Mark Risher pracuje v Googlu jako produktový ředitel se zaměřením na bezpečnost účtů, phishing a obecně ochranu uživatelů. Působil také v Yahoo, kde se věnoval zejména spamu v rámci služby Yahoo Mail. Do Googlu se dostal v roce 2014, když firma koupila jeho startup Impermium.
Risher dnes na svých přednáškách a vystoupeních často razí myšlenku, že současný přístup k heslům je špatný. Podle něj je třeba zavádět nové metody k ochraně účtů, které Google postupně rozšiřuje prostřednictvím svých služeb a aplikací (Chrome či Android). Jde například o automatické vyplňování hesel, ověřování identity skrze více zařízení nebo nově hardwarový klíč Titan Key. Proč je podle něj zaběhnutý přístup k heslům třeba změnit?
Nedávno jste prohlásil, že všechno, co víme o heslech, je špatně. Co to přesně znamená?
Dlouho se říkalo, že si musíme nastavovat taková hesla, která jsou dlouhá, musí obsahovat velká a malá písmena, číslice a tak dále. Problémem je to, že tohle lidi neudrží v bezpečí tak, jak si myslí.
Dnes často vídáme, že lidé používají stejné heslo na více službách. Protože „musí“ mít heslo dlouhé a složité, mají tendenci používat všude pouze jedno, aby se lépe pamatovalo.
Když pak někdo získá heslo na jedné službě, může se pak dostat k dalším. Další věcí je to, že u rostoucího počtu cílených phishingových útoků je jedno, jestli máte dlouhé a složité heslo, nebo zcela jednoduché ve stylu „123456“. Když jakékoliv heslo napíšete do klamavé stránky, ukradnou vám ho.
Také jste uvedl, že přihlašování k účtu by mělo být něco jako výjimečný moment…
Chceme chvíli, kdy se uživatel přihlašuje ke svému účtu, udělat výjimečnou. Aby si dal pauzu a ujistil se, že je vše v pořádku. Mnoho aplikací se stále spoléhá na metody, které jsou podle nás špatné – a sice že například po každém zapnutí chtějí znovu zadat heslo, automaticky vás odhlašují po určité době a podobně. To ovšem vede k tomu, že se zadávání hesla automatizuje, stane se z toho rutina, u které nepřemýšlíte. Čím více budete heslo psát znovu a znovu, tím méně celému procesu budete věnovat pozornost.
Mark Risher, Google
Takže si vůči zadávání hesel vypěstuji imunitu?
Ano, něco takového. My se k tomu snažíme přistupovat jinak. Chceme přihlášení jen jednou třeba za dva roky. Po přihlášení projdete určitým náročnějším procesem, jako je ověřování přes další zařízení a podobně. O to více je to pro vás ovšem výjimečný moment a budete mu věnovat pozornost.
Měly by firmy a organizace nutit své zaměstnance měnit heslo každý měsíc, dva, tři?
To je další věc, která vede ke špatnému chování při zadávání hesel, i když je motivovaná dobrými úmysly. V praxi vidíme, že když neustále nutíte lidi měnit heslo, prostě vezmou to základní a dají k němu jiné číslo. To nijak nevylepšuje bezpečnost, jenom to naplňuje nějakou firemní politiku. Takže odpovědí je ne, firmy a organizace by neměly nutit své zaměstnance měnit hesla po určité době.
Vidíte do budoucna heslo jako přežitek v tom smyslu, že se objevují věci jako Touch ID, Face ID, Windows Hello a další služby, které uživatele poznají podle jeho těla?
Hesla jsou hrozná, ale zároveň mají některé pohodlné vlastnosti. Můžete je používat i v případě, když ztratíte telefon, když jste zranění anebo po vás nevyžadují, abyste ukládali své otisky prstů v cloudu. Stejně tak jsou hesla nasazená na 99,99 procentech služeb na světě. K eliminaci hesel bude potřeba ještě hodně času. Je ovšem pravděpodobné, že nutnost jejich zadávání bude dramaticky klesat. Například budou potřeba jen v případě, když si nastavujete nový telefon nebo počítač.
Je podle vás v případě hesel a kyberbezpečnosti třeba přistoupit k fundamentálním změnám?
Fundamentální změny je velice těžké dělat v rámci existujících systémů. Je třeba se vyvíjet s tím, že věci nadále fungují. Přicházejí tedy evoluční změny jako funkce auto-fill pro vyplňování hesel. Můžeme udělat změny v našem prohlížeči Chrome a v Androidu. Když zvládneme automaticky vyplňovat heslo, rovněž můžeme zajistit to, že je unikátní a že je bezpečné. To jsou kroky, které můžeme dělat do doby, než se změní celý ekosystém.
Google ovšem například letos uvedl, že i po letech od zavedení dvoufaktorové autentizace tuto možnost využívá pouze asi 10 procent aktivních uživatelů…
Spustili jsme službu Security Checkup, kde lidem doporučujeme, co se zabezpečením svého účtu dělat. Zjišťujeme, že lidé skutečně tyto rady využívají. Každopádně nebudou přijímat více bezpečnostních pravidel než tolik, kolik si myslí, že jich potřebují. Proto nasazujeme takzvané „dynamic challenges“, kdy například při přihlašování z nového zařízení pošleme zprávu na vaše jiné a již ověřené zařízení. Ve své podstatě tak dvoufaktorové ověřování používá většina uživatelů Google účtu.
Jak v kontextu zabezpečení účtů funguje vaše analýza chování uživatelů?
Jakmile se někdo přihlásí ke Google účtu, pracujeme s takzvaným „risk score“. Takže například když se přihlašujete z Prahy a najednou proběhne prohlášení z Londýna, může to znamenat podezřelé chování. Sledujeme i věci, jako když uživatel začne exportovat všechny kontakty. Je to velice neobvyklá aktivita. Podobných modelů máme nastavených mnohem více a pracujeme na několika vrstvách.
Mark Risher, Google
Využíváme kombinaci několika technik. V řadě případů velice dobře funguje tradiční machine learning (ML). Přichází řada signálů, které je pro lidi těžké zpracovávat, takže zde ML funguje kvalitě. ML dobře pracuje s „patterny“ a podobně. Nicméně tato technika také občas může vést k nesmyslným závěrům. Proto máme také tým analytiků, kteří se spornými výsledky nadále pracují. Do tohoto lidského týmu spadají analytici, inženýři, datoví vědci. Obecně lze říci, že stroje jsou lepší v tom, když mají porovnávat přesné hodnoty. Už ale příliš nezvládají selský rozum, kde je třeba zapojit lidskou sílu. Proto není možné se v kyberbezpečnosti spoléhat pouze na jednu vrstvu, ale na jejich kombinaci.
Google nedávno vydal hardwarový klíč Titan Key pro zabezpečení účtů. Máte ambici toto řešení rozšířit mezi běžné uživatele, nebo je to stále řešení pro náročnější uživatele?
Není jenom pro geeky, ale i pro uživatele, kteří jsou ve větším riziku. Proto jsme spustili Advanced Protection Program, který je přesně pro tento typ uživatelů navržen. Vycházíme i z toho, že od té doby, kdy zaměstnanci Googlu začali používat hardwarové klíče, máme nula případů úniků hesel skrze phishing. Je to velice efektivní metoda. Titan Key doporučujeme třeba novinářům, celebritám, aktivistům a podobně.
Pro většinu uživatelů toto řešení nejspíše nadále zůstane spíše výjimečné. Lidé mají tendenci bezpečnost podceňovat a nevyvíjí snahu navíc, pokud si myslí, že ji nepotřebují. Často také říkají, že nedělají nic zvláštního, co by někoho mělo zajímat. Lze souhlasit s tím, že pravděpodobnost toho, že by si běžní lidé začali pořizovat Titan Key, je velmi malá. My v Googlu každopádně toto řešení považujeme za nejsilnější možné v případě ochrany proti odcizení hesel.
Díky Googlu a dalším internetovým službám a sociálním sítím si jako útočník mohu zjistit řadu informací o daných osobách. Takto získané informace pak lze využít pro cílený útok. Google tedy na jednu stranu žije z poskytování informací „o všem“, toho nicméně zároveň mohou využívat útočníci opět proti vám a vašim uživatelům. Jak se k tomu stavíte?
Ano, cílený spear phishing funguje tak, že si útočníci najdou informace o těch, které chtějí napadnout. Není to pouze o informacích, které na vás lze najít přes profily na internetu a skrze vaše kamarády a tak dále, ale také o získání údajů přes některé kritické úniky dat. Typicky může jít o základní informace uniklé ze zákaznických systémů. Z toho lze poskládat velice realistické profily a využít sociální inženýrství k dalšímu postupu. I proto se snažíme přicházet s metodami zabezpečení a přístupu k heslům tak, jak jsem popisoval.
ČLÁNKY DO MAILU