Zvolte si heslo, prosím

pátek 21. říjen 2011 14:33

flickr.com

O dnešní době by se dalo říct, že je "Doba heslová". Mnoho lidí se ztrácí v záplavě hesel. Logicky. Pokusím se znovu objevit Ameriku a shrnout, jak se k heslům chovat, aby bylo vše maximálně bezpečné a zároveň použitelné.

Člověk má daný nějaký způsob  uvažování a ten nespočívá v nekonečném pamatování různých údajů. Určitě každý z vás zažil tuto situaci -  potřebujete vstoupit do svého účtu na nějaké stránce, kde jste dlouho nebyli a nepamatujete si ani své uživatelské jméno ani heslo. Když chcete využít pomocného čudlíku s nápisem "Zapomněli jste heslo?", nemůžete si vzpomenout, který ze svých 8 mailů jste uvedli při registraci. Pak nastává potupné zkoušení pokus/omyl, light verze útoku odborníky nazývaném brut force attack.

Nejprve: kolik hesel vlastně mít? Je celkem jasné, že mít pro každé prihlášení speciální heslo vyžaduje mít větší hlavu než Láďa (a všichni víme, že Láďa má velkou hlavu ). Zároveň mít jedno univerzální heslo také není bezpečné, nikdy nevíte, jak jsou zabezpečeny aplikace, kde ho používáte. Představte si, že při prolomení nějaké úplně nepodstatné aplikace útočník dostane heslo třeba k vašemu bankovnímu účtu. Proto preferuji kompromisní variantu,  mít několik polouniverzálních hesel - úplně slabé a jednoduché pro různé povinné registrace, pak silnější hesla třeba do e-shopů, diskuzí, emailů určených pro spam a nejsilnější pro bankovnictví, osobní emaily apod. Rozdělení záleží na každém, jen si u věcí, kde máte stejná hesla, rozmyslete, jestli případná ztráta informací nebo škoda při ztrátě hesla je u všech aplikací zhruba stejná. Osobně používám asi 4 master hesla a nemám potřebu mít víc.

Co dělá heslo bezpečným? To, že je to pouze vaše znalost a nedá se snadno prolomit náhodným zkoušením. Takže heslo by nemělo být výrazně spojeno s vámi (jméno někoho z rodiny, mazlíčka,  narozeniny apod.). Nemělo by to být ani běžné slovo, útočníci zpravidla jako první zkouší použití slovníků. Mělo by být zapamatovatelné, abyste ho nemuseli pokaždé opisovat z papírku - to třeba, někde oblíbená, generovaná hesla stylu "sT6dXw7Qy27" rozhodně nesplňují. Aby bylo co nejhůře prolomitelné, mělo by mít přiměřenou délku (uvádí se minimálně 8 znaků, já bych klidně přidal - obtížnost prolomení s počtem znaků stoupá exponenciálně) a ideální je kombinovat různé typy znaků (písmena, číslice, ale i speciální znaky, je-li to možné). Nevidím moc velký důvod řešit malé a velké písmena, tohle slovníkové útoky často testují také.

Často se hovoří o povinné změně hesla po nějaké době. Nejsem úplně příznivce této metody, v důsledku vede k tomu, že lidé potřebují víc hesel a píší si je (na monitor, pod klávesnici). Hodně silné heslo vydrží mnoho :-). Pokud by měli administrátoři možnost zamknout účet po neúspěšném pokusu o přihlášení třeba na 3 sec, člověk si toho ani nevšimne, ale automatizované brut force útoky to prakticky znemožní.

Jak tedy vytvořit přiměřeně dlouhé, neslovníkové a snadno zapamatovatelné heslo? Možných metod je samozřejmě mnoho. Mě osobně se nejvíc líbí tato: vezměte sobě nějaké slovní spojení (ne jen jedno slovo), kde se vyskytuje diakritika a napište ho na anglické klávesnici. Například - "4ern7k5e4ek", "padaj9c93utr", "zlat7mil84ek". Tohle vypadá jako šifra a přitom si to krásně zapamatujete. Tím, že je to více slov, obejdete slovníky, které by případně počítaly s českým psaním na anglické klávesnici. Pokud je možno použít speciální znaky, rozhodně je dobré tím heslo okořenit - slova oddělit pomlčkou, podtržítkem, dát do závorky a nebo třeba přidat smajlíka: "sm9chl049:-)". A samozřejmě je ideální (i když ne nutné), aby nebyly části hesla jasně spojitelné s vámi - třeba milovník letectví nezvolí "boeingtupolev". Možno je použít přísloví, neobvyklejší slovní spojení... cokoliv. Koho napadne, že vaše heslo je "kdo-jin0mu_j8mu-kop8"?

Taky je možno nahradit "o" nulou, malé "L" jedničkou, "e" trojkou. Sice otřepané, ale cokoliv, co hádání ztíží se počítá. A když se zkombinují tyto různé metody (spolu s exotickou češtinou), už máme dost rozumné heslo. Nezapomínejte, že heslo se po jednotlivých znacích hádá jen ve filmech. V reálu je to binární - buď s euhodne nebo ne. Útočník nemá jak poznat, jestli je úplně mimo nebo jen o jeden znak vedle.

Na závěr pár tipů:

  • Nikomu nepište a neříkejte své heslo, u naprosté většiny aplikací (resp. u všech dobře napsaných) ho nemůžou zjistit ani administrátoři, můžou ho maximálně změnit.

  • Zvolte heslo složité, ale takové, které jste si jste schopni spolehlivě dlouhodobě zapamatovat.
  • Nikdy neposílejte heslo emailem. Mail cestuje internetem otevřený, nikdy nevíte, kudy přesně projde (cesta se určuje dle aktuální propustnosti) a kdekoliv je možno ho chytit a přečíst.
  • Vyhněte se v heslu diaktritice, pokud předpokládáte, že se budete přihlašovat z internetové kavárny v cizině. Těžko tam budou mít českou klávesnici.
  • Mnoho eshopů má prima zvyk posílat vám emailem s registračními údaji rovnou i heslo. Pak buď zvolte heslo z kategorie, kdy je vám jedno, jestli ho někdo získá a nebo zvolte jednoduchou pitominu (třeba "abc123") a pak si ho teprve změňte na to své.
  • Když by někdo opravdu potřeboval přístup k vám  (musí mít sakra důvod a být věrohodný, ne, že někdo požádá emailem!), změňte si heslo na něco, co nikde nepoužíváte a po zákroku vraťte zpět své.
  • Pokud lze, používejte u webových aplikací šifrovaný protokol https (píše se na začátek adresy) - hesla pak nelze odchytit při cestě internetem.
  • Pokud musíte heslo změnit, neměňte ho jen kosmeticky (z "monika01" udělat "monika02").
  • Nehlašte se nikam, kde vás k tomu vyzve údajně vaše instituce netradičním kanálem (zpravidla emailem) - je to prevence útoků nazvaných phishing.
  • Do citlivých aplikací (např. bankovnictví) se nepřipojujte z počítačů, kde si nejste jisti zabezpečením (firewall, aktualizované antivirové či antispywarové programy).
  • Při podezření z prozrazení hesla ho radši všude změňte.
  • Nikomu nepište a neříkejte své heslo - možná vám přijde, že už to tu bylo, ale považuji to za natolik důležité, že jsem to zopakoval.

Pamatujte si - že jste paranoidní neznamená, že po vás nejdou :-).

P.S: pokud se váš mazlík jmenuje stylem "k6$O_pR(&g#hZ8", klidně jeho jméno jako heslo použijte.

Petr Zip Hájek

Zipjsem rád, jestli se ti to líbilo20:3523.10.2011 20:35:48
s.m.dobrý !18:4723.10.2011 18:47:27
ZipDíky...16:0022.10.2011 16:00:55
tinaSuper osvěta! 1*11:3222.10.2011 11:32:25
ZipDíky, jsem rád, že to pomohlo18:1221.10.2011 18:12:25
Monika PetrákováPetře, to je17:4821.10.2011 17:48:04
ZipNení to nic objevného,17:3821.10.2011 17:38:38
EVAHezký a moc užitečný článek,15:4321.10.2011 15:43:53

Počet příspěvků: 8, poslední 23.10.2011 20:35:48 Zobrazuji posledních 8 příspěvků.

Petr Zip Hájek

Petr Zip Hájek

Různý mišmaš.
Hlavně fotky.

Sem tam i něco kolem IT, mystifikaci, různé úvahy a vůbec...

Web: http://hajek.photo/

Jsem, tedy myslím, že jsem.

REPUTACE AUTORA:
8,50 (VIP)

Pošlete mi vzkaz

Zbývá vám ještě znaků. Je zakázáno posílat reklamu a vzkazy více bloggerům najednou.