{"id":749,"date":"2024-03-27T13:47:17","date_gmt":"2024-03-27T13:47:17","guid":{"rendered":"http:\/\/localhost:9000\/?p=749"},"modified":"2024-08-16T08:58:48","modified_gmt":"2024-08-16T08:58:48","slug":"preco-je-ukladanie-hesiel-do-prehliadaca-nebezpecne","status":"publish","type":"post","link":"http:\/\/localhost:9000\/posts\/749","title":{"rendered":"Pre\u010do je ukladanie hesiel do prehliada\u010da nebezpe\u010dn\u00e9?"},"content":{"rendered":"\n

S rast\u00facim po\u010dtom webov\u00fdch slu\u017eieb a online \u00fa\u010dtov sa zvy\u0161uje aj po\u010det hesiel, ktor\u00e9 si mus\u00ed \u010dlovek pam\u00e4ta\u0165. Ako reakciu na t\u00fato potrebu si mnoh\u00ed pou\u017e\u00edvatelia zvolili ukladanie hesiel do svojich internetov\u00fdch prehliada\u010dov a pou\u017e\u00edvanie automatick\u00e9ho vyp\u013a\u0148ania. Je to pohodln\u00e9 rie\u0161enie, ale webov\u00e9 prehliada\u010de<\/strong> s\u00fa prim\u00e1rne navrhnut\u00e9 na zobrazovanie webov\u00e9ho obsahu<\/strong> a nie na zabezpe\u010den\u00e9 ukladanie hesiel. V tomto \u010dl\u00e1nku sa do\u010d\u00edtate pre\u010do je nebezpe\u010dn\u00e9 uklada\u0165 svoje hesl\u00e1 v prehliada\u010di a o odpor\u00fa\u010daniach ako si ich ochr\u00e1ni\u0165.<\/p>\n\n\n\n

Hesl\u00e1 s\u00fa jedn\u00fdm z m\u00e1la sp\u00f4sobov, ako dok\u00e1\u017eeme zabezpe\u010di\u0165 svoje \u00fa\u010dty. Odborn\u00edci z oblasti IT pravidelne vyz\u00fdvaj\u00fa pou\u017e\u00edvate\u013eov, aby si tvorili bezpe\u010dn\u00e9 hesl\u00e1 \u2013 v s\u00falade so \u0161pecifick\u00fdmi po\u017eiadavkami. Bli\u017e\u0161ie podrobnosti o bezpe\u010dnosti a vytv\u00e1ran\u00ed hesiel sme si pre V\u00e1s pripravili za\u010diatkom septembra.<\/a><\/p>\n\n\n

\n
\"\"
Obr\u00e1zok 1 Bezpe\u010dn\u00e9 hesl\u00e1    Zdroj: CSIRT<\/figcaption><\/figure><\/div>\n\n\n

Nech s\u00fa va\u0161e hesl\u00e1 akoko\u013evek bezpe\u010dn\u00e9, v momente ich ulo\u017eenia vo webovom prehliada\u010di \u010del\u00edte viacer\u00fdm rizik\u00e1m.<\/p>\n\n\n\n

Rizik\u00e1 ukladania hesiel v prehliada\u010doch<\/strong><\/h2>\n\n\n\n

1. Prv\u00e9 nebezpe\u010denstvo predstavuje fyzick\u00fd pr\u00edstup<\/strong> k odomknut\u00fdm zariadeniam obete, kedy \u00fato\u010dn\u00edk dok\u00e1\u017ee ulo\u017een\u00e9 hesl\u00e1 zneu\u017ei\u0165 na neopr\u00e1vnen\u00fd pr\u00edstup<\/strong> do ,,zapam\u00e4tan\u00fdch\u201c syst\u00e9mov a n\u00e1sledn\u00e9 vykonanie \u00fakonov<\/strong> pod\u013ea \u00farovne opr\u00e1vnenia \u00fa\u010dtu. \u00dato\u010dn\u00edk dokonca m\u00f4\u017ee hesl\u00e1 extrahova\u0165 na \u010fal\u0161ie pou\u017eitie<\/strong>.<\/p>\n\n\n\n

2. Spr\u00e1vca hesiel vo webov\u00fdch prehliada\u010doch uklad\u00e1 hesl\u00e1 do \u0161ifrovan\u00fdch datab\u00e1z, av\u0161ak pre konkr\u00e9tne prehliada\u010de <\/strong>s\u00fa verejne zn\u00e1me presn\u00e9 umiestnenia s\u00faborov <\/strong>na disku, ktor\u00e9 obsahuj\u00fa hist\u00f3riu prehliadania, datab\u00e1zu hesiel a dokonca aj hlavn\u00e9 heslo<\/strong> k \u0161ifrovan\u00fdm datab\u00e1zam. T\u00fato skuto\u010dnos\u0165 zneu\u017e\u00edvaj\u00fa r\u00f4zne rodiny malv\u00e9rov<\/strong>, ktor\u00e9 zbieraj\u00fa z\u00e1kladn\u00e9 inform\u00e1cie o kompromitovanom zariaden\u00ed, hist\u00f3riu prehliada\u010dov a komunika\u010dn\u00fdch platforiem, ulo\u017een\u00e9 hesl\u00e1 prehliada\u010dov, obsah schr\u00e1nky opera\u010dn\u00e9ho syst\u00e9mu (eng. clipboard) alebo in\u00fdch zvolen\u00fdch s\u00faborov a tieto \u00fadaje r\u00f4znymi met\u00f3dami zasielaj\u00fa \u00fato\u010dn\u00edkovi. Medzi najzn\u00e1mej\u0161ie malv\u00e9ry zameran\u00e9 na z\u00edskavanie citliv\u00fdch d\u00e1t mo\u017eno zaradi\u0165 napr. Redline, Racoon, Lumma, SnakeKeylogger, Agent Tesla a \u010fal\u0161ie. Znalos\u0165 umiestnenia k\u013e\u00fa\u010dov\u00fdch s\u00faborov je taktie\u017e vyu\u017e\u00edvan\u00e1 aj v r\u00e1mci rie\u0161enia kybernetick\u00fdch bezpe\u010dnostn\u00fdch incidentov<\/strong> a vy\u0161etrovania trestn\u00fdch \u010dinov po\u010d\u00edta\u010dovej kriminality.<\/p>\n\n\n\n

3. Mimoriadne riziko predstavuje mo\u017enos\u0165 previazania prehliada\u010da s kontom pou\u017e\u00edvate\u013ea<\/strong> (napr. konto na slu\u017ebe MICROSOFT alebo GOOGLE), ktor\u00e9 umo\u017e\u0148uje pokro\u010dil\u00e9 funkcie pr\u00e1ce na viacer\u00fdch zariadeniach<\/strong>, ako s\u00fa napr. zdie\u013eanie hist\u00f3rie webov\u00e9ho prehliadania, z\u00e1lo\u017eiek a synchroniz\u00e1cie ulo\u017een\u00fdch hesiel. Synchroniz\u00e1cia hesiel<\/strong> na jednej strane zvy\u0161uje komfort pou\u017e\u00edvate\u013ea<\/strong>, na druhej strane v\u0161ak predstavuje dodato\u010dn\u00e9 riziko<\/strong>, kedy sa k hesl\u00e1m mo\u017eno dosta\u0165 kompromit\u00e1ciou \u013eubovo\u013en\u00e9ho zariadenia<\/strong> asociovan\u00e9ho s dan\u00fdm kontom.<\/p>\n\n\n\n

Ako odstra\u0161uj\u00faci pr\u00edklad<\/strong> zneu\u017eitia tejto funkcionality mo\u017eno pou\u017ei\u0165 kybernetick\u00fd bezpe\u010dnostn\u00fd incident, ktor\u00fd spolo\u010dnos\u0165 CISCO rie\u0161ila v roku 2022. Jeden z intern\u00fdch zamestnancov mal webov\u00fd prehliada\u010d na pracovnom zariaden\u00ed previazan\u00fd so s\u00fakromn\u00fdm GOOGLE \u00fa\u010dtom a vyu\u017e\u00edval synchroniz\u00e1ciu hesiel<\/strong>, vr\u00e1tane prihlasovac\u00edch \u00fadajov do podnikovej VPN siete. Tento pou\u017e\u00edvate\u013e sa stal obe\u0165ou phishingov\u00e9ho \u00fatoku<\/strong>, po\u010das ktor\u00e9ho \u00fato\u010dn\u00edk z\u00edskal pr\u00edstup k jeho GOOGLE \u00fa\u010dtu<\/strong> a t\u00fdm aj ku v\u0161etk\u00fdm hesl\u00e1m<\/strong>. Prihlasovanie do VPN<\/strong> s\u00edce bolo chr\u00e1nen\u00e9<\/strong> prostredn\u00edctvom viacfaktorovej autentifik\u00e1cie<\/strong>, ale \u00fato\u010dn\u00edkovi sa tento bezpe\u010dnostn\u00fd prvok podarilo ob\u00eds\u0165 prostredn\u00edctvom techn\u00edk soci\u00e1lneho in\u017einierstva<\/strong>, ktor\u00e9 s\u00fa bli\u017e\u0161ie pop\u00edsan\u00e9 na tomto odkaze<\/a> v \u010dl\u00e1nku.<\/p>\n\n\n\n

4. Ukladanie \u00fadajov v prehliada\u010di zvy\u0161uje aj \u00faspe\u0161nos\u0165 phishingov\u00fdch kampan\u00ed<\/strong>, kedy prehliada\u010d pri rozpoznan\u00ed formul\u00e1ra<\/strong> na zadanie osobn\u00fdch alebo kartov\u00fdch \u00fadajov pon\u00fakne pou\u017e\u00edvate\u013eovi mo\u017enos\u0165 automatick\u00e9ho vyp\u013a\u0148ania<\/strong>. T\u00e1to funkcia je mimoriadne rizikov\u00e1 dokonca aj v pr\u00edpade, \u017ee si obe\u0165 uvedom\u00ed, \u017ee sa stala obe\u0165ou phishingu e\u0161te pred odoslan\u00edm formul\u00e1ra, preto\u017ee pokro\u010dil\u00e9 phishingov\u00e9 frameworky priebe\u017ene zasielaj\u00fa zad\u00e1van\u00e9 \u00fadaje \u00fato\u010dn\u00edkovi<\/strong>.<\/p>\n\n\n\n

5. Okrem funkci\u00ed zabudovan\u00fdch priamo v prehliada\u010di je na ukladanie hesiel mo\u017en\u00e9 pou\u017ei\u0165 aj extern\u00e9 doplnky, z\u00e1suvn\u00e9 moduly a pluginy<\/strong>, ktor\u00e9 maj\u00fa r\u00f4znu kvalitat\u00edvnu \u00farove\u0148. \u00dato\u010dn\u00edci r\u00f4zne roz\u0161\u00edrenia dokonca pou\u017e\u00edvaj\u00fa ako mechanizmus \u0161\u00edrenia \u0161kodliv\u00e9ho k\u00f3du<\/strong>, nako\u013eko pou\u017e\u00edvate\u013e medzi ve\u013ek\u00fdm mno\u017estvom dostupn\u00fdch mo\u017enost\u00ed \u010dasto nedok\u00e1\u017ee rozl\u00ed\u0161i\u0165 legit\u00edmne aplik\u00e1cie od t\u00fdch \u0161kodliv\u00fdch.<\/p>\n\n\n\n

6. Vy\u0161\u0161ie uveden\u00e9 roz\u0161\u00edrenia<\/strong> rovnako ako samotn\u00e9 prehliada\u010de<\/strong> m\u00f4\u017eu obsahova\u0165 bezpe\u010dnostn\u00e9 zranite\u013enosti<\/strong>, ktor\u00e9 mo\u017eno zneu\u017ei\u0165 na naplnenie r\u00f4znych cie\u013eov, od z\u00edskania neopr\u00e1vnen\u00e9ho pr\u00edstupu k citliv\u00fdm \u00fadajom a\u017e po vzdialen\u00e9 vykonanie \u0161kodliv\u00e9ho k\u00f3du. Tie najz\u00e1va\u017enej\u0161ie zranite\u013enosti je mo\u017en\u00e9 zneu\u017ei\u0165 vzdialene a bez interakcie obete. Preto je d\u00f4le\u017eit\u00e9 v\u0161etky pou\u017e\u00edvan\u00e9 zariadenia a aplik\u00e1cie pravidelne aktualizova\u0165<\/strong>.<\/p>\n\n\n\n

V\u00fdhody pou\u017e\u00edvania aplik\u00e1ci\u00ed na spr\u00e1vu hesiel<\/strong><\/p>\n\n\n\n

Na ukladanie hesiel sa odpor\u00fa\u010da pou\u017e\u00edva\u0165 v\u00fdhradne \u0161pecializovan\u00e9 n\u00e1stroje, tzv. aplik\u00e1cie na spr\u00e1vu hesiel<\/strong> (eng. password manager), ktor\u00e9 boli navrhnut\u00e9 s prim\u00e1rnym d\u00f4razom na zabezpe\u010denie d\u00e1t, robustn\u00e9 \u0161ifrovanie a ochranu pred r\u00f4znymi scen\u00e1rmi odcudzenia<\/strong> prihlasovac\u00edch \u00fadajov. Tieto aplik\u00e1cie umo\u017e\u0148uj\u00fa hesl\u00e1 preh\u013eadne organizova\u0165<\/strong> do kateg\u00f3ri\u00ed a dokonca vykon\u00e1vaj\u00fa anal\u00fdzy nad heslami<\/strong>, aby pou\u017e\u00edvate\u013eov upozornili na recykl\u00e1ciu hesiel alebo skryt\u00e9 a predv\u00eddate\u013en\u00e9 vzory pri generovan\u00ed hesiel, vr\u00e1tane jednoduch\u00fdch \u00faprav pri pravideln\u00fdch zmen\u00e1ch hesiel. Niektor\u00e9 slu\u017eby dokonca hesl\u00e1 overuj\u00fa vo\u010di online datab\u00e1zam uniknut\u00fdch hesiel<\/strong>, \u010d\u00edm umo\u017e\u0148uj\u00fa reagova\u0165 na pr\u00edpadn\u00e9 \u00faniky d\u00e1t. Jednou z najzn\u00e1mej\u0161\u00edch slu\u017eieb umo\u017e\u0148uj\u00facich preverenie, \u010di do\u0161lo k \u00faniku Va\u0161ich prihlasovac\u00edch \u00fadajov, je HAVEIBEENPWNED<\/a><\/strong>, s ktorou CSIRT.SK v roku 2021 uzatvoril spolupr\u00e1cu<\/strong>. Okrem hesiel umo\u017e\u0148uj\u00fa aj ukladanie s\u00faborov<\/strong> \u2013 napr. obr\u00e1zkov a in\u00e9ho kryptografick\u00e9ho materi\u00e1lu (certifik\u00e1ty, SSH k\u013e\u00fa\u010de a pod). Hesl\u00e1 skop\u00edrovan\u00e9 do schr\u00e1nky opera\u010dn\u00e9ho syst\u00e9mu v nej udr\u017euj\u00fa len po obmedzen\u00fd \u010das, \u010d\u00edm zni\u017euj\u00fa riziko ich kr\u00e1de\u017ee. V pr\u00edpade vyu\u017e\u00edvania online slu\u017eieb na mana\u017ement hesiel je treba bra\u0165 do \u00favahy aj riziko, \u017ee bezpe\u010dnostn\u00e9 zranite\u013enosti a incidenty u V\u00e1\u0161ho poskytovate\u013ea m\u00f4\u017eu priamo ohrozi\u0165 aj Va\u0161e hesl\u00e1.<\/p>\n\n\n\n

Odpor\u00fa\u010dania ako sa chr\u00e1ni\u0165<\/strong><\/h2>\n\n\n\n

1.Pou\u017e\u00edvajte siln\u00e9 hesl\u00e1<\/strong>: Pou\u017e\u00edvajte siln\u00e9 hesl\u00e1, ktor\u00e9 obsahuj\u00fa kombin\u00e1ciu ve\u013ek\u00fdch a mal\u00fdch p\u00edsmen, \u010d\u00edslic a \u0161peci\u00e1lnych znakov. Odpor\u00fa\u010dame pou\u017e\u00edva\u0165 passphrase, fr\u00e1zy, ktor\u00e9 si pou\u017e\u00edvate\u013e dok\u00e1\u017ee \u013eah\u0161ie zapam\u00e4ta\u0165. NEPOU\u017d\u00cdVAJTE<\/strong> <\/em>v\u0161ak ver\u0161e pesni\u010diek, odseky z kn\u00edh, popul\u00e1rne cit\u00e1ty, osobn\u00e9 \u00fadaje alebo hesl\u00e1, ktor\u00e9 ste niekde videli (napr. slogany, reklamy….). VJ CSIRT odpor\u00fa\u010da pou\u017e\u00edva\u0165 diakritiku pri vytv\u00e1ran\u00ed fr\u00e1zy, kde je to mo\u017en\u00e9.<\/p>\n\n\n

\n
\"\"
Obr\u00e1zok 2 Bezpe\u010dn\u00e9 hesl\u00e1    Zdroj: CyberHoot<\/figcaption><\/figure><\/div>\n\n\n

2. Nepou\u017e\u00edvajte funkciu automatick\u00e9ho ukladania hesiel<\/strong> a dop\u013a\u0148ania<\/strong> vo webov\u00fdch prehliada\u010doch. Namiesto toho si zapam\u00e4tajte svoje hesl\u00e1 alebo pou\u017eite aplik\u00e1cie na spr\u00e1vcu hesiel, ako napr\u00edklad KeePass, LastPass, 1Password  alebo Bitwarden.<\/p>\n\n\n\n

3. Striktne odde\u013eujte<\/strong> s\u00fakromn\u00e9 a pracovn\u00e9 zariadenia.<\/p>\n\n\n\n

4. Na v\u0161etk\u00fdch slu\u017eb\u00e1ch, kde je to mo\u017en\u00e9, majte aktivovan\u00e9 viacfaktorov\u00e9 overovanie<\/strong> pr\u00edstupu. M\u00f4\u017eete si nastavi\u0165 overenie biometriou, odosielanie SMS spr\u00e1v, telefonick\u00fd rozhovor alebo pou\u017e\u00edva\u0165 gener\u00e1tor tokenov pre vytvorenie jednorazov\u00e9ho k\u00f3du \u010di push notifik\u00e1cie pre autentifik\u00e1ciu do \u00fa\u010dtu (Duo Mobile, Authy, Google Authentificator). Svojich zamestnancov a zn\u00e1mych vzdelajte aj o akt\u00edvne zneu\u017e\u00edvan\u00fdch met\u00f3dach obch\u00e1dzania viacfaktorovej autentifik\u00e1cie<\/a><\/strong>.<\/p>\n\n\n\n

5. Pravidelne<\/strong> aktualizujte <\/strong>opera\u010dn\u00fd syst\u00e9m, pou\u017e\u00edvan\u00e9 aplik\u00e1cie a ich roz\u0161\u00edrenia, nako\u013eko m\u00f4\u017eu obsahova\u0165 \u013eahko zneu\u017eite\u013en\u00e9 bezpe\u010dnostn\u00e9 zranite\u013enosti.<\/p>\n\n\n\n

6. Pou\u017e\u00edvan\u00e9 aplik\u00e1cie,<\/strong> extern\u00e9 doplnky, z\u00e1suvn\u00e9 moduly a pluginy v\u017edy in\u0161talujte<\/strong> z overen\u00fdch a d\u00f4veryhodn\u00fdch zdrojov<\/strong>.<\/p>\n\n\n\n

7. Hardening prehliada\u010dov.<\/a><\/strong> Cie\u013eom hardeningu prehliada\u010dov je zn\u00ed\u017ei\u0165 mo\u017en\u00fd dopad zranite\u013enost\u00ed a zv\u00fd\u0161i\u0165 odolnos\u0165 prehliada\u010da pred \u00fatokmi. Sl\u00fa\u017ei n\u00e1m na to najm\u00e4 vhodn\u00e1 konfigur\u00e1cia, ktor\u00e1 zah\u0155\u0148a blokovanie cookies, blokovanie  na\u010d\u00edtavania obsahu z nezn\u00e1mych alebo nebezpe\u010dn\u00fdch zdrojov, aktiv\u00e1ciu dodato\u010dn\u00fdch bezpe\u010dnostn\u00fdch funkci\u00ed ako blokovanie rekl\u00e1m, vypnutie telemetrie a mnoho \u010fal\u0161\u00edch nastaven\u00ed<\/a>. Odolnos\u0165 svojho prehliada\u010da si m\u00f4\u017eete overi\u0165 prostredn\u00edctvom online testu<\/a>.<\/p>\n\n\n\n

8. Pou\u017e\u00edvate\u013esk\u00e9 konto<\/a>. <\/strong>Pri pr\u00e1ci s prehliada\u010dmi na opera\u010dnom syst\u00e9me by ste mali v\u017edy pou\u017e\u00edva\u0165 pou\u017e\u00edvate\u013esk\u00e9 konto s n\u00edzkymi opr\u00e1vneniami (user account) a nie administr\u00e1torsk\u00e9 konto (administrator account).<\/p>\n\n\n\n

V tomto \u010dl\u00e1nku sme si uk\u00e1zali rizik\u00e1 spojen\u00e9 s ukladan\u00edm hesiel vo webov\u00fdch prehliada\u010doch, pop\u00edsali v\u00fdhody pou\u017e\u00edvania aplik\u00e1ci\u00ed na spr\u00e1vu hesiel a odpor\u00fa\u010dania ako svoje hesl\u00e1 chr\u00e1ni\u0165. Pri pr\u00e1ci s heslami je potrebn\u00e9 dodr\u017eiava\u0165 z\u00e1kladn\u00e9 z\u00e1sady kybernetickej hygieny a dr\u017ea\u0165 sa vy\u0161\u0161ie uveden\u00fdch odpor\u00fa\u010dan\u00ed VJ CSIRT.<\/p>\n\n\n\n

Sledujte n\u00e1s na soci\u00e1lnych sie\u0165ach:<\/strong><\/u><\/em><\/p>\n\n\n\n