Nikdo nemá rád složitá a dlouhá hesla. V současné době, kdy využíváme mnoho on-line služeb, se ale tomuto aspektu nelze vyhnout. Vytvoření silného hesla není tak jednoduché, jak by se mohlo na první pohled zdát. Podle průzkumu společnosti Avast více než 90 % lidí v ČR stále používá slabá a lehce odhalitelná hesla, takže tak sami nahrávají útočníkům. Jaké chyby při vytváření hesel děláme nejčastěji a jak se jim lze vyhnout?
Použití osobních údajů
Při tvorbě hesel většina lidí využívá jména a data narození dětí, blízkých členů rodiny, názvy oblíbených sportovních týmů, jména domácích zvířat a celebrit. Crackery, tedy programy, které hackeři využívají k prolamování hesel, automaticky zkouší kombinace údajů, které lze o daném uživateli zjistit, nejčastěji na sociálních sítích. Proto jméno blízké osoby ani název oblíbeného sportovního týmu nebo jeho maskota není vhodná volba.
„Měli byste také předpokládat, že přidání nějakého řetězce znaků nebo čísel k takovému jménu či názvu není dostatečně neprolomitelné. Crackery hesel znají tento trik a procházejí kombinace běžných jmen a čísel, dokud nenarazí na to správné. Jediné bezpečné heslo je heslo s náhodnými nebo zdánlivě náhodnými sadami znaků, a lidé by si to měli uvědomovat zejména u přístupů do systémů aplikací, kde jde o reálné peníze nebo způsobené škody,“ doporučuje Ondřej Ševeček, odborník na bezpečnost z počítačové školy GOPAS.
Update hesla jedním číslem nebo znakem
„Pokud uživatele nějaký systém nebo správce nutí pravidelně měnit hesla, řada lidí udělá to, že používají stále stejné heslo, v němž mění jen některé znaky. V případě, že firemní politika vyžaduje alespoň jednu číslici, je to právě ta, kterou uživatelé každý měsíc obměňují. Pokud dojde někdy k úniku takového hesla, útočníci používají skripty navrhující kombinace, které se poté zkouší. To vše se může automatizovat a aplikovat na miliony hesel. Pokud si říkáte, že jste opatrní a vaše heslo neunikne, není to pravda. Služby a platformy, kde hesla používáte, si je ukládají, a pokud se útočníkovi povede poskytovatele služby napadnout, problém je na světě. Na internetu se obchoduje s miliony uniklých hesel, často přiřazených ke konkrétní e-mail adrese,“ říká Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.
Variací této nebezpečné praxe je zahrnutí nealfanumerického znaku připnutím „!“ na konec stávajícího hesla.
Používání rozpoznatelných vzorů, předvídatelné nahrazení písmen čísly
Hesla jako „1q2W3e4R” nebo „0m9n8B” se mohou na první pohled zdát jako naprosto bezpečná a neprolomitelná. Tedy do chvíle, než se pozorně podíváte na klávesnici. Tato hesla se sice většinou neprobojují mezi 10 celosvětově nejpoužívanějších hesel, ale jsou velmi snadno odhalitelná.
Podobné je to s nahrazováním písmen čísly. Ještě před několika lety to byla doporučovaná metoda pro tvorbu silného hesla. Problém je v tom, že některá čísla se k náhradě určitých písmen přímo nabízejí – 3 za e, 0 za O, 6 za C apod. Heslo „n3zap0M3n“ sice vypadá složitě, ale je poměrně snadno odhalitelné. Pokud chcete vytvořit silné heslo, náhodná řada písmen a číslic musí být skutečně náhodná, aby měla šanci.
Stejná hesla pro různé služby
Dalším překonaným mýtem je to, že stačí mít několik silných hesel pro různé typy služeb, a tato hesla pak můžete využívat opakovaně. Tuto metodu využívá mnoho lidí, ale pak už většinou neuhlídají, do jakých systémů, která hesla zadávají – třeba když zpanikaří a začnou na WiFi síti v kavárně nazdařbůh zadávat všechna možná hesla, když se chtějí dostat k určité službě. Prosté odchycení takového hesla hackerem znamená zpřístupnění řady systémů, často včetně pracovních a e-mailových.
„Využívání stejných hesel pro přístup na e-shop i do firemního e-mailu nebo služby, ve které máte vložený nějaký využitelný kredit, je značně riskantní. Kromě maximálního zabezpečení v podobě silného unikátního hesla je možné se před riziky, která přináší nakupování a další aktivity na internetu, také pojistit,“ říká Viktor Houška z BNP Paribas Cardif.
Použití krátkých hesel
Další překonanou radou je to, že pěti nebo šestimístné heslo je dostatečně dlouhé na to, aby bylo bezpečné. S růstem výpočetního výkonu počítačů vzrostly i možnosti programů, které zkoušejí využitelné kombinace znaků a takovýto útok hrubou silou odhalí takto krátká hesla poměrně rychle. Nicméně dostatečná délka hesla může být stále účinnou obranou.
„Bezpečné heslo je dlouhé heslo, které se dá dobře zapamatovat. Mělo by mít minimálně 12 znaků, když jich má třeba dvacet a více, nikdy tím nic nezkazíte. Taková hesla je jednoduché vytvořit například jako větu nebo jen spojením několika slov. Použijte občas nějaké písmeno velké, sem tam nějakou číslici. Přidejte nějaký speciální znak, ale počítejte s tím, že ne každý počítač má vždy nainstalovanou potřebnou národní klávesnici. Bylo by samozřejmě pěkné mít hesla složená z úplně náhodných znaků, ale to se těžko pamatuje, pokud ovšem nepoužíváte nějaký heslovníček (password manager), říká Ondřej Ševeček a dodává: „Úplně nejlepší je využívat vícefaktorové ověřování, pokud ho aplikace nebo webová stránka nabízí. Může jít například o ověřovací SMS nebo speciální mobilní aplikaci, na které se přístup musí navíc potvrdit. Někdy taková aplikace generuje dočasný kód, který je nutno zapsat do přihlašovacího formuláře.“
(tz)