Správa online hesel
Online bezpečnost se mnoha uživatelům zdá nad jejich síly. Mark Risher a Stephan Micklitz z Googlu mluví o tom, že při vývoji bezpečnostních opatření je potřeba brát takové pocity v úvahu.
Pane Rishere, jste ředitel produktového managementu ve společnosti Google a pracujete v oblasti internetové bezpečnosti. Už jste se někdy stal obětí online podvodu?
Mark Risher: Nenapadá mě žádný konkrétní příklad, ale předpokládám, že někdy asi ano. Při surfování na internetu dělám chyby stejně jako kdokoli jiný. Nedávno jsem například zadal heslo z Googlu na jiném webu. Naštěstí jsem si do Chromu nainstaloval doplněk Ochrana hesla, který mě na chybu upozornil. Potom jsem heslo samozřejmě okamžitě změnil.
Stephan Micklitz, ředitel vývoje v týmu společnosti Google pro ochranu soukromí a zabezpečení: To je přirozené. Jakmile si nějaké heslo zapamatujeme, snadno se může stát, že ho někam zadáme, a nevěnujeme dostatečnou pozornost tomu, kam se vlastně přihlašujeme.
Risher: Rádi bychom se hesel úplně zbavili, ale bohužel to není tak snadné.
„Mnoho bezpečnostních opatření není vidět na první pohled.“
Mark Risher
Co je tak špatného na heslech?
Risher: Mají hodně nedostatků. Je snadné je odcizit, ale těžké zapamatovat, a správa hesel může být otravná. Mnoho uživatelů věří, že heslo má být co nejdelší a nejsložitější – ačkoli to ve skutečnosti zvyšuje bezpečnostní riziko. Uživatelé mají tendenci používat komplikované heslo u více účtů, díky čemuž jsou ještě zranitelnější.
Micklitz: Čím méně často heslo zadáváte, tím lépe. Proto byste se neměli opakovaně ke svým účtům přihlašovat a odhlašovat se. Postupně to může vést k tomu, že uživatelé nevěnují pozornost tomu, na které webové stránce právě jsou, a tím je situace pro zloděje hesel snazší. Proto našim uživatelům doporučujeme, aby zůstali přihlášeni.
Moje internetové bankovnictví mě automaticky odhlásí, když nejsem několik minut aktivní.
Micklitz: Mnoho společností se bohužel stále řídí zastaralými zásadami. Rada, abyste se soustavně odhlašovali, pochází z doby, kdy většina lidí chodila na web v internetových kavárnách nebo z počítačů, které sdíleli s dalšími lidmi. Náš výzkum ukazuje, že čím častěji lidé své heslo zadávají, tím pravděpodobněji se stanou obětí kybernetického útoku. Proto je bezpečnější jednoduše aktivovat na mobilním telefonu nebo počítači zámek obrazovky a používat bezpečné heslo.
Risher: To je pravda. Po světě bohužel koluje spousta falešných nebo nepraktických rad, které uživatele spíš matou. V nejhorším případě je to tak znejistí, že to prostě vzdají: „Pokud je tak těžké se chránit, tak to nemá cenu.“ Asi jako byste nechali otevřené vchodové dveře, protože víte, že tam venku jsou zloději.
Mark Risher je ředitel produktového managementu pro zabezpečení a ochranu soukromí ve společnosti Google. V roce 2010 založil společnost Impermium zaměřenou na oblast kybernetické bezpečnosti, kterou společnost Google koupila v roce 2014. Od té doby Risher pracoval v ústředí společnosti v Mountain View v Kalifornii. Vpravo: bezpečnostní klíč, který se používá v programu pokročilé ochrany. Je k dispozici za malý poplatek a lze ho používat na různých webech.
Jak by Google zajistil bezpečnost uživatelů, kdyby se zrušila hesla?
Risher: Řada bezpečnostních opatření funguje už dnes, ale nejsou na první pohled vidět. Když nějaký hacker zjistí vaše heslo a telefonní číslo, přesto vám budeme schopni na 99,9 % zaručit, že váš účet Google bude v bezpečí. Například kontrolujeme, z jakého zařízení a z jaké země se kdo přihlašuje. Pokud se někdo pokusí přihlásit se k vašemu účtu několikrát za sebou s nesprávným heslem, spustí se v našem bezpečnostním systému upozornění.
Micklitz: Také jsme vyvinuli nástroj Kontrola zabezpečení, ve kterém si uživatelé mohou projít krok za krokem osobní nastavení zabezpečení v jejich účtu Google. A díky programu pokročilé ochrany jdeme ještě o krok dále.
Jaká myšlenka se za tímto programem skrývá?
Micklitz: Původně byl vyvinut pro lidi, jako jsou politici, ředitelé společností nebo novináři, o které by se zločinci mohli zajímat více než o ostatní. Teď je ale dostupný pro kohokoli, kdo chce rozšířenou online ochranu. Přístup ke chráněnému účtu Google získají jen ti, kdo mají zvláštní USB nebo Bluetooth klíč.
Risher: Ze zkušeností víme, jak účinný tento systém je, protože všichni zaměstnanci Googlu bezpečnostní klíč používají, aby byl jejich firemní účet v bezpečí. Od zavedení tohoto bezpečnostního opatření jsme neměli jediný případ phishingu, který by bylo možné zpětně dosledovat k potvrzení hesla. Hardwarový klíč výrazně zlepšuje bezpečnost účtu Google, protože i když útočníci heslo znají, nemohou bez klíče získat k účtu přístup. Online účet lze obecně prolomit odkudkoli na světě, to však neplatí pro účty, které jsou chráněné fyzickým bezpečnostním klíčem.
Micklitz: Mimochodem, tyto bezpečnostní klíče lze používat na mnoha webech – nejen pro program pokročilé ochrany společnosti Google. Můžete si je koupit za malý poplatek od nás nebo od jiných poskytovatelů. Všechny podrobnosti najdete na webu g.co/advancedprotection.
„Pro lidi je někdy obtížné posoudit rizika na internetu.“
Stephan Micklitz
Jaká největší nebezpečí podle vašeho názoru dnes číhají na internetu?
Risher: Jedním z problémů je řada seznamů uživatelských jmen a hesel, které se dají najít online. Náš kolega Tadek Pietraszek a jeho tým strávil šest týdnů procházením internetu a našel 3,5 miliardy kombinací uživatelských jmen a hesel. Nebyla to ovšem data odcizená z účtů Google – byla ukradena od jiných poskytovatelů. Jelikož však mnoho uživatelů používá stejné heslo pro několik účtů, představují tyto seznamy problém i pro nás.
Micklitz: Já jako velký problém vnímám phishing zacílený na konkrétní uživatele. Vypadá tak, že útočník vytvoří tak chytře personalizovanou zprávu, že je pro oběť velmi obtížné rozpoznat její podvodný záměr. Vidíme, že hackeři tuto metodu využívají čím dál víc – a úspěšně.
Risher: Souhlasím se Stephanem. Cílený phishing navíc není tak časové náročný, jak by se mohlo zdát. Personalizovat podvodný e-mail často trvá pouze několik minut. Hackeři využívají informace, které o sobě uživatelé sami zveřejňují online. Je to problém například u kryptoměn: když někdo veřejně prohlašuje, že vlastní 10 000 bitcoinů, nemělo by ho překvapit, že to přitáhne pozornost kybernetických zločinců.
Micklitz: Asi jako bych se postavil doprostřed tržiště s megafonem a oznámil, jaký mám zůstatek na účtu. Kdo by něco takového udělal? Nikdo. Ale pro lidi je někdy obtížné posoudit rizika na internetu.
Je stále problémem pravidelný spam?
Risher: Větší výzvu pro nás představuje propojení zařízení a služeb. Lidé nejsou online jenom na počítačích a chytrých telefonech – používají také televize, chytré hodinky a chytré reproduktory. Na různých zařízeních běží různé aplikace, což hackerům nabízí mnoho potenciálních míst k útoku. A jelikož je mnoho zařízení dnes propojených, mohou se hackeři pomocí jednoho zařízení pokusit získat informace uložené v jiných zařízeních. Takže nyní musíme řešit tuto otázku: jak můžeme zaručit bezpečnost našich uživatelů navzdory tolika novým způsobům, jakými svá zařízení používají?
Micklitz: Začali jsme tím, že jsme se sami sebe zeptali, která data pro kterou službu opravdu potřebujeme – a která data si služby mezi sebou vyměňují.
Stephan Micklitz
Ředitel vývoje v týmu společnosti Google pro ochranu soukromí a zabezpečení. Studoval informatiku na Technické univerzitě v Mnichově a v mnichovské pobočce společnosti Google pracuje od konce roku 2007. Micklitz je členem rady německé iniciativy zaměřené na online bezpečnost Deutschland sicher im Netz (DsiN).
Jak vám umělá inteligence pomáhá chránit uživatele?
Micklitz: Google používá umělou inteligenci už docela dlouho.
Risher: Tato technologie byla zabudována do naší e-mailové služby Gmail už od začátku. Společnost Google dokonce vyvinula vlastní knihovnu pro strojové učení s názvem TensorFlow, která pomáhá programátorům, kteří pracují na strojovém učení. Knihovna TensorFlow je přínosná zejména pro Gmail, protože velmi dobře slouží při rozpoznávání typických vzorců.
Můžete nám vysvětlit, jak to funguje?
Risher: Řekněme, že u několika uživatelů zaznamenáme podezřelou aktivitu, kterou nedokážeme kategorizovat. Stroj, který se sám učí, může tyto události porovnat a v nejlepším případě zjistí nové formy podvodu dříve, než se začnou šířit online.
Micklitz: Má to ovšem svá omezení: stroj je jen tak inteligentní, jako osoba, která ho používá. Pokud stroji dáme falešná nebo jednostranná data, vzorce, které rozpozná, budou také falešné nebo jednostranné. I přes veškerou publicitu, které se umělé inteligenci dostává, závisí její účinnost vždy na osobě, která ji používá. Je na uživateli, aby stroj vytrénoval pomocí kvalitních dat, a aby výsledky posléze zkontroloval.
Risher: Jednou, když jsem pracoval pro jiného poskytovatele e-mailové služby, jsme dostali zprávu od zaměstnance banky v Lagosu. V té době kolovala spousta podvodných e-mailů – které údajně přicházely z Nigérie. Ten člověk si stěžoval, že jeho e-maily skončí vždy ve spamu příjemců, ačkoli pracuje pro renomovanou banku. To je typický příklad falešné generalizace při rozpoznání vzorců kvůli nedostatku informací. Dokázali jsme ten problém vyřešit tím, že jsme algoritmus upravili.
Fotografie: Conny Mirbach
Pokroky v kyberbezpečnosti
Zjistěte, jak online chráníme víc lidí než kdokoli jiný na světě.
Další informace