Nikdo nechce, aby byla ohrožena bezpečnost jeho online dat. Naneštěstí není nic neobvyklého narušení bezpečnosti dat velkých a důvěryhodných společností. Tato porušení mohou ohrozit bezpečnost vašich emailových adres, hesel a jakýchkoli dalších informací, které máte uloženy v konkrétním profilu. Někteří zákazníci si svůj účet SuperSaaS vytvořili před lety a stále používají stejné heslo na SuperSaaS jako na jiném webu. Existují dva způsoby, jak se snažíme bránit proti hackerům, kteří se snaží tyto seznamy využít k získání přístupu.
Součástí je i důraz na soukromí a soulad s GDPR, protože bezpečnost hesel je jen jedna část celého obrazu.
Zabraňujeme velkoobjemovému zadávání hesel, ale to plně neochrání
Za prvé, máme systém nastavený tak, aby detekoval každého, kdo testuje velké množství hesel najednou. Tyto IP adresy se automaticky zablokují a náš monitorovací software nás upozorní. Tento typ monitorování však není plně efektivní, protože hackeři mohou využívat mnoho IP adres a z každé otestovat několik hesel.
Vaše heslo ověříme podle seznamu známých prolomených hesel
Jako druhou linii obrany bereme seznamy napadených účtů, které jsou k dispozici online od firem zabývajících se výzkumem zabezpečení, a kontrolujeme, zda se na nich neobjevuje některý z našich zákazníků. Na stránce Have I been pwned? můžete zkontrolovat, zda je váš účet uveden v seznamu. Pokud najdeme odpovídající heslo, zkontrolujeme, zda se odpovídající emailová adresa objevuje také v tomto seznamu, a pokud se objeví obě, heslo resetujeme.
Můžeme zkontrolovat vaše heslo, aniž bychom ve skutečnosti věděli, co to je
Je důležité si uvědomit, že pro toto ověření nemusíme zasílat vaše heslo nikomu jinému, ve skutečnosti vaše heslo nikdy neopustí naše servery. Místo toho používáme matematický otisk vašeho hesla, takzvaný kryptografický hash, a kontrolujeme, zda se tento hash v seznamu vyskytuje. Hashe jsou bezpečně uchovávány na samostatném seznamu, který neopustí naši kancelář, i když jsou hashe samy o sobě neškodné, nelze je rekonstruovat zpět na heslo. Tímto způsobem nikdo nemusí zpracovávat skutečná hesla přímo a ani nebudeme vědět, jaké heslo jste použili, pokud najdeme v seznamu shodu. Jediné, co bychom věděli, je, že je na seznamu kompromitovaných hesel a že by bylo dobré jej resetovat.
Obnovíme hesla, která najdeme v seznamu
Pokud je hash vašeho hesla skutečně nalezen v seznamu hašovaných hesel, preventivně vaše heslo smažeme. Při příštím pokusu o přihlášení budete přesměrováni na obrazovku „ztracené heslo“, takže si můžete poslat emailem odkaz pro obnovení hesla.
Aby bylo jasno, neznamená to, že byl váš účet napaden. Znamená to pouze, že jsme za vás resetovali vaše heslo jako preventivní opatření, abychom zabránili jeho zneužití v budoucnu. Cítíme, že mírné obtěžování hesla, které bylo vymazáno, převažuje nad obrovskými potížemi s narušeným účtem. Samozřejmě jste vítáni na kontaktujte nás, pokud máte nějaké dotazy ohledně tohoto procesu.
Tento testovací proces se bude v pravidelných intervalech opakovat, například pokud dojde k dalšímu velkému porušení a objeví se online nové seznamy. Málokdy mluvíme o naší bezpečnosti, protože dokud děláme svou práci, neměli bychom komunikovat. Toto je jeden z mála viditelných způsobů, jak se snažíme poskytovat bezpečné prostředí, když používáte SuperSaaS. Ujišťujeme vás, že jako tým každý den tvrdě pracujeme v zákulisí na kybernetické bezpečnosti.
Původně publikováno v únoru 2019.