Nikto nechce, aby bola ohrozená bezpečnosť jeho online údajov. Bohužiaľ, rozsiahle úniky údajov z veľkých a dôveryhodných spoločností nie sú ničím nezvyčajným. Takéto úniky môžu ohroziť bezpečnosť vašich e-mailových adries, hesiel a akýchkoľvek ďalších informácií, ktoré ste si mohli uložiť v určitom profile. Niektorí zákazníci si vytvorili účet SuperSaaS pred rokmi a stále používajú na SuperSaaS rovnaké heslo ako na inej webovej stránke. Existujú dva spôsoby, ktorými sa snažíme brániť proti hackerom, ktorí sa pokúšajú tieto zoznamy zneužiť na získanie prístupu.
Súčasťou je aj dôraz na súkromie a súlad s GDPR, pretože bezpečnosť hesiel je len jedna časť celého obrazu.
Bránime vysokofrekvenčnému zadávaniu hesiel, ale to neochráni úplne
Najprv máme nastavený systém, ktorý odhalí kohokoľvek, kto skúša naraz veľké množstvo hesiel. Tieto IP adresy sa automaticky blokujú a náš monitorovací softvér nás na to upozorní. Takéto monitorovanie však nie je úplne účinné, pretože hackeri môžu použiť mnoho IP adries a z každej vyskúšať len niekoľko hesiel.
Overujeme vaše heslo podľa zoznamu známych kompromitovaných hesiel
Ako druhú obrannú líniu používame zoznamy kompromitovaných účtov, ktoré sú dostupné online od bezpečnostných výskumných firiem, a overujeme, či sa na nich niektorý z našich zákazníkov nachádza. Na stránke have i been pwned? si môžete skontrolovať, či sa váš účet nachádza na zozname. Ak nájdeme zhodné heslo, skontrolujeme, či sa na tom istom zozname nachádza aj príslušná e-mailová adresa, a ak sa tam nachádzajú obe, heslo resetujeme.
Heslo vieme skontrolovať bez toho, aby sme vedeli, aké vlastne je
Je dôležité poznamenať, že na toto overenie nemusíme vaše heslo posielať nikomu inému, v skutočnosti vaše heslo nikdy neopustí naše servery. Namiesto toho používame matematický odtlačok vášho hesla, takzvaný kryptografický hash, a kontrolujeme, či sa tento hash nachádza v zozname. Tieto odtlačky sú uložené bezpečne v samostatnom zozname, ktorý neopúšťa našu kanceláriu, a hoci sú samy osebe neškodné, nedajú sa späť zrekonštruovať na heslo. Takto nikto nemusí priamo zaobchádzať so skutočnými heslami a my sa dokonca nedozvieme, aké heslo ste použili, ak nájdeme zhodu v zozname. Všetko, čo by sme vedeli, je, že sa nachádza v zozname kompromitovaných hesiel a že by bolo dobré ho resetovať.
Heslá, ktoré nájdeme v zozname, resetujeme
Ak sa hash vášho hesla skutočne nachádza v zozname zahashovaných hesiel, vaše heslo preventívne odstránime. Pri ďalšom pokuse o prihlásenie budete presmerovaní na obrazovku „zabudnuté heslo“, aby ste si mohli e-mailom poslať odkaz na obnovenie hesla.
Aby bolo jasné, toto neznamená, že váš účet bol kompromitovaný. Len to znamená, že sme vám heslo preventívne resetovali, aby sa predišlo jeho budúcemu kompromitovaniu. Považujeme mierne obťažovanie spojené so zmazaným heslom za menšie zlo než obrovské problémy spôsobené narušeným účtom. Samozrejme, ak máte akékoľvek otázky o tomto procese, môžete nás kontaktovať.
Tento testovací proces sa bude opakovať v pravidelných intervaloch, napríklad ak dôjde k ďalšiemu veľkému úniku a online sa objavia nové zoznamy. O našej bezpečnosti hovoríme len zriedka, pretože pokiaľ robíme svoju prácu, nemalo by byť o čom komunikovať. Toto je jeden z mála viditeľných spôsobov, akými sa snažíme zabezpečiť bezpečné prostredie pri používaní SuperSaaS. Uistite sa, že ako tím na pozadí každý deň tvrdo pracujeme na kybernetickej bezpečnosti.
Pôvodne publikované vo februári 2019.