Mezery v zabezpečení freemailů se dostávají na světlo pravidelně. Naposledy vzbudilo pozornost vykradení schránky předsedy české vlády. Míra zabezpečení účtů u jednotlivých poskytovatelů se přitom liší. Pokusy hackerů i některých novinářů v minulosti prokázaly, že lze proniknout i do těch, které jsou považovány za lépe zabezpečené. K těm přitom nejoblíbenější české freemaily – včetně toho, který používá premiér – nepatří.
Bezpečný freemail: Záleží hlavně na uživateli, ale nejen na něm
Premiéru Bohuslavu Sobotkovi pronikli na e-mailový účet hackeři. Podiv vzbudil fakt, že předseda vlády využívá i k pracovní komunikaci freemail, tedy účet zřízený a zdarma provozovaný veřejným portálem, útok však také poukázal na omezenou bezpečnost takových účtů.
Pro mnoho lidí jde přitom doslova o nejcennější věc, kterou mají. „Já bych to přirovnal ke klíčům od hlavního vchodu do domu. Z e-mailové schránky komunikujete s bankou, s vaším zaměstnavatelem, se svými příbuznými. (…) Je to základní komunikační kanál pro běžného občana, který nemá svůj vlastní e-mail na svém serveru. Takto by k tomu lidé měli přistupovat: Když se do schránky někdo dostane, může najít mnoho citlivých, mnoho intimních věcí,“ shrnul v rozhovoru pro ČT IT expert Jiří Nápravník.
Zabezpečení se liší, největší čeští provozovatelé shodně nemají 2FA
Zabezpečení se přitom u různých poskytovatelů výrazně liší. Časopis Chip na přelomu let 2014 a 2015 provedl test freemailů a v jeho závěru poukázal na relativně nízké zabezpečení účtu na Seznamu ve srovnání se službami Googlu a Microsoftu. Mimo jiné jako jediný nenabízel dvoufaktorovou autentizaci (2FA), kdy je třeba prostřednictvím telefonu potvrdit přihlášení na každém novém zařízení.
Používání služeb s 2FA přitom v souvislosti s problémy Bohuslava Sobotky všeobecně doporučil i Národní bezpečnostní úřad. Jeho mluvčí Radek Holý také oznámil, že je připraven pomoci Úřadu vlády se zabezpečením premiérovy elektronické komunikace. Dodal, že zaměstnanci Úřadu vlády také měli předsedu vlády informovat o „nebezpečí veřejných účtů u veřejných poskytovatelů“.
Že Sobotkův ani další účty na freemailu od Seznamu nemají dvoufaktorovou autentizaci, se za rok, který uplynul od testu časopisu Chip, nezměnilo. Je ale třeba dodat, že by si premiér příliš nepomohl, ani kdyby použil nejvážnějšího domácího konkurenta Seznamu, tedy freemail na Centrum.cz. Dvoufaktorovou autentizaci nenabízí ani jedna společnost, při obnovení zapomenutého hesla – což může být nejsnazší cesta k prolomení účtu – potom shodně umožňují vybrat si, zda potřebné údaje přijdou na telefon, alternativní e-mailovou adresu nebo zda bude možné na účet vstoupit po zodpovězení kontrolní otázky.
Kontrolní otázka: Jestlipak víte, jak chlapci říkají mé manželce?
Mezi otázkami – které se na jednotlivých sítích liší – jsou například údaje z osobních dokumentů jako řidičský průkaz nebo pojistná smlouva, oblíbený herec, film či zpěvák anebo rodinná témata jako rodné příjmení matky či místo prvního setkání s životním partnerem. Po zadání kýženého údaje je možné vytvořit nové heslo a jeho prostřednictvím vstoupit do schránky.
Jiří Nápravník podotkl, že kontrolní otázky „je snadné zneužít“, ale přímo je nezavrhuje. Míní, že je to s nimi podobné jako s heslem, které nesmí být jednoduché nebo snadno odvoditelné – například jméno manželky či psíka. Takové údaje proto nepatří ani mezi kontrolní otázky – zejména u významných osobností, jejichž rodinné zázemí může snadno dohledat kdokoli. „Dejme tomu jméno vaší manželky zná nebo si ho může dohledat ve veřejných zdrojích,“ poznamenal IT expert. Doporučil proto „nastavit si komplikovanou nebo neznámou otázku, kterou znáte jenom vy a nezná ji nikdo okolo vás“.
Jeden účet, dvě zařízení – standard, ale většinou dobrovolný
Kontrolní otázky sice nabízí i Google, ale při případném obnovování hesla ji nepokládá. Na Googlu heslo „kryje“ kromě freemailu také celý profil na sociální síti Google+ a s ní spojené služby, zde je však obnovení přístupu po zapomenutí hesla složitější a roli hraje i zmíněná možnost dvoufaktorové autentizace.
Na komunikaci pouze prostřednictvím mobilu, jehož číslo se zadává při vytvoření účtu – tedy dvoufaktorovou autentizaci – potom spoléhá ve svém freemailu Yahoo. I jeho heslo potom umožňuje přístup k dalším službám, například oblíbené síti Flickr pro sdílení fotografií.
- Seznam (xy@seznam.cz, xy@email.cz)
• 2FA: ne
• kontrolní otázky: ano
• propojení se sociální sítí: ne - Centrum (xy@centrum.cz, xy@atlas.cz)
• 2FA: ne
• kontrolní otázky: ano
• propojení se sociální sítí: ne - Google (xy@gmail.com)
• 2FA: ano (volitelně)
• kontrolní otázky: ano
• propojení se sociální sítí: ano - Yahoo! (xy@yahoo.com)
• 2FA: ano
• kontrolní otázky: ne
• propojení se sociální sítí: ne - Facebook (xy@facebook.com)
• 2FA: ano (volitelně)
• kontrolní otázky: ano (do jiné e-mailové schránky)
• propojení se sociální sítí: ano
Uživatel je vždy na prvním místě
Pokud se ale vrátíme k proniknutí do soukromé schránky českého premiéra, nelze přehlédnout, že Seznam od počátku odmítal, že by se jednalo o hackerský útok jakéhokoli typu. Mluvčí společnosti Irena Zatloukalová navíce řekla v rozhovoru pro Aktuálně.cz, že v tomto případě nešlo ani o zneužití systému kontrolních otázek. „Nedošlo k žádným opakovaným neúspěšným pokusům o zadávání hesla ani jsme nezaznamenali snahu získat heslo pomocí kontrolních otázek či kontaktováním naší technické podpory,“ uvedla.
Útočníci tedy zjevně uhodli nebo nějak vyzvěděli Sobotkovo heslo. Pokud nešlo o „špionážní“ akci, při které se zloději přímo dostali k některému počítači, odkud se premiér běžně přihlašuje, stále by byla pomohla dvoufaktorová autentizace znemožňující přístup z nového počítače bez zadání dodatečného kódu.
Dvoufaktorovou autentizaci nabízejí již zmíněné Google či Yahoo!, nalézt ji lze například také na sociální síti Facebook. U něj stejně jako u Googlu je však využití 2FA podmíněno jejím aktivováním. Pakliže tedy snaha uživatele o zabezpečení svého účtu končí nastavením křestního jména manželky nebo svého data narození jako heslo, dobrovolnou dvoufaktorovou autentizaci pravděpodobně stejně nevyužije.