Pro laiky

Pro laiky

Počítačům a informačním systémům svěřujeme stále více citlivých informací a provádíme s jejich pomocí stále více důležitých činností. Obchodní a finanční sféra je s příchodem elektronického podpisu a aplikací e-governmentu nyní doplňována o právně závazné operace, které mají stejnou platnost jako návštěva na úřadě či vlastnoručně podepsaná listina.

Je zcela přirozené, že přístup k takto účinným nástrojům je třeba náležitě chránit. Zvykli jsme si na jméno a heslo, které se pro ochranu přístupu používá již mnoho let. K přístupu do Vašeho počítače, k poštovní schránce, nákupnímu košíku v internetovém obchodě a někdy ještě i k Vašemu účtu v bance. Nejinak je tomu i v případě datových schránek. Nedá se říci, že je to způsob špatný! Je nepochybně jednoduchý, pohodlný a nenáročný, a pokud se správně používá, i dostatečně bezpečný. Háček je však v tom správném používání.

Je to asi tak, jako když máte na dveřích visací zámek. Je to v naprostém pořádku a můžete klidně spát. Ovšem pouze tehdy, když kolem chodí náhodní chodci, kteří si buďto ani zamčených dveří nevšimnou, nebo možná mimoděk vezmou za zámek, zjistí, že je zamčeno a jdou dál.

Ze zkušenosti ale víme, že pokud se někdo chce dostat k věcem za takto zamčenými dveřmi, může udělat následující:

1. Zámek přeštípnout.
2. Zámek odemknout šperhákem.
3. Dveře, bez ohledu na kvalitu zámku vyrazit.
4. … anebo se nějak dostat k Vašemu klíči, který je třeba pod rohožkou nebo v šuplíku, nebo jen tak leží na stole a dá se obtisknout do mýdla.

Stejně tak se jméno a heslo dá:

1. Uhodnout (jména dětí, data narození, běžná slova …).
2. Odposlechnout (napadené či jinak zmanipulované počítače, „phishing“ – vylákání hesla podvodnými internetovými stránkami.
3. Zjistit s přispěním jeho vlastníka, jeho nedbalostí či naivitou (napíše si jej na rám monitoru, sdělí spolupracovníkům apod.).

Stejně tak, jako si chráníme klíče od bytu, měníme zámky, když je ztratíme, kupujeme dražší zámky s certifikátem, který znesnadní vytváření kopií, bychom si měli chránit svá hesla, pokud je využíváme.

Aby používání jména a hesla bylo bezpečné, je třeba dodržet několik pravidel:

1. Hesla pro vstup do různých systémů musí být různá
2. Hesla musí být tzv. „silná“, tj. musí vypadat například takto: X%u16.$-8Pz“/
3. Hesla nesmí být nikde dostupná, tj. všechna si je musíme pamatovat
4. Hesla nesmí být odposlechnutelná, tj. nesmíme je využívat v „nebezpečných“ prostředích na cizích počítačích a podobně, a dokonce bychom si měli dávat pozor i tam, kde jsou přítomny jakékoliv kamery, které by mohly činnost našich prstů zaznamenat.
5. Hesla je třeba pravidelně měnit (že jsme ztratili klíč, poznáme snadno a hned, že zná někdo další naše heslo se můžeme dozvědět až když je pozdě), tj. například každý měsíc nahradit heslo X%u16.$-8Pz“/ heslem .5%&9dD-.*Ya a podobně ostatní hesla.
6. Dovedete si představit, že to někdo skutečně může dodržovat?

A tak se v poslední době rodí způsoby, jak k výše zmíněným kritickým systémům přistupovat bezpečně a ještě tak, aby to mohl normální člověk zvládnout.

Určitě máte mnoho různých hesel na různé stránky a ta jsou buď jednoduchá, abyste si je pamatovali nebo tak složitá, že vám přidělávají jenom starosti. A všech těchto starostí vás zbaví klíčník. Nejen, že umožní zajistit přístup mnohem bezpečnějším způsobem, pomocí systému tzv. certifikátů, oficiálně vydaných podle zákona, ale můžete mu svěřit i všechna další svá jména a hesla a on vám je sám umístí do přihlašovacích okének všude tam, kde jsou potřeba. Této službě se říká Single Sign On a její hlavní předností je, že Vám postačí pamatovat si pro všechna hesla jediný PIN, stejně jako to známe u bankovní karty či telefonu.

Takový klíčník-token vypadá jako běžný USB paměťový klíč. Ale není to jen obyčejná paměť pro ukládání souborů. Token je vlastně takový malý počítač, který ochraňuje naše veškeré klíče a na požádání pouze odemyká příslušné dveře – zpřístupní příslušné informace nebo úkony, ale nikdy nám nedá klíče do ruky. Tím, že se dá zařídit, aby šlo klíčem odemknout, aniž by opustil klíčníkovu kapsu a ještě navíc se dá zjistit, jestli je ten daný klíč pravý a jestli se s ním ještě smí odemykat, nelze jej získat a zneužít. Aby klíčník pracoval, musíme zadat PIN.

Zdaleka to není stejná situace jako s heslem. Při přístupu jménem a heslem stačilo případnému koumákovi nějak zjistit Vaše heslo. Teď, i kdyby znal váš PIN, musí mít ještě fyzicky klíčníka – token. A to už není současně tak jednoduché. A když nám klíčníka někdo ukradne? Bude se pokoušet ho použít, ale jakmile několikrát zadá špatný PIN, klíčník se zablokuje. Anebo se klíče v něm uložené dají zablokovat na dálku, podobně jako bankovní karta a vyzvednout si klíčníka nového.

Dá se říci, že zavedení klíčníka odstraní bezesné noci zejména šéfů podniků a organizací, kde řada lidí pracuje s počítači, komunikuje a jedná jménem podniku se státem či dalšími podniky a osobami, pracuje na dálku s penězi či  využívá citlivé a cenné informace. Všechna ta hrůza s vytvářením a instalací certifikátů, generováním a obměnou hesel při zachování jejich složitosti a bezpečným přístupem k řadě různých systémů se přemění na jednoduchý přívěšek ke klíčům a znalost osobního PIN. Ty složité věci mohou snadno vyřešit podnikoví informatici, kteří jim přece jen lépe rozumějí.