Splync v1.2 přináší ochranu proti útokům hrubou silou pro bezpečnější přihlášení

Splync je nástroj pro sledování sdílených rozpočtů navržený pro páry, přátele a malé týmy, ale lze ho použít i pro správu osobních financí. Aplikace pomáhá uživatelům snadno zaznamenávat, dělit a vyrovnávat výdaje, což udržuje účetnictví skupin transparentní a férové. Nová verze v1.2 je druhou aktualizací od vydání Splync na App Store. I když aplikace již podporuje bezpečné ukládání dat a šifrovanou komunikaci, tato aktualizace se zaměřuje na posílení ochrany citlivých informací, jako jsou záznamy výdajů a projektové informace. Neoprávněný přístup by mohl potenciálně odhalit nejen vaše finanční data, ale i historii výdajů členů vašeho projektu — proto jsou zlepšení zabezpečení při přihlašování nezbytná.

Splync v1.2 posiluje bezpečnost vašich přihlášení nad rámec stávajících vrstev šifrování HTTPS, zabezpečené serverové komunikace, hashování hesel, ověření e-mailu a ochrany resetu hesla. Tato verze zavádí obranu proti takzvaným útokům hrubou silou — pokusům, při kterých útočník zkouší mnoho hesel v rychlém sledu, aby našel to správné. Omezením frekvence pokusů o přihlášení činí Splync v1.2 pro útočníky exponenciálně obtížnější uhodnout heslo a zároveň zajišťuje, že běžní uživatelé nezaznamenají žádné zpomalení nebo nepohodlí.

Útok hrubou silou je jednoduchá, ale účinná metoda, kdy útočník opakovaně zkouší různé kombinace hesel, dokud jedno nefunguje. Místo chytrosti spoléhá hrubá síla na množství a rychlost. Například 4místný PIN má 10 000 možných kombinací — ty lze snadno vyčerpat, pokud neexistují omezení pokusů. I když běžná hesla k účtu obsahují 8–16 znaků z písmen, čísel a symbolů (což činí teoretický prostor hledání astronomicky velkým), útočníci v reálném světě tento prostor dramaticky zúží prioritizací pravděpodobných odhadů: uniklé seznamy hesel, běžné vzory substitucí a informace získané z veřejného profilu cíle. Zkušený útočník může často snížit hledání na seznam pravděpodobných hesel (řekněme 1 000 000 kandidátů). Podáním zhruba 300 pokusů za sekundu by útočník mohl projít celý tento seznam asi za hodinu.

V Splync v1.2, pokud někdo pětkrát za sebou zadá špatné heslo, účet je dočasně uzamčen na deset minut. Během této doby jsou všechny další pokusy o přihlášení automaticky odmítnuty, i když je později zadané heslo správné. Tento mechanismus je spravován na serveru pomocí záznamu pokusů o přihlášení pro každého uživatele, který sleduje, kolikrát a kdy byl účet neúspěšně ověřován. Po uplynutí doby uzamčení je přihlášení opět dostupné a počet neúspěchů se resetuje. Tento přístup vyvažuje bezpečnost a pohodlí: prodloužení doby uzamčení by útoky hrubou silou ještě více ztížilo, ale mohlo by také frustrovat skutečné uživatele, kteří se překlepnou. Nastavení na deset minut poskytuje rozumný střed — dost na zablokování automatizovaných útoků, ale krátké na to, aby nepřerušilo běžné používání.

Představme si dopad ochrany Splync v jednoduchých číslech. Předpokládejme, že útočník může zkoušet 300 hesel za sekundu. Bez jakékoli ochrany proti útokům hrubou silou je to 1 080 000 pokusů za hodinu — obrovské číslo. S blokováním Splync po pěti po sobě jdoucích chybách může stejný útočník zkusit pouze pět hesel každých deset minut, což znamená 30 pokusů za hodinu. To je pokles z 1 080 000 na 30 pokusů za hodinu, což činí útok na účet hrubou silou přibližně 36 000krát obtížnější. I kdyby měl útočník vylepšený seznam 1 000 000 pravděpodobných hesel, trvalo by mu téměř čtyři roky, než by je všechny vyzkoušel pod tímto omezením. A ve skutečnosti, pokud používáte silné heslo — dlouhé, náhodné a nesouvisející s osobními údaji — je pro útočníky prakticky nemožné zúžit své odhady na takový seznam. Mezitím je pro běžné uživatele kompromis minimální — i když omylem zadáte špatné heslo pětkrát, váš účet se jednoduše pozastaví na deset minut, než umožní další pokus o přihlášení.

Tento přístup je standardní nejlepší praxí pro moderní webové a mobilní aplikace: je snadno pochopitelný, přímý k auditování a výrazně zvyšuje náklady útoků hrubou silou. Se Splync v1.2 pokračujeme v posilování základů aplikace: nejen funkcí, které můžete vidět, ale i bezpečnostních vrstev, které tiše chrání vaše sdílené rozpočty na pozadí. Ochrana proti útokům hrubou silou je jedním z těch neviditelných zlepšení, která jsou důležitá, když je potřebujete, a nepřekážejí, když ne. Jak Splync roste, budeme nadále vylepšovat použitelnost i bezpečnost, aby dělení výdajů s partnery, přáteli a členy projektů zůstalo nejen jednoduché a transparentní, ale i bezpečné.