Takhle se s hesly nezachází, milý kocourku

Glosa
Takhle se s hesly nezachází, milý kocourku
Fotografie: Moneta Money Bank

Někdy vás život zavede na místa, kam byste se normálně nepodívali. Třeba když nedobrovolně měníte banku, můžete si udělat šokující představu o tom, jak vnímají otázku zabezpečení někteří odpovědní lidé. Což je námět k přemýšlení.

Všechno začíná zdánlivě banálně. Moneta koupila Wüstenrot, což pro jeho klienty znamenalo nucenou migraci do nové banky. Nová čísla účtů společně se staronovým přihlašovacím jménem dojdou v obyčejném dopise v prosinci s tím, že den D nastane 4. ledna. Tehdy na telefon dorazí SMS s dočasným heslem, kterým je potřeba přihlásit se do nového systému a tam jej změnit.

Až posud by bylo vše v pořádku. Daly by se sice vymyslet způsoby, které by uspokojily i paranoidnější jedince, ale opravdový šok přijde až o pár dní později. Z banky dorazí další dopis, tentokráte s heslem pro přístup do nového systému.

V první řadě ve vás vzbudí trochu nedůvěry. Proč mi zbytečně posílat dopis, když už jsem celou záležitost vyřešil online? Ale hlavně: jaký má smysl posílat jméno a heslo stejným nezabezpečeným kanálem? Trochu mi to připomíná situaci, kdy vám sekretářka zašle e-mail s přílohou, třeba s návrhem smlouvy. A protože jsou v ní „citlivé informace“, tak ji pro jistotu zahesluje a heslo vloží do stejného e-mailu.

Všichni navíc víme, jak spolehlivý komunikační kanál Česká pošta je. Můžete sice namítnout, že to až tak velký problém není, protože přístup do banky a veškeré operace jsou zabezpečeny druhým faktorem, v tomto případě zasíláním SMS. Jenže ani ty nejsou úplně neprůstřelné a v dnešní době spíš představují takové „placebo“. Jejich zneužití nemusí nutně znamenat hackera se špičkovou výbavou, co odchytává telekomunikační provoz, ale spoustu dalších mnohem prozaičtějších situací. Třeba, když si někdo nechává starší telefon bez zámku volně na stole (jak doma, tak v kanceláři). Nebo když má někdo moderní a zabezpečený smartphone, ale obsah SMS sdílí například se stolním počítačem. A tak dále.

To, že je něco nadvakrát jištěno, má obvykle svůj důvod. Dopravní letadlo také dovede fungovat jen s jedním motorem, ale to není důvod, aby ho někdo tímto stylem provozoval. Tedy až na jednoho českého kapitána, ale to už je jiný příběh.

Na hesla mi nekoukejte

Největší šok ale přijde v okamžiku, kdy se na poštou zaslané heslo zadíváte. Není to totiž původní jednorázové heslo, ale to, které jste si sami nastavili! Tohle se chápe už jen těžko. Není důvod k tomu, aby moje vlastní heslo opouštělo banku a někam cestovalo poštou. On totiž ani není důvod, aby na něj provozovatel dané služby viděl, ať už se jedná o banku nebo obyčejný e-shop. Hesla samotná by se měla ukládat „zahashovaná“, takže i jejich případný únik neznamená potenciální problém. Můžete sice namítnout, že lze jistými způsoby získávat i takto zajištěná hesla. To ano, ale přeci proto, že existují planžety, nepřestanete zamykat.


Na klidu nepřidá ani samotné vyjádření banky, která sice tvrdí, že banka hesla šifruje, ale umí si je zároveň rozšifrovat a poslat je SMS. Tedy stejným kanálem, kterým se posílá druhá část přístupových údajů. To na klidu moc nepřidá.

Budoucnost hesel? Žádná

Když se nějakého bezpečnostního analytika zeptáte, jaká je budoucnost hesel, tak vám s úsměvem odpoví, že žádná. Je to relikt minulosti navíc hodně zatížený na chyby na straně uživatele – ať už si heslo zvolí „heslo1234“, nebo nějaké složité, které si pak nalepí na lísteček na monitor. A pak tu taky máme tlak ze strany „fintechů“, kde si vyfotíte řidičák a selfie a za pět minut už vesele platíte virtuální platební kartou v čínském e-shopu.

V takové atmosféře se nelze divit bance, že nechce nové klienty honit na pobočku nebo na poštu pro doporučený dopis, ale ve fintechu také nikdo nemá životní úspory.

Související články
Diskuze ke článku
V diskuzi zatím nejsou žádné příspěvky. Přidejte svůj názor jako první.
Přidat názor

Nejživější diskuze