Marcel Poul: Je lepší použít jeden velmi bezpečný způsob přihlašování, než se přihlašovat ke každé službě zvlášť

Za poslední rok se řada aktivit (včetně pracovních) přesunula do on-line prostředí. Byli na to občané, zaměstnanci, firmy, úřady po bezpečnostní stránce dostatečně připraveni?

Myslím si, že většina firem především z komerční sféry na to byla rozumně připravená. Home office byl u nich i dříve standardem a tudíž potřeba řešit například šifrované spojení z domu k firemním systémům byla již systémově ošetřena. Na druhou stranu jsem se osobně setkal s organizacemi, jejichž IT oddělení bylo na několik týdnů doslova paralyzováno implementací bezpečnostních požadavků. Ty vyplývaly právě z nutnosti zajistit běh organizace částečně migrovaný do online světa.

Jedno z bezpečnostních pravidel v on-line prostředí je, aby heslo, resp. přihlašovací kódy, bylo změnitelné. Mělo by to platit i pro biometriku nebo ta je v tomto ohledu neodpovídající?

Biometrické ověřování identity má oproti tradičnímu ověření řadu specifik. Z podstaty věci jsou některé biometrické metody, jako je otisk prstu, snímek oční duhovky nebo oční sítnice neměnné. Je různě náročné na takové metody útočit. Otisk prstu je například jednodušší podvrhnout než oční duhovku. Doporučil bych jej proto spíše jako druhý faktor ověření identity.

^REKLAMA

Prvním faktor bych zachoval vlastnictví (čipová karta) nebo znalost tajemství (heslo). Některé biometrické metody ověření identity však mohou být v čase změněny. V praxi se s nimi tak často nepotkáváme, ale je to například dynamika podpisu. Podpisový vzor a jeho dynamiku lze za určitých podmínek změnit, například při kompromitaci.

S on-line identitou se běžně obchoduje (samozřejmě nezákonně) a má i stanovenou svoji cenu. Co může běžný člověk udělat pro to, aby se jeho identita v nabídce neobjevila?

Doporučuji používat takovou online identitu, která poskytuje vysokou míru zabezpečení. Dnes je standardem vícefaktorová autentizace, za kterou stojí důvěryhodná autorita, například stát, banka nebo i jiná komerční firma s dlouhou historií v poskytování služeb online identity bez poskvrny v podobě závažných bezpečnostních incidentů.

Pokud máte důvěryhodného poskytovatele, doporučuji při přihlašování využívat dvoufaktorové ověření, nejčastěji heslo a potvrzení v aplikaci telefonu, kde kombinujeme znalost tajemství a vlastnictví nějakého předmětu. Přístup do aplikace ještě bývá často opatřen biometrickým ověřením. Dále samozřejmě platí všechna pravidla pro pohyb v kyberprostoru, jako je vždy aktuální software, antivirová ochrana a obezřetný výběr, na které odkazy klikám a jaké emaily čtu.

^REKLAMA

Doporučili byste veřejnosti, aby začala využívat služby Bankovní identity?

Myslím si, že bankovní identita poskytuje velmi dobrý poměr bezpečnosti a uživatelské přívětivosti, proto ji považuji za rozumný nástroj online ověření identity.

Banky mají systém přihlašování svých klientů dostatečně ošetřený. Jak je to ale se třetími stranami, například vládními institucemi?

Pokud se bavíme o přihlašování k online službám státu, tak v případě bankovní identity je problém zabezpečení přihlašování elegantně delegován z poskytovatele služby (stát, firmy) na banku. V podstatě jde o systém důvěry, kdy instituce zapojené do bankovní identity věří v sílu zabezpečení bank a samy s přihlašovacími údaji uživatelů nemusí pracovat, pouze přebírají informaci od banky, že uživatel byl ověřen a má nějaké vlastnosti – atributy (například jméno, příjmení, věk).

Máte nějaké jednoduché, stručné a zapamatovatelné doporučení, jak by běžný občan mohl ochránit svoji bezpečnost v on-line prostředí?

Z mého pohledu je lepší použít jeden velmi bezpečný způsob přihlašování v online světě, například elektronickou identitu od důvěryhodného poskytovatele, než se přihlašovat ke každé službě zvlášť a spoléhat na zabezpečení přihlašování každé z online služeb. Jeden způsob přihlašování pak do maximální míry zabezpečit – velmi dlouhým heslem, vícefaktorovým ověřením a pravidelně kontrolovat, jaké operace se s mojí elektronickou identitou provádí. I v případě nějakého problému či dokonce kompromitace můžete situaci řešit s jedním subjektem, který pro vás zajišťuje službu online identifikace a který má auditní informace o provedených operacích.