Měl jsem na GOPAS TechEd Online přednášku o ransomware, kde jsem vyhrožoval :-) ohledně heslovníčků. Po několika dotazech bych to rád trošku uvedl na pravou míru.
Cílem části přednášky bylo uvědomit si, že samotné použití heslovníčku (bacha to se vtahuje i na PAM - provileged access management), ať už cloudového nebo lokálního, vás proti krádeži přihlašovacích údajů neochrání. Pokud už se spyware spustí, vždycky to ukradne. I když se všichni pyšní tím, že mají databázi šifrovanou, nebo že je to cloudové řešení a má to více-faktorové (MFA) přihlašování. Pokud s tím můžete pracovat vy, může s tím pracovat i spyware.
Šifrovací klíče jsou v paměti. Řekněme, že by to bylo celé v cloudu a pracovalo se s tím přes webový prohlížeč, nebo jinou GUI aplikaci. Jak jste mohli vidět, vždycky si něco dáte do schránky a použijete to v nějakém programu. Jaký je problém, aby si to spyware vzal?
Při nejhorším to za vás spyware celé prokliká. Nevím jestli to už existuje, ale odhaduju to tak na 1 den práce, udělat automatický proklikávač prohlížeče pro každý cloudový heslovníček, který se nabízí. Porovnejte to s cenou dat v nemocnici :-) Máte tam MFA (multi-factor ověření)? Jenže to MFA zadáváte jenom jednorázově při vstupu a potom je přístup dlouhodobě otevřený. Pokud se ten spyware integruje do prohlížeče, nemůže mít problém. Porovnejte s elektronickým bankovnictvím, kde děláte MFA pro každou platbu, což provádíte jen velmi sporadicky.
Jsou tedy heslovníčky špatné?
Nejsou. Je to o něco lepší než zašifrovaný Excel. Umožňuje to nepamatovat si hesla. Mít striktně různá hesla do různých služeb. Mít kvalitní, automaticky generovaná hesla. Schránku to čistí po několika vteřinách. Může to mít MFA pro vstup do heslovníčku. Můžete to mít na více zařízeních.
Prostě všechno super. Jen to má limity, které si člověk musí uvědomit.
Je lepší lokální nebo cloudový heslovníček?
Mě je to fakt jedno. Jde spíš o osobní zvyk práce, jestli to umí MFA a přístup na internet, který to případně vyžaduje.
Jak tedy bezpečněji?
Ke správě počítačové sítě je potřeba mít vyhrazené čisté a zabezpečené prostředí (SAE - secure administration environment), kde je jen malá šance, že by se objevil spyware. Podle obrázku z mého GOC159. Heslovníček máte až na něm. Bez volného připojení do internetu (samozřejmě na cloudový heslovníček ano :-)) Na takovém SAE buď pracujete přímo lokálně, nebo se do něho připojujete přes RDP, ideálně samozřejmě bez schránky...