Zvládni net bezpečně #3 – silné heslo

blog.zvladnuto.com

 Dalším aspektem bezpečnosti na internetu je tvorba silného hesla. Co takové heslo musí splňovat? A stačí nám vytvořit si nějaké přesmyčky nebo přidat pár čísel za nějaké slovo?

Na našem blogu naleznete článek Co je vlastně silné heslo? Informace v tomto článku jsou již nedostačující, vývoj jde dál a je potřeba se na něj adaptovat. Než půjdeme k praktickým radám, tak si řekněme, co heslo je:

Heslo je obecný prostředek k ověření totožnosti (autentizaci) uživatele, kterým nemusí nutně být pouze člověk. Uživatel je pokládán za oprávněného, pokud prokáže znalost hesla.

Super, teď už víme, co to heslo je. Ale jak vytvořit bezpečné heslo? Nebo jak přistupovat k práci s heslem? Nejprve si ukažme nejhloupější hesla za rok 2021 (informace jsou aktuální k datu 15. 10. 2021 a jsou převzaty ze serveru cybernews.com)

  • 123456
  • 123456789
  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678
  • 111111
  • 1234567890

Když se podíváte do odkazu v úvodu článku, můžete se podívat na nejhloupější hesla z roku 2018. Mnoho z nich se objevuje v žebříčku již několik let a to přes veškeré možné upozorňování, výuku ve škole a mnoho článků/videí, které můžeme na internetu nalézt.

Co do hesla nikdy nedávat

Ok, už víme, co je špatně. Pojďme si zodpovědět tu první otázku, jak vytvořit bezpečné heslo. Předně zapomeňte na libovolné údaje, které souvisí přímo s vaší osobou (telefonní číslo, rodné číslo, číslo OP, jméno mazlíčka, dětí atd.) Vše, co je s vámi spojené a mohl by se někdo dozvědět, je potom naprosto nevhodné. 

Jak dlouhé by mělo heslo být?

O co delší, o to lepší! Takže doporučované minimum 8 berte opravdu s rezervou. Snažte se vytvářet hesla, která jsou dlouhá alespoň 12 znaků nebo více. Za silné heslo potom některé zdroje považují hesla o délce minimálně 16 znaků.

Unikátní hesla

Nejen délka je důležité kritérium, ale také unikátnost. Zároveň byste neměli používat jedno heslo na více účtech. Proč? Pokud dojde k prolomení Vašeho hesla, pak se díky něj může útočník dostat k více účtům. Představte si, že získá údaje z databáze nějaké společnosti, kde máte vytvořený účet. Na Vašem účtu bude uvedené heslo a email. Pokud používáte stejné heslo nejen k prozrazenému účtu, ale i k mailu, pak se útočník dostane do dalšího Vašeho účtu a email může být problémový. Nemyslete si ovšem, že hesla uložené v databázích na serverech jsou ve stejném tvaru, v jakém je zadáváte. Jsou zašifrovaná. Ovšem pokud by byla nešikovně zašifrována, může dojít k vyzrazení.

Lze zjistit, jestli mé heslo bylo prolomeno?

Ano, lze. Stačí se podívat na tuto stránku haveibeenpwned.com a ozkoušet své heslo. Je to bezpečné, nemusíte se tedy bát, že tím vyzrazujete své heslo.

Co by mělo heslo obsahovat

  • všechny znaky ze skupiny: velká a malá písmena, čísla a speciální symboly
  • obsahuje nejméně jeden symbol na druhé až šesté pozici
  • nedoporučuje se používat znaky s diakritikou (ě,š,č,ř,ž,ü atp.)
A jak by mělo takové heslo vypadat? Třeba takhle:
x4v^S8w5QdWH
Heslo je směsicí nelogických znaků, které na první pohled nedávají smysl. Tedy ani slovníkový útok (=technika, terá spočívá ve snaze uhodnout heslo tak, že útočník zkouší pravděpodobná hesla z připraveného seznamu. Tento seznam je nazýván slovník) v tuto chvíli nezabírá. Jak je to ale se zapamatovatelností? Tohle si těžko zapamatujeme. Lidský mozek na tohle není ani moc stavěný, proto je lepší použít generátor. Pro vytvoření tohoto hesla jsme použili server passwordsgenerator.net, ve kterém si zvolíte, jak dlouhé heslo chcete, jaké znaky do něj chcete zakomponovat a generátor Vám heslo vytvoří. Navíc uvede pod heslo poznámku, jak si heslo zapamatovat. Pro toto konkrétní uvádí:
xbox 4 visa ^ SKYPE 8 walmart 5 QUEEN drip WALMART HULU
Pokud byste měli problém si heslo zamapatovat i tak, žádný problém! Existují tzv. password managery, které Vám s tím pomohou.

Password manager

Password manager (program pro správu hesel) je software, který je určený pro správu, ale někdy také tvorbu hesel. Funguje tak, že máte jedno heslo pro vstup (to by mělo být obzvláště silné) ke zbylým heslům, které si spravujete. Tyto programy mají hesla uložená v zašifrované podobě. Pokud byste například používali nějakou aplikaci na mobilní telefon a ten ztratili, tak pokud se nepodaří útočníkovi prolomit Vaše vstupní heslo, neměl by se dostat k Vaším heslům. No a jaké password managery volit?
  1. Roboform
  2. 1password
  3. nordpass
  4. dashlane
  5. Lastpass
Doporučené password managery byly převzaty ze serveru top10bestpasswordmanager

Jaké jsou další doporučené postupy ochrany?

Mezi další postup patří určitě dvoufaktorové ověření (ověření „totožnosti“ probíhá ve dvou krocích). První je zadání uživatelského jména a hesla. V druhé fázi musíte potvrdit svou totožnost např.
  • kódem, který přijde na Váš telefon
  • kódem, který se objeví v nějaké aplikace od dané společnosti (authenticatorem)
  • povolením v authenticatoru přístupu
Dvoufaktorové ověření nejen posiluje bezpečnost Vašeho účtu, ale zároveň Vás může upozornit na to, že se někdo pokouší do Vašeho účtu dostat a zná heslo. Mnoho velkých společností dvoufaktorové ověření umožňuje (Google, Microsoft, Apple, ale třeba i banky, protože kde jinde bychom se měli snažit mít dobře chráněný účet než ten, na kterém máme uložené finance?) Více se problematikou zabýváme v článku Zvládni net bezpečně #7: Jak na dvoufaktorové ověření.

Co dělat když je heslo prozrazeno?

Neprodleně změnit za úplně jiné heslo, ideálně podle doporučení uvedených v tomto článku. Dále (pokud je to možné) zapnout dvoufaktorové ověření.

To by bylo pro tento díl vše. Doufáme, že se Vaše heslo neobjevilo v top desítce nejhloupějších hesel a také, že Vás článek ovlivnil ke zlepšení bezpečnosti Vašich klíčových účtů.

A co nás čeká v dalším díle? Podíváme se na dezinformace, poplašné zprávy a další nebezpečí, která s tím souvisí.

== Vaše Zvládnu to ==

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *