Heslo nám umožňuje připojit se ke službám na internetu, ať již se jedná o přístup do emailové schránky, do administrace webových stránek, na sociální sítě, do banky nebo dalších webových aplikací. Právě proto, že je heslo často jediným způsobem jak ověřit svoji totožnost na internetu a tak daných služeb využívat, je opravdu důležité používat takové heslo, které nelze jednoduše odhalit.
Většina uživatelů internetu používá slabá hesla a tak se vystavují riziku, že jejich heslo někdo zjistí a tak bude moci zneužít služeb, které používají. Z článku se dozvíte, jak je někdy snadné heslo zjistit a jak si vytvořit bezpečné heslo.
Nejbezpečnější heslo je to, které si nepamatujete
Zní vám to nesmyslně? Je to samozřejmě trochu přehnané, protože obejít se bez hesla aktuálně nelze a nějaké heslo si pamatovat musíte. Je ale výhodnější používat správce hesel (například Sticky Password), kde si pamatujete jen jediné heslo, které slouží jako hlavní přístup ke správci. Všechna ostatní hesla vám správce nageneruje a v případě potřeby změny hesla je opět vygeneruje znova. Přesto bystě měli mít toto hlavní heslo dostatečně silné, aby se nedalo snadno uhádnout. O tom, jak by mělo vypadat se dozvíte dále.
Jak vytvořit bezpečné heslo
Nejprve začněme zásadami jaká hesla zásadně nepoužívat:
- snadno zjistitelné údaje z vašeho okolí (vlastní jméno, jména blízkých, telefonní číslo, rodné číslo atd.)
- jednoduchá čísla a běžně užívaná slova
- heslo stejné jako uživatelské jméno
Pokud se bavíme o tvorbě hesla, je dobré si připomenout, že čím více znaků se zkombinuje, tím bude heslo silnější:
- použití čísel 0 - 9 (celkem 10 znaků) - heslo dlouhé 4 znaky = 10 tisíc kombinací
- použití čísel 0 - 9 a znaků malé abecedy (celkem 36 znaků) - heslo dlouhé 4 znaky = 1,7 milionu kombinací
- použití čísel 0 - 9 a znaků malé i velké abecedy (celkem 62 znaků) - heslo dlouhé 4 znaky = 15 milionů kombinací
Nejbezpečnější hesla jsou složená z čísel, znaků malé i velké abecedy, případně dalších znaků (pomlčka, podrtžítko, tečka apod.) a délce 8 znaků a více (např. heslo sd34-8A! může představovat i 1,7 biliardy, tj. 1,7.1015 kombinací).
Při vytváření hesla je možné použít několik metod, některé jsou jednoduché, některé složitější (a o to bezpečnější). Můžete například vzít dobře zapamatovatelnou větu - "Ktož sů boží bojovníci a zákona jeho!", vzít první písmena a na konci vložit vykřičník - získáte tak poměrně slušné heslo Ksbbazj!. Kdo chce vyšší bezpečnost, může vzít z každého slova první dvě písmena, získáte tak heslo Ktsuboboazaje!. To je heslo, které se už opravdu bez výrazného přispění uživatele prolomit nedá.
Dalším způsobom je vzít nějakou mnemotechnickou pomůcku. Např. pro poloměr Země se užívá mnemotechnická pomůcka "Šetři se osle". Můžeme vzít první dvě písmena z pomůcky a doplnit je čísly (případně pomlčkou nebo vykřičníkem) - Seseos6378 je také už poměrně slušné heslo. Nebo můžete zadat celou větu - Jaksedolesavola taky není úplně marné heslo
Metod, jak si vytvořit bezpečné heslo a variací na ně, je opravdu velké množství. Je veskrze nepodstatné, jakým způsobem k bezpečnému heslo dojdete, ale je opravdu důležité bezpečné heslo mít. Ještě důležitější je pak bezpečné heslo chránit, aby nedošlo k jeho zkompromitování (ostudnou záležitostí je např. nošení PINu pohromadě s bankovní kartou ke které patří). ¨
Jak si hesla vytváříte vy?
Způsoby prolamování hesel
Způsobů, jakými zle prolomit něčí heslo je několik. Nejznámější způsoby jsou:
- sociální inženýrství (pretexting nebo phishing)
- slovníkový útok
- útok hrubou silou (tzv. bruteforce)
Zatímco sociální inženýrství a phishing jsou zaměřené na vylákání hesla přímo od uživatele, slovníkový a bruteforce útok jsou mechanickým zkoušením hesel a jejich kombinací.
Sociální inženýrství je metodou manipulace uživatele za účelem získání jeho hesla. Nejčastěji se používá pretextingu a nebo phishingu.
Při pretextingu je oběť přesvědčována k vydání přístupového hesla pomocí smyšleného příběhu, který je doplněn nějakým reálným údajem, který se dá poměrně snadno zjistit (např. datum narození). Krásným (a dost smutným) případem této techniky byl nedávný útok hackera na jednoho amerického novináře a jeho osobní data v cloudu společnosti Apple (zde je odkaz na článek Hacker vymazal slavnému novináři všechna data. Stačilo přemluvit Apple).
Principem phishingu (a jeho sofistikovanější varianty pharmingu) je oproti tomu přimět uživatele, aby na podvržené stránce heslo sám zadal a tak jej odeslal útočníkovi. Často se používá phishingu k vylákání přístupových údajů k bankovním účtům. Více o phishingu a pharmingu se můžete dozvědět v článku Co je phishing.
Slovníkový útok využívá toho, že si lidé často vybírají velmi jednoduchá hesla. Speciální program je pak schopen pomocí vloženého seznamu možných hesel (slovníku) postupně zkoušet, které heslo je to správné.
Oproti tomu útok hrubou silou zkouší (generuje) všechny možné kombinace. Tento systém je velice zdlouhavý, ale zvláště v případě krátkých hesel složených jen z čísel, je 100% účinný.
Bohužel je velice smutné, že většina lidí používá jednoduchá hesla typu admin, 1234, 12345, heslo, vlastní jméno, běžné slovo atd. Odhalení takových hesel je pak otázkou maximálně minut. Často je to způsobeno lidskou lehkomyslností a nebo neschopností zapamatovat si složitější hesla. Proto se v další části článku seznámíme se způsoby, jak vytvořit bezpečné, ale dobře pamatovatelné heslo.
Nejbezpečnější heslo je to, které si nepamatujete
Zní vám to nesmyslně? Je to samozřejmě trochu přehnané, protože obejít se bez hesla aktuálně nelze a nějaké heslo si pamatovat musíte. Je ale výhodnější používat správce hesel (například Sticky Password), kde si pamatujete jen jediné heslo, které slouží jako hlavní přístup ke správci. Všechna ostatní hesla vám správce nageneruje a v případě potřeby změny hesla je opět vygeneruje znova. Přesto bystě měli mít toto hlavní heslo dostatečně silné, aby se nedalo snadno uhádnout. O tom, jak by mělo vypadat se dozvíte dále.
Jak vytvořit bezpečné heslo
Nejprve začněme zásadami jaká hesla zásadně nepoužívat:
- snadno zjistitelné údaje z vašeho okolí (vlastní jméno, jména blízkých, telefonní číslo, rodné číslo atd.)
- jednoduchá čísla a běžně užívaná slova
- heslo stejné jako uživatelské jméno
Pokud se bavíme o tvorbě hesla, je dobré si připomenout, že čím více znaků se zkombinuje, tím bude heslo silnější:
- použití čísel 0 - 9 (celkem 10 znaků) - heslo dlouhé 4 znaky = 10 tisíc kombinací
- použití čísel 0 - 9 a znaků malé abecedy (celkem 36 znaků) - heslo dlouhé 4 znaky = 1,7 milionu kombinací
- použití čísel 0 - 9 a znaků malé i velké abecedy (celkem 62 znaků) - heslo dlouhé 4 znaky = 15 milionů kombinací
Nejbezpečnější hesla jsou složená z čísel, znaků malé i velké abecedy, případně dalších znaků (pomlčka, podrtžítko, tečka apod.) a délce 8 znaků a více (např. heslo sd34-8A! může představovat i 1,7 biliardy, tj. 1,7.1015 kombinací).
Při vytváření hesla je možné použít několik metod, některé jsou jednoduché, některé složitější (a o to bezpečnější). Můžete například vzít dobře zapamatovatelnou větu - "Ktož sů boží bojovníci a zákona jeho!", vzít první písmena a na konci vložit vykřičník - získáte tak poměrně slušné heslo Ksbbazj!. Kdo chce vyšší bezpečnost, může vzít z každého slova první dvě písmena, získáte tak heslo Ktsuboboazaje!. To je heslo, které se už opravdu bez výrazného přispění uživatele prolomit nedá.
Dalším způsobom je vzít nějakou mnemotechnickou pomůcku. Např. pro poloměr Země se užívá mnemotechnická pomůcka "Šetři se osle". Můžeme vzít první dvě písmena z pomůcky a doplnit je čísly (případně pomlčkou nebo vykřičníkem) - Seseos6378 je také už poměrně slušné heslo. Nebo můžete zadat celou větu - Jaksedolesavola taky není úplně marné heslo
Metod, jak si vytvořit bezpečné heslo a variací na ně, je opravdu velké množství. Je veskrze nepodstatné, jakým způsobem k bezpečnému heslo dojdete, ale je opravdu důležité bezpečné heslo mít. Ještě důležitější je pak bezpečné heslo chránit, aby nedošlo k jeho zkompromitování (ostudnou záležitostí je např. nošení PINu pohromadě s bankovní kartou ke které patří). ¨
Jak si hesla vytváříte vy?
PS: Mimochodem zkoušeli jste někdy při zakládání emailu na seznamu zadat opravu dlouhé heslo? Zkuste to :-)