Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Filip Jirsák - Správci hesel dnes existují a někteří lidé je...

Správci hesel dnes existují a někteří lidé je používají. Přesto dochází k únikům hesel, ze kterých plyne, že uživatelé používají slabá hesla a používají stejná hesla, která server zná, na více webech. Já z toho vyvozuju, že možnost používat správce hesel k vyřešení problému nestačí. Vy z toho děláte jiný závěr?

Já si z toho zároveň vyvozuju, že nebude fungovat nic, kde dáte lidem do ruky možnost používat něco jinak. Jediné reálné řešení je, že uživatelé budou dělat to, co dělají doteď – psát své jedno heslo do prohlížeče – akorát ta technologie pod tím musí být jiná. Už jenom když prohlížeč vezme uživatelem zadané heslo, přidá k němu základní doménu webu a uživatelské jméno, výsledek zahashuje a pošle serveru jako heslo, bude to mnohem bezpečnější, než dnes. Slabá hesla stejně pořád půjde lámat hrubou silou, ale budete to muset dělat po jednom uživateli na každém serveru. Ve srovnání se stavem, kdy máte heslo v otevřeném tvaru, je to pokrok o světelné roky.

Dnes uživatelé mohou změnit heslo jen na jedné službě a mohou sdílet přístupy nebo část přístupů, takže když se to z jejich pohledu bude chovat stejně, tato možnost samozřejmě zůstane zachována.

Mimochodem, sdílení přístupů sdílením hesla je jiný problém, i když daleko méně závažný než to, že neustále unikají hesla z prohlížečů. Zajímalo by mne, kdy třeba e-shopům dojde, že nenakupují jenom jednotlivci, ale i rodiny, firmy a další skupiny, takže by bylo vhodné mít k jednomu účtu více přístupových údajů.

HttpOnly na cookies se používá proto, aby nebylo možné je číst z JavaScriptu. Protože u typického webu je těžké dohlédnout, kdo všechno má v rámci webu možnost JavaScriptem cookies číst, a session cookie obvykle v JavaScriptu číst nepotřebujete.

Jak v případě HTTPS, verzí SSL/TLS nebo hashovacích algoritmů byl tlak prohlížečů zpočátku pozvolný a postupně se přitvrzuje, a trvá to roky. Nikde jsem nepsal, že by se hesla v otevřeném tvaru přestala používat za půl roku. Jenže o tom problému s hesly se ví řádově dvacet let, za tu dobu už opravdu mohlo být zasílání hesel v otevřeném tvaru vymýcené. Můžeme klidně čekat dalších dvacet let, zda se lidé nezmění a nezačnou používat správce hesel, ale na to vám mohu odpovědět rovnou – nezačnou. Ono se totiž nejspíš s hesly nebude dělat nic, a než naučit prohlížeče pracovat s hesly rozumně, to radši donutíme lidi používat FIDO nebo něco takového.

Jakože by se políčko pro heslo zobrazilo na webové stránce?
Ne. Byla by to součást nátlaku na tvůrce webů, aby přestali používat zadávání hesla ve webové stránce – prostě by se input[type='pas­sword'] začal zobrazovat úplně stejně, jako input[type='text'], tj. zadané heslo by nebylo maskované ale bylo by vidět. Zlepšilo by se UX, bezpečnost by se moc nesnížila a spousta lidí, kteří nepoužívají správce hesel z různých obskurních důvodů, by takové weby odmítla dál používat.