Hesla k datovým schránkám: musíte je měnit každých 90 dnů!

11. 11. 2009
Doba čtení: 8 minut

Sdílet

Autor: 21971
Zatím nedokumentovaná vlastnost datových schránek vás nutí měnit si heslo každých 90 dnů. A to i v případě, že používáte silnější autentizaci, opírající se o certifikát. Na změnu hesla máte 5 pokusů, během kterých se ke své schránce sice můžete přihlásit, ale k jejímu obsahu se bez úspěšné  změny hesla nedostanete. Pokud tyto pokusy nevyužijete, vaše přihlašovací údaje jsou zneplatněny.

Jako koncovým uživatelům se nám už už mohlo zdát, že o jejich vlastnostech a fungování víme všechno. Či dokonce ještě více než jejich zřizovatelé a provozovatelé. Ti totiž stále ještě nezaznamenali, že ostrá verze datových schránek běží na doméně mojedatovaschran­ka.cz – a místo toho všude propagují úplně jinou doménu (datoveschran­ky.info). A když říkají, že tato jiná adresa (datoveschran­ky.info) je jedinou správnou adresou, pak tím fakticky varují před tou skutečnou. Místo řešení bezpečnostních problémů tak vlastně nový bezpečnostní problém sami vytváří.

Jak ale už tušíte z titulku a perexu, tento článek bude o něčem jiném. O záležitosti, na kterou mne nejprve upozornili čtenáři, a posléze jsem ji zažil i na vlastní kůži. Časem potká každého, kdo si svou datovou schránku již aktivoval: systém na něj „vybafne“, že si musí změnit své heslo.

Nejprve vás systém „jemně upozorní“, že se blíží expirace (ukončení platnosti) vašeho stávajícího hesla, viz následující obrázek.

varování

S jakým předstihem tak systém činí, se mi nepodařilo přesně určit: je to méně než 5 dnů, ale více než 3 dny, jak ostatně vyplývá i z obrázku (4.11.2009 zde výzva ještě nebyla, a 7.11.2009 už ano).

Když pak k avizovanému ukončení platnosti hesla dojde, systém vás nechá přihlásit se do vaší datové schránky ještě pomocí starého hesla, a vyzve vás k jeho změně na nové heslo, viz další obrázek.

pozadavek na zmenu hesla

Nové heslo přitom musí být skutečně jiné, tj. odlišné od toho předchozího.

heslo musi byt jine

Kde a jak se o všem dozvědět?

V tuto chvíli vás asi již napadají nejrůznější otázky. Třeba: jak dlouho heslo vydrží? Či: kterých variant přístupu k datovým schránkám se toto vše týká? Nebo asi nejzásadnější otázka: kde se o takto důležitých věcech dozvím více, když jsem si toho dosud nevšiml(a)?

O nutnosti měnit hesla se – v obecné rovině – mluví na mnoha místech, i v souvislosti s datovými schránkami. Jenže kde se mluví o tom, že datové schránky si změnu hesla zcela nekompromisně vynucují? A kde se dozvím, s jakým intervalem? Tedy jak dlouho mi heslo vydrží a kdy bude expirovat?  

Asi by se dalo očekávat, že takto zásadní informace najdete například v „přístupové“ vyhlášce č. 194/2009 Sb. („o stanovení podrobností užívání a provozování informačního systému datových schránek“). Ta ale hovoří pouze o možnosti změnit heslo, nikoli o povinnosti tak činit.

Dalším kandidátem by logicky byl provozní řád ISDS. Nedávno byla dokonce vydána jeho nová verze („k 30.10.2009“). Ta sice obšírně řeší  nutnost změny prvotního hesla (tj. hesla vydaného správcem systému), ale o nutnosti změny hesla samotným uživatelem přímo nehovoří. Obsahuje ale zajímavá „zadní vrátka“, skrze která může systém nechat expirovat hesla prakticky kdykoli (a na uživatelích si jejich změnu vynutit):

Systém může kdykoliv, v závislosti na nastavení, omezit uživateli počet možných přihlášení s aktuálně používanými přístupovými údaji a znovu jej požádat o změnu přístupového hesla.

Jestliže tedy ani provozní řád neříká nic o tom, že by hesla pravidelně expirovala, natož za jak dlouho, kde tedy hledat potřebnou informaci? Kde zjistit, jak se systém chová?

Nedozvíte se to například ani na tiskopisu, skrze který Česká pošta rozesílá prvotní přihlašovací údaje. Nedozvíte se to třeba ani v online nápovědě k samotným datovým schránkám.

Když jsem se pokoušel potřebnou informaci „vygooglit“, našel jsem o tom jedinou zmínku. Na informačním webu o datových schránkách, na adrese www.datoveschran­ky.info, se na jednom místě objevuje následující informace:

zminka o nutnosti menit heslo

Jaká jsou pravidla?

Samozřejmě jsem si vyžádal přesnější informace přímo „od zdroje“. Ty hlavní vypadají následovně:

  • Expirace hesla je skutečně nastavena na 90 dnů.
  • Po uplynutí této doby je uživatel (při přístupu na portál) vyzván formulářem ke změně hesla.
  • Je kontrolována složitost a také to, zda se heslo neopakuje s některým dříve užívaným.
  • Postup je obvyklý (potvrzení starého hesla, zadání nového, kontrolní zadání nového, kliknutí na tlačítko Změnit heslo).
  • Po úspěšné změně se uživatel přihlašuje novým heslem (to náleží k DS, čili je stejné i pro webové služby).

Povšimněte si zmínky o webových službách: povinnost změny hesla se fakticky týká všech variant přístupu k datovým schránkám, kde se s individuálním heslem pracuje. Tedy i přístupu přes webové rozhraní. Takže pokud přistupujete ke své datové schránce například pomocí konektoru do MS Outlooku (či pomocí nějaké jiné aplikace, která sama využívá rozhraní webových služeb), problém se vás týká tak jako tak.

Dokonce má i svá specifika, protože při přístupu přes rozhraní webových služeb vás systém nemůže upozornit podobnou hláškou, jako na výše uvedených obrázcích, které ukazují přístup přes webový portál. O tom, že heslo vám již expirovalo, se přes webové služby vlastně přímo ani nedozvíte. Můžete si to jen domyslet, z toho že systém vám náhle začne vracet chybu 401 (Unauthorized, neboli „obecná“ chyba přihlášení). Ovšem pokud nevíte, že heslo pravidelně expiruje – a ani se o tom nikde moc nedočtete –, máte dedukci značně ztíženou. Poznáte to, až když se v nouzi nejvyšší přihlásíte přímo přes webové rozhraní.

Zajímavé  je, že pravidelné expirování hesla po 90 dnech (a z toho vyplývající nutnost měnit heslo) se týká  i varianty, kdy se uživatel přihlašuje (k webovému rozhraní) pomocí svého (komerčního) certifikátu.

Grace Period

Pojďme nyní k další velmi důležité otázce: co přesně se stane, když vám heslo již expiruje? Zvláště když se o tom nemusíte dopředu ani dozvědět (a při přístupu přes webové rozhraní se to nemusíte hned domyslet ani poté, co se tak již stalo). Znamená to, že přístup k vaší datové schránce je již zablokován, vaše údaje zneplatněny – a vy musíte jít na CzechPoint nechat si přidělit nové přístupové údaje?

Autoři datových schránek tuto obavu vyvracejí existencí tzv. grace period:

… i po expiraci hesla může uživatel přes staré heslo ještě 5× přistoupit na portál (v době, kdy webové služby už přístup odmítají chybovým hlášením 401), a to bez omezení času. Tam je pokaždé vyzván ke změně hesla. Pokud to při žádném z těchto 5-ti přístupů neudělá, pak již nemá na změnu hesla přes portál šanci. Do té doby mu však CzechPoint, jak se občas ptají uživatelé, rozhodně nehrozí.

Pokud tomu ale rozumíte tak, že se ještě 5× „dostanete do své datové schránky“  a můžete stále pracovat s jejím obsahem (a při té příležitosti můžete i změnit heslo), pak tomu rozumíte špatně. K obsahu své datové schránky se nedostanete, protože systém si hned po přihlášení začne změnu hesla vynucovat a bez ní vás nepustí dál ( třeba jen k oznámení, kolik máte nově doručených zpráv).

To mi přijde zajímavé hned ze dvou důvodů. Prvním je formální aspekt: již jsem se přihlásil do své schránky (přes webové rozhraní), a začínají tedy již běžet lhůty pro fikci doručení. Jenže dokud nezměním staré heslo za nové (či dokonce nějak propásnu oněch 5 pokusů), vlastně se ani nedostanu k tomu, co mi bylo doručeno (ani k pouhé informaci, zda mi bylo doručeno něco nového).

S tím pak souvisí i druhý zajímavý aspekt: jakým způsobem vlastně mohu „prošvihnout“ oněch 5 možností  ke změně hesla, když mne systém neumožní udělat nic jiného, než provést právě změnu hesla? A zadat nějaké nepřípustné heslo, či stejné heslo, jako bylo to předchozí, mi také nedovolí.

Jedinou možností je zřejmě ukončit stávající přihlášení bez dokončení změny hesla. V okamžiku, kdy po vás systém změnu hesla požaduje, se sice řádně odhlásit již nemůžete – ale stále zbývá možnost vrátit se zpět v historii, či nechat se odhlásit systémem pro nečinnost. Tím aktuální pokus o změnu hesla propadá a k dispozici jich je už o jeden méně.

Skutečně to tak funguje, viz následující obrázky. Čítač počtu pokusů na nich klesá tak, jak má, až se objeví  „poslední vážné varování“ s poněkud odlišným textem.

zbyvaji 3 pokusy zbyva 1 pokus
posledni pokus posledni sance

Když nevyužijete ani tento poslední pokus o změnu hesla, dojde skutečně ke zneplatnění vašich přístupových údajů – a vy musíte požádat o nové. Takže k tomu, co vidíte na posledním dnešním obrázku, se raději sami nepokoušejte dopracovat. Já jsem to udělal úmyslně a s plným vědomím následků. Alespoň si prakticky vyzkouším, jak to chodí na CzechPointech   při vydávání nových přístupových údajů.

pristupove udaje jsou jiz zneplatneny

K tomu ještě jedna důležitá poznámka: popisované „čerpání“ pěti pokusů se týká pouze webového rozhraní na webovém portálu. Pokud se budete pokoušet přihlásit přes rozhraní webových služeb (resp. bude to za vás dělat příslušná aplikace), pak tyto pokusy se do oněch 5 nepočítají. Můžete to tedy zkoušet libovolně dlouho – a systém vám stále bude vracet onu chybu 401. A vy si z ní musíte sami domyslet, co se vlastně stalo.

Co říci závěrem?

Vzato čistě z hlediska bezpečnosti a správy hesel, je jejich co nejčastější obměna jistě správná. Vzhledem k celkově nízké úrovni zabezpečení (jen pomocí jména a hesla) i možným následkům neoprávněného přístupu do datové schránky o to více.

Na druhou stranu nelze nevidět ani praktické aspekty: takto „tvrdé“ podmínky, s vynucováním obměny hesla každých 90 dnů, si v jiných systémech jen tak netroufnou nastolit. Tady se ale „silový resort“ vnitra očividně nijak nerozpakoval být na uživatele tvrdý a nekompromisní. Jestlipak přitom zvažoval i o to, že koncové uživatele tím o to více tlačí do všelijakého zapisování hesel na dobře viditelná místa (viz klasický „papírek na monitoru“), místo snahy si heslo zapamatovat? Nebude tak celkový efekt nakonec úplně obrácený? Tedy ve smyslu zhoršení bezpečnosti, než jejího zlepšení?

A co informování celé uživatelské veřejnosti o takto zásadních věcech? To, že celá záležitost je doposud fakticky utajována, a zařazení nezbytných informací  do uživatelské dokumentace se prý teprve připravuje, mi přijde opravdu jako problém. A když si to spojím s jiným bezpečnostním problémem, zmiňovaným v úvodu (s propagováním jiné adresy jako „jediné správné“), pak už si přestávám být jist tím, co si o všem myslet.

Jak celkově hodnotíte popisovanou povinnost měnit heslo každých 90 dnů?

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).