Velká většina škol na různých stupních provozuje webové stránky školy, školní portál nebo jinak umožňuje svým žákům nebo jejich rodičům přístup k informacím, které škola poskytuje. O problémech, které s tímto přístupem vznikají v souvislosti s GDPR, se již mnohokrát mluvilo a psalo v loňském roce a tento trochu „humbuk“ už utichl. Přesto je vhodné se podívat na některé zásady pro zajištění přístupu externích uživatelů různých školních aplikací.
Obecně samozřejmě stále platí, že žádné informace, které k zajištění přístupu nejsou nezbytně potřeba, nemají být vyžadovány a skladovány. Nejlepší je, když budoucí uživatel dostane nějaké jméno a iniciační heslo a obojí si může sám zvolit. V interních systémech je pak toho jméno vázáno na jednoznačný identifikátor (ID), na který už je zajištěna autorizace – tedy oprávnění, kde všude uživatel může pracovat, kam může přistupovat a jaké informace může získat. Přihlašovací jméno pak je na vůli uživatele. Alternativní je jistě možnost, že přihlašovací jméno bude přidělené.
Mnohem zajímavější je situace s heslem. Ještě nedávno byly velmi rozšířené názory, že je vhodné a nezbytné, aby heslo bylo co nejsložitější a velmi často měněné. To vycházelo z představy, že případný útočník, který se snaží heslo uhodnout, bude mít problém takové heslo zjistit, a pokud už se mu to podaří, tak že mu po krátké době bude k ničemu.
Jsou dva základní druhy útoků na heslo – tedy pokusů o získání neoprávněného přístupu.
· První je on-line – kdy se útočník pokouší přistupovat přímo k účtu a zadává heslo, které si myslí, že by mohlo platit. Nemusí to dělat ručně, ale může využít různé roboty. Proti tomuto způsobu útoku je ale poměrně dobrá obrana – jednak dodržení toho, že si uživatel zadá své přihlašovací jméno sám a útočník ho tedy nebude moci odvodit z nějaké obecně známé konvence (nejhorší je přidělit uživateli přihlašovací jméno složené z prvního písmene křestního jména a příjmení – to je první, co každý vyzkouší), jednak je vhodné, aby byl přístup po několikátém chybném pokusu o přihlášení zablokován. Zpravidla se používá zablokování po třech neúspěšných pokusech. Odblokování může být i automatické po nějakém čase – např. po 24 hodinách. Potenciální útočník v takovém případě má natolik ztíženou úlohu, že to vzdá.
· Druhý je off-line, tedy útočník nejprve pomocí nějaké techniky získá (ukradne) databázi hesel a z ní se pak pokouší zjistit přihlašovací jméno a heslo (a vzhledem k tomu, že hodně lidí dává stejná hesla pro různé účty, to nemusí být nutně právě vaše databáze). V tomto případě však záleží na síle šifrování hesel – tedy nikoliv na síle samotného hesla, ale na tom, jak dobře jsou hesla zašifrovaná.
V obou těchto případech nehraje složitost zadávaného hesla hlavní roli. Je tedy zbytečné vyžadovat od externího uživatele velmi složité, „silné“ heslo, i když samozřejmě heslo 1234 je problém vždy.
V mnoha normách (rodina norem 27000, NIST SP-800-63 apod.) se požadavek na sílu hesla objevuje a je požadována minimální délka hesla, tzv. komplexita hesla (heslo se musí skládat z malých, velkých písmen, číslic a speciálních znaků) a většinou také požadavek na nucenou změnu hesla po uplynutí nějaké doby, zpravidla 90 dnů. Takto to také bylo i ve vyhlášce 316/2014 Sb., která navazovala na zákon o kybernetické bezpečnosti, č. 181/2014 Sb. Tímto zákonem se povinně musely řídit všechny povinné osoby, což byly organizace, které provozují kritickou infrastrukturu nebo významný informační systém (typicky např. energetické společnosti, telekomunikační společnosti, orgány státní moci, ale i např. velké nemocnice). Pro všechny ostatní organizace byly tento zákon a vyhláška v podstatě doporučení.
Konečně však po mnoha letech proniklo i do norem (např. NIST SP-800-63b) poznání, že je mnohem vhodnější, když heslo bude pro uživatele snadno zapamatovatelné s nějakou minimální délkou. Riziko, že uživatel heslo zapomene, resp. si někde píše, nebo jako nápověda zapomenutí hesla bude na systémech možnost odpovědi na triviální otázku, která se dá s trochou námahy na internetu (v době Facebooku, Instagramu aj.) zodpovědět za 20 minut, je totiž výrazně vyšší.
Na změnu norem reagovala i vyhláška k zákonu o kybernetické bezpečnosti, a to její novelizace, vyhláška č. 82/2018 Sb., která zcela vypouští požadavky na komplexitu hesla i požadavek na nucenou změnu hesla po určité době. Naopak zvedá minimální délku hesla z 8 znaků na 12 a také stanovuje, že maximální délka hesla nemůže být v systému omezena na méně než 64 znaků. Tato změna je opět povinná jen pro ze zákona povinné osoby – organizace. Přesto však by toto mělo být bráno jako standard pro všechny systémy, které umožňují vzdálené přihlášení a nepoužívají více autentizačních mechanismů, než je přihlašovací jméno a heslo.
Ještě poznámka k českému prostředí. Prosím nebraňte uživatelům v používání jakýchkoliv znaků při zadávání hesla. Součástí hesla může být mezera, tečka či dvojtečka a samozřejmě i jakékoliv české znaky. Heslo „Babička měla kočku Mícu“ je po všech stránkách mnohem bezpečnější než vynucené „Kzr87$jX“. A v tomto duchu by také měla probíhat osvěta jak žákům a studentům, tak také jejich rodičům.
Vladimír MÜLLER