí a anonymních zdrojů a porovnávání přihlašovacích údajů s oblíbenými hesly a ukradenými přihlašovacími údaji“.“ Obrana proti útokům hrubou silou však není zcela neprůstřelná a lidé musí pochopit, že úniky zaheslovaných hesel jsou skutečným problémem.

3. Zločinci – a dokonce i státní aktéři – chtějí soukromé informace lidí.

Jak jsem se zmínil v článku z počátku tohoto týdne, dnešní hackeři se často zajímají spíše o krádeže dat než o to, aby lidem ukradli pár dolarů z jejich účtů. Lidé to musí pochopit a přijmout osobní opatření u svých vlastních počítačových systémů.

Jak vysvětlil Tim Erlin, senior ředitel pro IT bezpečnost a strategii rizik ve společnosti Tripwire: „Pro běžného spotřebitele může být obtížné pochopit, proč jsou osobní údaje pro zločince cenné, zejména proto, že první zprávy málokdy jdou hlouběji než za cenu, kterou za takové záznamy může útočník původně získat. Osobní údaje, jako jsou jména, e-mailové adresy a data narození, jsou nejčastěji využívány buď k phishingovým kampaním, nebo ke krádežím identity.“

Jonathan Sander, viceprezident pro produktovou strategii ve společnosti Lieberman Software, poznamenal, že narušení bezpečnosti společnosti Yahoo bylo zřejmě spácháno „aktérem na státní úrovni, což není překvapivé vzhledem k množství úsilí a zdrojů, které pravděpodobně stálo prolomení zabezpečení u jedné z největších internetových firem“.“

Ano, vlády mají zájem na tom, aby znaly soukromé informace lidí; vyzbrojeny takovými údaji mohou najít dobré cíle pro nábor do svých špionážních programů, vydírat lidi, aby je donutily k různým činnostem, zjistit, kteří pracovníci zahraničních vlád mohou být nedbalí v oblasti bezpečnosti informací, a dosáhnout dalších cílů.

V souvislosti s narušením 500 milionů účtů bychom se tedy měli zaměřit na víc než jen opětovné obnovení hesel.