Shopify má nedostatečně ošetřená hesla

Zpět na blog

Nedávná zpráva společnosti Specops odhalila, že poskytovatel e-shopových řešení, společnost Shopify, používá slabé zásady pro hesla v části svých webových stránek zaměřené na zákazníky. Podle zprávy společnost Shopify vyžaduje, aby její zákazníci používali heslo, které má alespoň pět znaků a nezačíná ani nekončí mezerou – což jsou z hlediska kybernetické bezpečnosti dost slabé požadavky.

Podle zprávy výzkumníci společnosti Specops analyzovali seznam miliardy hesel, která byla prolomena (tj. figurují v některé z databází uniklých hesel), a zjistili, že 99,7 % těchto hesel splňuje požadavky společnosti Shopify. To sice neznamená, že hesla zákazníků společnosti Shopify někdy unikla, ale že tolik známých prolomených hesel splňuje minimální požadavky pro hesla na Shopify.

Nebezpečí slabých hesel v adresáři Active Directory

Nedávná studie společnosti Hive Systems potvrzuje nebezpečí spojená s používáním slabých hesel. Studie zkoumala množství času, které by bylo potřeba k prolomení hesel různých délek a s různou úrovní složitosti brute-force metodou. Podle společnosti Hive Systems lze heslo o pěti znacích prolomit prakticky okamžitě bez ohledu na složitost. Vzhledem k tomu, by organizace měla v ideálním případě vyžadovat složitá hesla o délce alespoň 12 znaků.

Pomineme-li bezpečnostní důsledky spojené s používáním pětiznakového hesla, existuje potenciálně větší problém – právní regulace. Dodržování předpisů se totiž týká všech, i malých společností a nezávislých prodejců, kteří si zakládají účty Shopify. Odvětví platebních karet totiž vyžaduje, aby každá firma, která přijímá platby kreditními kartami, dodržovala oficiální bezpečnostní standardy PCI. Jedním z pozitiv používání Shopify nebo podobné platformy pro elektronické obchodování je, že maloobchodníci nemusejí provozovat vlastní platební brány. Místo toho se o zpracování transakcí jménem svých zákazníků stará společnost Shopify. Tento outsourcing platebního procesu chrání majitele e-shopů právě před požadavky PCI.

Standardy PCI například vyžadují, aby obchodníci chránili uložené údaje držitelů karet. Pokud však podnik v oblasti elektronického obchodování zadává zpracování plateb externě, obvykle nebude mít k dispozici údaje o kreditních kartách zákazníků, čímž se tomuto požadavku vyhne.

Dalším z požadavků PCI, který však může být problematičtější, je požadavek na identifikaci a ověřování přístupu k systémovým komponentám (požadavek 8). Ačkoli bezpečnostní standardy PCI nespecifikují požadovanou délku hesla, ve stručné příručce PCI DSS se na straně 19 uvádí, že „každý uživatel by měl mít silné heslo pro autentizaci“. V tomto případě je pak heslo o pěti znacích velice problematické a nelze jej označit za „silné“.

Zabezpečení IT je třeba posílit

To samozřejmě vyvolává otázku, co mohou společnosti zabývající se elektronickým obchodováním udělat pro zlepšení celkového zabezpečení svých hesel. Asi nejzásadnějším doporučením by bylo uvědomit si, že minimální požadavky na hesla spojené s portálem e-shopu mohou být nedostatečné. Z hlediska bezpečnosti a dodržování předpisů je obvykle vhodné používat delší a složitější heslo, než jaké je minimálně vyžadováno.

Další věcí, kterou by měli prodejci elektronických obchodů udělat, je zabývat se tím, co lze udělat pro zlepšení zabezpečení hesel v jejich vlastních sítích. To platí zejména v případě, že se v síti ukládají nebo zpracovávají nějaké údaje o zákaznících. Podle studie z roku 2019 60 % malých firem ukončí činnost do šesti měsíců od okamžiku, kdy se do jejich sítě někdo nabourá. Proto je důležité udělat vše pro to, aby se předešlo bezpečnostnímu incidentu, a velkou část toho tvoří zajištění bezpečnosti hesel.

Zdroj: The Hacker News

28. 9. 2022