Nástrahy on-line světa: Jaká (ne)mít hesla na internetu?
Nikdo nemá rád složitá a dlouhá hesla. V současné době, kdy využíváme mnoho on-line služeb, se tomu ale nelze tak docela vyhnout. Vytvoření silného hesla není tak jednoduché, jak by se mohlo na první pohled zdát. Podle průzkumu společnosti Avast více než 90 % lidí v Česku stále používá slabá a lehce odhalitelná hesla, což velice nahrává útočníkům. Jaké chyby při vytváření hesel děláme nejčastěji? A jak se jim vyhnout?
1. Použití osobních údajů
Při tvorbě hesel většina lidí využívá jména a data narození dětí, blízkých členů rodiny, názvy oblíbených sportovních týmů, jména domácích zvířat a celebrit. Crackery, tedy programy, které hackeři využívají k prolamování hesel, automaticky zkouší kombinace údajů, které lze o daném uživateli zjistit, nejčastěji na sociálních sítích. Proto jméno blízké osoby ani název oblíbeného sportovního týmu či jeho maskota není vhodná volba.
Přidání nějakého řetězce znaků nebo čísel k takovému jménu či názvu není dostatečně neprolomitelné. Crackery hesel znají tento trik a procházejí kombinace běžných jmen a čísel, dokud nenarazí na to správné. Jediné bezpečné heslo je to s náhodnými nebo zdánlivě náhodnými sadami znaků. Lidé by si to měli uvědomovat zejména u přístupů do systémů aplikací, kde jde o reálné peníze nebo způsobené škody.
2. Aktualizace hesla jedním číslem nebo znakem
Pokud uživatele nějaký systém nebo správce nutí pravidelně měnit hesla, řada lidí udělá to, že používají stále stejné heslo, v němž mění jen některé znaky. V případě, že firemní politika vyžaduje alespoň jednu číslici, je to právě ta, kterou uživatelé každý měsíc obměňují. Pokud dojde k úniku takového hesla, útočníci používají skripty navrhující kombinace, které se poté zkouší. To vše se může automatizovat a aplikovat na miliony hesel.
Pokud si říkáte, že jste opatrní a vaše heslo neunikne, jste možná naivní. Služby a platformy, kde hesla používáte, si je ukládají, a pokud se útočníkovi povede poskytovatele služby napadnout, problém je na světě. Na internetu se obchoduje s miliony uniklých hesel, často přiřazených ke konkrétní e-mailové adrese.
Variací této nebezpečné praxe je zahrnutí nealfanumerického znaku na konec hesla, ať je to vykřičník, otazník nebo něco jiného. Pro roboty procházející možné kombinace jde stále jen o jeden znak.
3. Používání rozpoznatelných vzorů, předvídatelné nahrazení písmen čísly
Hesla jako 1q2W3e4R nebo 0m9n8B se mohou na první pohled zdát jako bezpečná a neprolomitelná. Tedy do chvíle, než se pozorně podíváte na klávesnici. Tato hesla se sice většinou neprobojují mezi 10 celosvětově nejpoužívanějších, ale jsou snadno odhalitelná.
Podobné je to s nahrazováním písmen čísly. Ještě před několika lety to byla doporučovaná metoda pro tvorbu silného hesla. Problém je v tom, že některá čísla se k náhradě určitých písmen přímo nabízejí – 3 za E, 0 za O, 6 za C a podobně. Heslo n3zap0M3n sice vypadá složitě, ale je poměrně snadno odhalitelné. Pokud chcete vytvořit silné heslo, náhodná řada písmen a číslic musí být skutečně náhodná, aby měla šanci.
4. Stejná hesla pro různé služby
Dalším vyvráceným mýtem je to, že stačí mít několik silných hesel pro různé typy služeb a tato hesla pak využívat opakovaně. Tuto metodu využívá mnoho lidí, ale pak už většinou neuhlídají, do jakých systémů která hesla zadají, třeba když zpanikaří a začnou na wi-fi síti v kavárně nazdařbůh zadávat všechna možná hesla, když se chtějí dostat k určité službě. Prosté odchycení takového hesla hackerem znamená zpřístupnění řady systémů, často včetně pracovních a e-mailových.
Využívání stejných hesel pro přístup na e-shop i do firemního e-mailu nebo služby, ve které máte vložený nějaký využitelný kredit, je značně riskantní. Kromě maximálního zabezpečení v podobě silného unikátního hesla je možné se před riziky, která přináší nakupování a další aktivity na internetu, samozřejmě i pojistit.
5. Krátká hesla
Další překonanou radou je to, že pěti- nebo šestimístné heslo je dostatečně dlouhé na to, aby bylo bezpečné. S růstem výpočetního výkonu počítačů vzrostly i možnosti programů, které zkoušejí využitelné kombinace znaků, a takový útok hrubou silou odhalí krátká hesla poměrně rychle. Dostatečná délka hesla může být stále účinnou obranou.
Bezpečné heslo je dlouhé, ale takové, které se dá dobře zapamatovat. Mělo by mít minimálně 12 znaků, ale když jich má třeba dvacet a více, nikdy tím nic nezkazíte. Taková hesla je jednoduché vytvořit například jako větu nebo jen spojením několika slov. Použijte občas nějaké písmeno velké, sem tam nějakou číslici. Přidejte nějaký speciální znak, ale počítejte s tím, že ne každý počítač má vždy nainstalovanoupotřebnou národní klávesnici. Bylo by samozřejmě pěkné mít hesla složená z úplně náhodných znaků, ale to se těžko pamatuje, pokud nepoužíváte nějaký heslovníček (password manager).
Nejlepší je využívat vícefaktorové ověřování, pokud ho aplikace nebo webová stránka nabízí. Může jít například o ověřovací SMS nebo speciální mobilní aplikaci, na které se přístup musí navíc potvrdit. Někdy taková aplikace generuje dočasný kód, který je nutno zapsat do přihlašovacího formuláře.
Zdroj: GOPAS, Accenture, BNP Paribas Cardif
