Cíl lekce: Pochopit, jak OS rozlišuje, kdo sedí u klávesnice a co mu dovolí.
Historie: MS-DOS byl "Singles byt" (kdo přišel, ten bydlel). Windows NT / Linux jsou "Panelák" (více bytů, domovník, klíče).
Klíčové pojmy: Autentizace (Kdo jsi?) a Autorizace (Co smíš?).
🗣️ Icebreaker (5 min):
Zeptejte se: "Kdo z vás si pamatuje heslo k prvnímu e-mailu?" A pak: "Kdo z vás používá stejné heslo dodnes?" (Bezpečnostní riziko). Dnešní lekce vysvětlí, proč je to problém.
Analogie: Ukazuji občanku na vrátnici. Vrátný zkontroluje fotku a řekne: "Ano, to jste vy, pane Novák."
Autorizace (Authorization): Přidělení práv.
Analogie: Vrátný se podívá do seznamu a řekne: "Pan Novák smí do kantýny, ale nesmí do ředitelny."
🗣️ Příklad (5 min):
Přihlášení do Windows je autentizace (Heslo). To, že nemůžete smazat systémovou složku, je autorizace (Práva).
Autentizace: 3 Faktory (MFA)
Jak dokázat, že jsem to já?
1. Něco, co ZNÁM (Knowledge): Heslo, PIN, Gesto. (Nejčastější, ale nejslabší - lze zapomenout nebo vyzradit).
2. Něco, co MÁM (Possession): Mobil (SMS kód), Čipová karta, USB klíč (YubiKey).
3. Něco, co JSEM (Inherence): Otisk prstu, Sken obličeje (FaceID), Hlas.
Otázka: Proč banky vyžadují 2FA (Dvoufaktorové ověření)?
Protože útočník může ukrást vaše heslo (Factor 1), ale pravděpodobně vám zároveň neukradl i mobil (Factor 2). Kombinace faktorů zvyšuje bezpečnost exponenciálně.
Riziko 2 (Kritické): Heslo můžete změnit, když ho někdo ukradne. Otisk prstu změnit nemůžete. Jakmile unikne databáze otisků, jste nahraní do konce života.
🗣️ Právní vsuvka (5 min):
V USA i jinde soudy rozhodly, že policii nesmíte odmítnout odemknout mobil otiskem (je to "důkaz"), ale můžete odmítnout sdělit heslo (právo nevypovídat). Biometrie je tedy právně slabší ochrana.
Ukládání hesel: Hashování
Mlýnek na maso
Ukládá si OS (nebo Facebook) vaše heslo do textového souboru? NE! (Doufejme).
Používá se jednosměrná matematická funkce (Hash).
"Heslo123" -> Hashovací funkce -> a5f3c...9b.
Z výsledného hashe nelze zpětně vypočítat původní heslo.
Analogie: Kráva (Heslo) -> Mlýnek -> Mleté maso (Hash). Z mletého masa už krávu nikdy neposkládáte. OS při přihlášení vezme vaše heslo, pomele ho a porovná, jestli maso vypadá stejně jako to uložené.
Útoky na hesla: Slovník a Sůl
Proč "123456" neochrání ani hash?
Rainbow Tables: Hackeři mají předpočítané tabulky hashů pro miliardy běžných hesel. Vidí hash e10adc... a hned vědí, že je to "123456".
Obrana - Solení (Salting): OS k heslu automaticky přidá náhodné znaky (Sůl) a teprve pak to pomele.
Heslo "123456" + Sůl "Xy8z" = Úplně jiný hash. Duhové tabulky přestanou fungovat.
🗣️ Hloubka (10 min):
Vysvětlete, že sůl se ukládá v čitelné podobě vedle hashe. Není tajná. Jejím účelem je jen udělat hash unikátní, aby dva uživatelé se stejným heslem měli v databázi různé hashe.
Autorizace: Práva k souborům (RWX)
Kdo smí číst můj deníček?
V systémech typu Unix (Linux, macOS, Android) má každý soubor 3 sady práv:
Osoba
Práva (RWX)
Význam
Vlastník (User)
RW-
Může číst (R) a psát (W). Nesmí spustit (X).
Skupina (Group)
R--
Kolegové (Učitelé) mohou soubor jen číst.
Ostatní (Others)
---
Žáci soubor vůbec nevidí a neotevřou.
🗣️ Praxe (5 min):
X (Execute) je právo spustit soubor jako program. Pokud stáhnete virus, ale nemá právo X, nemůže se spustit a uškodit. (Na Windows se toto řeší příponou .exe, na Linuxu právem X).
Princip nejnižšího privilegia (PoLP)
Proč nepracovat jako Admin?
Zásada: Každý uživatel (i program) má mít jen ta práva, která nezbytně potřebuje. Nic víc.
Root / Administrator: "Bůh" systému. Může smazat cokoliv.
Standardní uživatel: Může si rozbít jen své dokumenty, ne celý systém.
Nebezpečí: Pokud pracujete jako Admin a navštívíte zavirovaný web, virus zdědí vaše práva (Admin) a ovládne celý počítač. Pokud jste běžný uživatel, virus narazí do zdi.
UAC a Sudo: Štít systému
"Opravdu to chcete udělat?"
Windows UAC (User Account Control): I když jste Admin, Windows vám "sebere" práva. Pracujete jako běžný uživatel.
Když chcete instalovat program, obrazovka ztmavne (Secure Desktop) a vyskočí štít.
Smysl: Je to "pojistka zbraně". Musíte vědomě potvrdit: "Ano, já vím, že se chystá změna systému."
Linux Sudo: Příkaz sudo (SuperUser DO) - "Udělej tohle jako šéf". Vyžaduje heslo.
🗣️ Didaktika (10 min):
Naučte žáky ten štít číst. Pokud spustí hru "Minecraft_Free.exe" a vyskočí UAC žádající o práva správce, je to na 99 % virus. Hra nepotřebuje měnit systémové soubory.
Role: Král (Admin), Kuchař (Service), Poutník (User).
Scénář:
Poutník chce do Klenotnice. Strážný koukne do seznamu: "Přístup zamítnut."
Kuchař chce do Kuchyně. Strážný: "Povoleno". Kuchař chce přemalovat Kuchyň na růžovo (Zápis). Strážný: "Zamítnuto, máš jen právo vařit (Execute), ne přestavovat (Write)."
🗣️ Reflexe (10 min):
Děti pochopí, že "Access Denied" není chyba, ale správná funkce systému, který chrání integritu hradu.
Sociální inženýrství: Nejslabší článek
Když selže člověk, šifrování nepomůže
OS může být nedobytný, ale uživatel je zranitelný.
Phishing: E-mail od "ředitele", který chce heslo.
Trojský kůň: Program, který slibuje hru zdarma, ale uvnitř je virus. Uživatel mu sám (přes UAC) otevře bránu.