Digitální identita

Karolína T
Dec 1, 2017 · 6 min read

Co je to digitální identita?

Digitální identitou můžeme rozumět ekvivalent naší reálné identity ve světě informačních systémů a internetu. Naší identitu na internetu určují údaje, jako například uživatelské jméno, heslo, datum narození apod. banky, městské úřady nebo jiné instituce, s kterými komunikujete, Vás rozpoznají podle těchto údajů.

Zjednodušeně je to vlastně souhrn informací o naší osobě v digitální podobě.

Velmi důležité pro digitální identitu je spolehlivé propojení mezi ní a naší skutečnou identitou. Tedy, je-li za digitální identitou reálná osoba, za kterou se digitální identita vydává. Druhou věcí je, jak dokážeme svoji (pravou) identitu ověřit

Způsobů ověření je několik. Můžeme je rozdělit podle toho, pod jaký autentizační faktor spadají. Autentizačními faktory rozumíme:

  • Faktor znalosti

- Tedy něco, co uživatel zná. Mezi autentizujícím a autentizovaným je předem dohodnuto nějaké „sdílené tajemství“, jehož znalostí se prokazuje identita. Typickým příkladem sdíleného tajemství je klasické heslo.

- Příklad ověření: uživatelské jméno či emailová adresa — Jedná se o nejjednodušší jednofázové ověření identity. Tento způsob je nejméně spolehlivý, protože spoléhá jen na „faktor znalostí“. To znamená, že pokud dojde k úniku hesla, tak toto ověření přestává být bezpečné.

  • Faktor vlastnictví

- Tedy ověřujeme něco, co uživatel má. Nějaký předmět, který není možné snadno okopírovat a jehož vlastnictví lze na dálku ověřit (čipová karta, USB token s asymetrickým klíčem a certifikátem… ).

- Příklad ověření: telefonní číslo nebo číslo platební karty — Toto ověření používá např. Google nebo Facebook.

  • Faktory vnitřní příslušnosti (= Biometrický faktor)

- To je vlastnost, tedy něco, co uživatel je. Nějaká unikátní charakteristika, jejíž sdílení dvěma různými osobami je velice nepravděpodobné.

- Příklad ověření: náš otisk prstů, rozpoznávání hlasu

Tyto faktory se mohou různě při autentizaci různě prolínat. V praxi se setkáme nejčastěji s použitím kombinace faktoru znalosti a vlastnictví. Jde například o případ, kdy uživatel má vlastní zařízení (mobilní telefon), na které mu přijde v SMS jednorázové heslo s omezenou časovou platností. S touto situací se můžeme setkat u například bank, kde se pro přístup k internetovému účtu musí uživatel přihlásit prostřednictvím (uživatelského) jména nebo čísla účtu a hesla. Následně mu banka na mobilní telefon zašle SMS s jednorázově vygenerovaným heslem, které obsahuje obvykle 6–8 číslic.

Dalšími způsoby ověření jsou například:

ID (OpenID, MojeID, atd.)
OpenID je decentralizovaný způsob (decentralizovaný proto, že je možno vytvořit si vlastní OpenID server, budete-li chtít) přihlašování, která dovoluje uživatelům zřídit si a centrálně spravovat svoji internetovou identitu (soubor osobních údajů — například jméno, příjmení, emailová adresa, telefon a další, doplněný o přihlašovací metody a údaje). Výhodou je fakt, že se již nepřihlašujete na každý web zvlášť pod jiným uživatelským jménem a nemusíte si pamatovat vícero hesel, ale přihlašujete se jen na jeden server a to na server, kde máte zřízenou vlastní OpenID identitu. Samozřejmě tento web musí přihlašování přes OpenID podporovat.
Internetová služba propojením s OpenID může nabídnout vyšší zabezpečení procesu ověření totožnosti uživatele.

MojeID je česká služba, která funguje na principu OpenID. Při registraci na MojeID je kontrolována e-mailová adresa, telefonní číslo a poštovní adresa uživatele — a to zasláním tří kódů přes e-mail, SMS a dopis. Uživatel, který tyto kódy vloží do MojeID, je poté označen jako ověřený. Obdobně je ověřována každá změna těchto údajů.

Digitální (elektronický) podpis
Je vytvořen vždy pro konkrétní data a je možné díky počítači ověřit, zda je podpis platný a zda jsou data ve stejné podobě jako v době, ve které byla podepsána.
V současnosti existují jen tři subjekty v ČR, které pořízení elektronického podpisu podporují (První certifikační autorita, a. s., Česká pošta, s. p. a eIdentity a. s.)

Jaká jsou rizika spojená s digitální identitou?

Stejně jako v reálu, tak i ve virtuální rovině na nás číhají různé nástrahy. Ve virtuální rovině jsou možná o to nebezpečnější, že si útočníka nedokážeme přiřadit, nebo netušíme, že mu slepě nahráváme tím, jak jsme na internetu neopatrní.

S naší digitální identitou je problém takový, že útočníci mohou proniknout do našeho počítače a zmocnit se našich identifikačních údajů. Poté pod našimi údaji mohou vystupovat a je to, jakoby nám ukradli identitu. V tomto případě mluvíme o krádeži identity.

Krádež identity je v ČR považována za dvojstupňový trestný čin spočívající v první řadě v neoprávněném nabytí cizích elektronických dat, typicky hesel a dalších přístupových údajů. K těmto datům se zločinec dostane povětšinou pomocí technik známých jako :

  • Skimming
    Jedná se o neoprávněné kopírování dat. Útočníci zkopírují údaje z magnetického proužku platební karty bez našeho vědomí. Takto získané údaje pachatelé zneužijí tím, že je následně nahrají na předem připravený nosič dat, kterým nejčastěji bývá bílý plast. Ten bývá opatřen pouze magnetickým proužkem.
  • Phishing
    Pod tímto názvem se skrývá podvodná technika využívající informační a komunikační technologie k získávání citlivých údajů (přihlašovacích údajů k různým webovým službám a aplikacím, hesel, čísel kreditních karet…). Lidsky řečeno, útočníci z vás lstivě vylákají osobní údaje. Přes falešný e-mail nebo odkaz nás zlákají na falešné stránky vytvořené pharmingem, kde od nás budou požadovat zadání osobních údajů jako jsou například přihlašovací jméno, heslo či číslo kreditní karty.
    Většinou mu předchází sociální inženýrství, což je způsob manipulace lidí za účelem provedení nějaké akce nebo získání určité informace. Cílem sociálního inženýrství je vytvořit v člověku dojem, že situace je jiná, než ve skutečnosti opravdu je.
  • Hacking
    To je činnost spočívající v hledání a využívání bezpečnostních děr v počítačových systémech. Hacker nedovoleně vnikne do cizího počítače a může využívat našich osobních dat.

Ke krádeži může ale také dojít vinou nepozornosti a neopatrnosti uživatelů. Společným faktorem těchto zločinů je pak předstírání cizí totožnosti.

Z takovéto činnosti (krádeže identity) může vzniknout majetkový prospěch a jedná se o podvod v klasickém slova smyslu, kde jediný rozdíl je v tom, že podvod je vedený elektronickou cestou ve virtuální rovině. Setkat se však dá i s variantou, kdy je cílem útočníka není se obohatit, ale svoji oběť morálně poškodit. To se týká např. vystupování jako někdo jiný na sociálních sítích typu Facebook/Instagram… Tím pádem se útočník může se dopustit např. trestného činu poškozování cizích práv.


Jak se bránit?

Pro začátek je důležité, abychom se řídili desaterem bezpečného internetu.

Nejlepší obranou je určitě dodržování základních pravidel počítačové bezpečnosti. Samozřejmostí by měla být bezpečná hesla a omezení veřejně přístupných informací našich profilů na sociálních sítích, aby o nás útočníci neměli zbytečně moc informací. Vyvarovat bychom se měli zveřejňování důvěrných informací, např. rodného čísla na internetu všeobecně.

Dalším velmi důležitým faktorem je dávat si pozor na to, zda webové stránky používají https. („S“ u https znamená = secure (zabezpečený)). Což je zabezpečené šifrované připojení mezi naším prohlížečem a webovým serverem. Vlastně to znamená, že obsah naší komunikace (hesla, čísla účtů… ) nemohou být „uloveny“ během komunikace s webovým serverem. A to proto, že výměna probíhá přes šifrované spojení mezi námi a serverem. Zda tato šifrovaná komunikace probíhá je potřeba si hlídat hlavně u internetového bankovnictví, e-shopů a všude, kde sdílíme osobní údaje — tudíž i na sociálních sítích.

Ukázka nezabezpečeného připojení
Ukázka zabezpečeného připojení

Aby se útočník mohl vydávat za někoho jiného, musí přejít přes autentizační bariéru. Ta se dá například překonat využitím kradených údajů, lze ji ale též prolomit hrubou silou, využít systémové chyby (hacknout). Toto všechno patří krádeže identity. Pro profesionály často není problém rychle si najít naše údaje a kvůli naší nepozornosti nás různými taktikami “nalákat” do pasti, kdy nám může být naše identita odcizena.

Proto je důležité, abychom si chránili naše soukromí a údaje, které na internetu sdílíme. Dbejme i na to, abychom stále měli povědomí o hrozbách a tzv. neusnuli na vavřínech při kontrole, které webové stránky navštěvujeme a co na nich sdílíme.


ZDROJE:

Krádež identity [online]. [cit. 2017–11–29]. Dostupné z: http://www.internetembezpecne.cz/internetem-bezpecne/rizika-online-komunikace/kybersikana/kradez-identity/

Sociální inženýrství [online]. [cit. 2017–11–29]. Dostupné z: http://www.internetembezpecne.cz/internetem-bezpecne/podvodne-praktiky/socialni-inzenyrstvi/

Phishing [online]. [cit. 2017–29–11]. Dostupné z: http://www.internetembezpecne.cz/internetem-bezpecne/podvodne-praktiky/phishing/

Bezpečnostní politika hesel a vícefaktorová autentizace [online]. [cit 2017–25–11]. Dostupné z: https://www.systemonline.cz/clanky/bezpecnostni-politika-hesel-a-vicefaktorova-autentizace.htm

Phishing and Countermeasures: Understanding the Increasing Problem of Electronic Identity Theft. 2007. ISBN 9780471782452. Dostupné z: http://eds.a.ebscohost.com/eds/ebookviewer/ebook/bmxlYmtfXzE3MjU4N19fQU41?sid=1fa1fe44-3fc6-45a9-b373-283bba0639db@sessionmgr4009&vid=6&format=EB&rid=15

EDTECH KISK

Educational Technology, KISK Masaryk University

Karolína T

Written by

EDTECH KISK

Educational Technology, KISK Masaryk University