Správa hesiel na internete

Mnoho používateľov sa v otázke bezpečnosti na internete často stráca. Mark Risher a Stephan Micklitz z Googlu hovoria o zohľadnení týchto pocitov pri vývoji bezpečnostných opatrení

Pán Risher, pôsobíte v Googli ako riaditeľ produktového manažmentu a venujete sa zabezpečeniu na internete. Stali ste sa niekedy obeťou internetového podvodu?

Mark Risher: Momentálne si nespomínam na žiadny konkrétny príklad, ale nemôžem to vylúčiť. Pri surfovaní po internete robím chyby ako všetci ostatní. Nedávno som napríklad zadal heslo svojho účtu Google na nesprávnom webe. Našťastie som mal v Chrome nainštalovaný doplnok Ochrana hesla, ktorý ma na chybu upozornil. Následne som si, samozrejme, heslo okamžite zmenil.

Stephan Micklitz, riaditeľ vývoja v tíme Googlu pre ochranu súkromia a zabezpečenie: Je to ľudské. Keď sa heslo naučíte naspamäť, ľahko sa môže stať, že ho zadáte bez toho, aby ste venovali dostatočnú pozornosť tomu, kde ho zadávate.

Risher: Radi by sme sa hesiel zbavili úplne, ale, bohužiaľ, to nie je také jednoduché.

„Mnoho bezpečnostných opatrení sa odohráva na pozadí.“

Mark Risher

Prečo sú heslá taký problém?

Risher: Majú veľa nevýhod. Dajú sa ľahko ukradnúť, no zapamätať si ich je náročné. Správa hesiel navyše môže byť únavná. Mnoho používateľov sa domnieva, že heslo by malo byť čo najdlhšie a najkomplikovanejšie, aj keď to v skutočnosti zvyšuje bezpečnostné riziko. Komplikované heslá lákajú používateľov, aby ich použili pre viac ako jeden účet, čím len zhoršia svoje zabezpečenie.

Micklitz: Čím menej často zadávate heslo, tým lepšie. Preto by ste sa nemali opakovane prihlasovať a odhlasovať zo svojich účtov. To môže časom viesť k tomu, že používatelia prestanú venovať pozornosť, na akej webovej stránke sa momentálne nachádzajú, čím zlodejom hesiel uľahčia prácu. Našim používateľom preto odporúčame, aby zostávali prihlásení.

Web mojej banky ma automaticky odhlási po niekoľkých minútach bez aktivity.

Micklitz: Mnoho firiem, žiaľ, stále postupuje podľa zastaraných pravidiel. Rada neustále sa odhlasovať pochádza z doby, keď väčšina ľudí chodila na internet do internetových kaviarní alebo na zdieľaných počítačoch s ostatnými. Náš výskum ukazuje, že čím častejšie ľudia zadávajú svoje heslá, tým je pravdepodobnejšie, že sa stanú obeťami kybernetického útoku. Lepšie zabezpečenie preto získate, keď použijete bezpečné heslo a iba aktivujete zámku obrazovky v mobilnom telefóne alebo počítači.

Risher: To je pravda. Medzi používateľmi sa, bohužiaľ, šíri veľké množstvo nepravdivých alebo nepraktických rád, ktoré môžu byť pre nich často mätúce. V tom najhoršom prípade sa ľudia cítia natoľko neisto, že to jednoducho vzdajú: „Ak je také náročné chrániť sa, prečo sa vôbec snažiť.“ Je to, ako keby ste vždy nechávali otvorené vstupné dvere, pretože viete, že sú v okolí zlodeji.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher pôsobí v Googli ako riaditeľ produktového manažmentu v oblasti zabezpečenia a ochrany súkromia. V roku 2010 založil startup Impermium zameraný na kybernetickú bezpečnosť, ktorý neskôr v roku 2014 nadobudol Google. Odvtedy Risher pracuje v sídle firmy v meste Mountain View v Kalifornii. Vpravo: bezpečnostný kľúč používaný v programe rozšírenej ochrany. Je k dispozícii za malý poplatok a dá sa použiť na rôznych weboch.

Ako by Google dokázal zaistiť bezpečnosť používateľov, ak by boli zrušené heslá?

Risher: Už teraz používame mnoho dodatočných bezpečnostných opatrení, ktoré fungujú na pozadí. Aj keby hacker získal vaše heslo a číslo vášho mobilného telefónu, stále by sme dokázali na 99,9 percenta zaručiť bezpečnosť vášho účtu Google. Kontrolujeme napríklad, z akého zariadenia a krajiny sa niekto prihlasuje. Ak sa niekto pokúsi prihlásiť do vášho účtu niekoľkokrát po sebe s nesprávnym heslom, aktivujú sa alarmy v našich bezpečnostných systémoch.

Micklitz: Vyvinuli sme tiež kontrolu zabezpečenia, ktorá používateľom umožňuje postupne prejsť všetky jednotlivé nastavenia osobného zabezpečenia v účte Google. Program rozšírenej ochrany posúva zabezpečenie ešte na ďalšiu úroveň.

Aká je podstata tohto programu?

Micklitz: Pôvodne sme program vyvíjali pre ľudí, ako sú politici, generálni riaditelia a novinári, o ktorých by zločinci mohli mať špeciálny záujem. Teraz je však k dispozícii pre všetkých, ktorí chcú získať ďalšiu ochranu na internete. K chránenému účtu Googlu získajú prístup iba používatelia so špecializovaným hardvérovým bezpečnostným kľúčom s rozhraním USB alebo Bluetooth.

Risher: Keďže bezpečnostný kľúč používajú všetci zamestnanci Googlu na zabezpečenie svojho firemného účtu, s efektivitou tohto systému máme dlhodobé skúsenosti. Od zavedenia tohto bezpečnostného opatrenia sme nezaznamenali jediný prípad phishingu, ktorý by sa dal vysledovať späť k potvrdeniu hesla. Token výrazne zvyšuje zabezpečenie účtu Google, pretože aj keď útočníci poznajú heslo, bez tokenu nebudú mať k účtu prístup. Online účet možno vo všeobecnosti napadnúť z ľubovoľného miesta na svete. Tejto možnosti bráni použitie fyzického bezpečnostného tokenu.

Micklitz: Tieto bezpečnostné tokeny je, mimochodom, možné použiť na mnohých weboch a nielen pre program rozšírenej ochrany od Googlu. Môžete si ich kúpiť od nás alebo iných poskytovateľov za malý poplatok. Všetky podrobnosti nájdete na g.co/advancedprotection.

„Pre ľudí je niekedy náročné vyhodnotiť riziká na internete.“

Stephan Micklitz

Aké sú podľa vás najväčšie nebezpečenstvá, ktoré na nás dnes číhajú na internete?

Risher: Jedným z problémov je veľký počet zoznamov používateľských mien a hesiel, ktoré na internete existujú. Náš kolega Tadek Pietraszek a jeho tím strávili šesť týždňov prehľadávaním internetu a našli 3,5 miliardy kombinácií používateľských mien a hesiel. Nejde o údaje z napadnutých účtov Google, ale odcudzené od iných poskytovateľov. Mnoho používateľov však používa rovnaké heslo pre viacero účtov, preto sú tieto zoznamy aj náš problém.

Micklitz: Ako veľký problém vidím takzvaný „spear phishing“. To je podvod, pri ktorom útočník vytvorí natoľko inteligentne prispôsobenú správu, že je pre obeť náročné rozpoznať jej podvodný úmysel. Pozorujeme, že hackeri túto metódu využívajú čoraz častejšie a sú pri tom úspešní.

Risher: Súhlasím so Stephanom. Navyše použiť spear phishing nie je vôbec také časovo náročné, ako to môže znieť. Prispôsobenie spamovej správy zaberie často iba niekoľko minút. Hackeri môžu využiť informácie, ktoré o sebe používatelia zverejňujú na internete. To je problém napríklad v prípade kryptomien. Ak niekto verejne napíše, že vlastní 10 000 bitcoinov, nemal by sa diviť, keď táto informácia pritiahne pozornosť kybernetických zločincov.

Micklitz: Je to, akoby som stál uprostred tržnice s megafónom a oznamoval svoj zostatok na bankovom účte. Kto by niečo také urobil? Nikto. Pre ľudí je však niekedy náročné vyhodnotiť riziká na internete.

Predstavujú bežné spamové správy stále problém?

Risher: Prepojenie zariadení a služieb predstavuje pre nás veľkú výzvu. Ľudia nepoužívajú na pripojenie k internetu iba laptopy a smartfóny, ale aj televízory, inteligentné hodinky a inteligentné reproduktory. Vo všetkých týchto zariadeniach sú spustené rôzne aplikácie. Tie hackerom ponúkajú mnoho rôznych bodov, na ktoré môžu zaútočiť. A keďže sú teraz viaceré zariadenia navzájom prepojené, hackeri sa môžu pomocou jedného zariadenia pokúsiť získať prístup k údajom uloženým v inom zariadení. Musíme si teraz položiť nasledujúcu otázku: ako môžeme zaručiť bezpečnosť našich používateľov vo svete s množstvom nových spôsobov používania?

Micklitz: Na začiatok sa musíme spýtať, ktoré údaje skutočne potrebujeme pre jednotlivé služby a ktoré údaje si služby medzi sebou vymieňajú.

Akým spôsobom chránite používateľov pomocou umelej inteligencie?

Micklitz: Google používa umelú inteligenciu už dlhší čas.

Risher: Táto technológia bola súčasťou našej e‑mailovej služby Gmail už od jej spustenia. Google dokonca vyvinul vlastnú knižnicu strojového učenia TensorFlow, ktorá uľahčuje prácu programátorom venujúcim sa strojovému učeniu. TensorFlow poskytuje Gmailu cennú pomoc pri rozpoznávaní typických vzorov.

Môžete vysvetliť, ako toto rozpoznávanie vzorov funguje?

Risher: Povedzme, že pozorujeme podozrivú aktivitu medzi niekoľkými používateľmi, ktorú nemôžeme zaradiť do žiadnej existujúcej kategórie. Stroj so schopnosťou učiť sa dokáže tieto udalosti porovnať a v najlepšom prípade rozpoznať nové formy podvodov ešte predtým, ako sa začnú šíriť na internete.

Micklitz: Má to však určité obmedzenia. Stroj je iba taký inteligentný ako človek, ktorý ho používa. Ak stroju poskytnem nepravdivé alebo jednostranné údaje, vzory, ktoré rozpozná, budú tiež nepravdivé alebo jednostranné. Napriek všetkému ošiaľu okolo umelej inteligencie jej účinnosť vždy závisí od osoby, ktorá túto technológiu používa. Je to používateľ, kto musí stroj vyškoliť pomocou vysoko kvalitných údajov a potom skontrolovať výsledky.

Risher: Raz, keď som pracoval pre iného poskytovateľa e‑mailu, dostali sme správu od zamestnanca banky v Lagose. V tom čase kolovalo internetom veľa podvodných správ, ktoré údajne pochádzali z Nigérie. Tento človek sa sťažoval, že hoci pracuje pre renomovanú banku, jeho správy príjemcovia vždy dostávajú do priečinka so spamom. Toto je typický prípad nesprávneho zovšeobecnenia pri rozpoznávaní vzorov na základe nedostatočných údajov. Podarilo sa nám vyriešiť tento problém zmenou algoritmu.

Fotky: Conny Mirbach

Zistite, ako robí Google internet bezpečným miestom pre všetkých.