Ponaučení ze Sobotky: nemít jedno heslo a šifrovat
rady experta k zabezpečení e-mailu
Vymýšlet neotřelá hesla, nepoužívat jedno heslo na více místech, jistit se přes ověřovací esemesky nebo přes chytré šifrovací aplikace. To jsou ve zkratce hlavní ponaučení, které si mohou běžní uživatelé e-mailových služeb vzít z hackerského útoku na elektronickou poštu premiéra Bohuslava Sobotky. Podle nezávislého odborníka na internetovou bezpečnost Michala Špačka se premiér zřejmě nepoučil z nedávného průniku do svého twitterového účtu.
Podcenil premiér riziko při používání soukromého e-mailu?
Překvapuje mě, že po problému s Twitterem si Sobotka nesedl a nedal tyto věci do pořádku. Vždyť už bylo jasné, že po něm někdo jde. Na druhou stranu, premiér má asi jiné starosti a nezná cenu svého e-mailu, netuší, jaký PR problém to může způsobit a ani neví, jak útoky probíhají.
Jak se může uživatel efektivně bránit před tím, aby mu někdo „naboural“ e-mailový účet?
Nejvíc by pomohlo nepoužívat jednoduchá hesla, která lidi vytváří podle známých pravidel – první písmeno velké, číslo je skoro vždy na konci, často znamená nějaký rok, pokud je požadován speciální znak, tak je to nejčastěji vykřičník na konci. Doporučuji nepoužívat jedno heslo na více místech, mít unikátní hesla, s tím pomůže Správce hesel. Zabezpečení se zvýší také tím, že posíláme SMS s jednorázovým kódem, který je potřeba po přihlášení zadat. Pokud by si Sobotka nastavil ověřování přes SMS, jistě by to pomohlo. Nebo lze použít speciální aplikaci v chytrém mobilu, která takové kódy generuje.
Pomůže častější změna hesla?
Pravidelná změna nepomůže v podstatě vůbec. Pokud se mi někdo dostane do e-mailu, tak je vysosá všechny a hned. Že za měsíc heslo změním, je jedno. Může se tam dostat znovu, pokud díru nezalepím. Pravidelná změna hesel také vede k tomu, že lidé používají slabší, předvídatelná hesla, například Leden2016, Unor2016, Brezen2016 atd.
Čtěte také: Hackeři ukradli soukromé maily premiéra Sobotky
‚Uprchlíci jsou invazivní armáda!‘ Sobotkovi hackli Twitter
Do jaké míry jsou rizikové bezpečnostní otázky při změně zapomenutého hesla?
Snižují zabezpečení, odpovědi se na ně často dají dohledat. Jméno matky za svobodna? Určitě bude někde napsané, na Facebooku, Wikipedii nebo se na něj stačí šikovně zeptat. Kam jsem chodil do školy? To bude třeba napsané na webu školy. Pokud nějaká aplikace vyžaduje vyplnění těchto otázek, tak je to špatně. Uživatelé by v odpovědích měli lhát, ale je trochu zvrácené to po uživatelích chtít, zvlášť když ve zbytku registračního formuláře mají mluvit pravdu (jméno, adresa, apod.) Provozovatelé služeb by se bezpečnostních otázek měli zbavit. Google to udělal koncem roku 2014.
A je rozdíl v zabezpečení mezi různými poskytovateli e-mailových služeb?
Gmail nabízí lepší zabezpečení uživatelských účtů než Seznam. Seznam a Email.cz, což je vlastně Seznam, zase nabízí lepší zabezpečení než Centrum. Seznam se postupně zlepšuje, nedávno zavedl transportní šifrování e-mailů, ale Gmail to má už dlouho. Gmail pro odesílání nebo přijímání pošty do počítače nebo mobilu nedovoluje nešifrované připojení, Seznam ano a spousta uživatelů si to takto nastaví, protože je to rychlejší a jednodušší.