Hrozby z kyberprostoru jsou vážnější než kdykoli předtím. Mezinárodní konflikty přivolávají na scénu hackery dotované státem, kyberzločinci se organizují do stále silnějších skupin a rostoucí zaměření na online služby, home office a internetové obchody připravuje zlodějům dat a podvodníkům stále rozsáhlejší pole působnosti.
Abyste se v této neklidné době nestali obětí kybernetického útoku, měli byste svá data a přístup k internetu chránit bezpečnými hesly. To se však často snáze řekne, než udělá: desítky těžko zapamatovatelných hesel k různým službám zahltí i vyhlášené mozkové kapacity.
To mnohé uživatele počítačů a dalších zařízení svádí k používání jednoduchých hesel nebo k používání jednoho a téhož bezpečného hesla pro několik služeb, a to je velmi rizikové. Se správným přístupem a podpůrným softwarem však můžete své účty a systémy spolehlivě zabezpečit, aniž byste se museli potýkat se zapomenutými hesly.
V prvé řadě byste měli při generování nových hesel a nahrazování stávajících přihlašovacích údajů použít správná bezpečnostní opatření.
Jaká jsou pravidla pro výběr hesel pro vyšší zabezpečení
Pokud budete dodržovat šest níže uvedených pravidel, budete proti většině kybernetických útoků imunní.
1. Vyhněte se triviálním heslům
Může to znít jako banální připomínka, ale poměrně hodně uživatelů se stále ještě spoléhá na takzvaná triviální hesla, jako je „heslo123“, „12345“ nebo „maminka“. Do této kategorie však spadají i údajně sofistikovanější hesla – například „asdfghjkl1“, „fotbal23“, „lopata7“ nebo „administrator“. Rozsáhlé seznamy takovýchto jednoduchých hesel kolují po webu a hackeři je automaticky zkoušejí na množství služeb.
Byly mé přihlašovací údaje kompromitovány? Užitečná stránka poskytuje informace o tom, zda se vaše přihlašovací údaje nedostaly do nesprávných rukou v důsledku známého úniku hesel. | Zdroj: haveibeenpwned.com
2. Začleňte do hesla speciální znaky
Počítač nabízí mnohem více znaků než jen písmena a číslice. Příklad útoku hrubou silou, při kterém hackeři opakovaně zkoušejí typická hesla, ukazuje, jak moc ovlivňuje použitá znaková sada dobu potřebnou k prolomení hesla. Osmiznakové heslo složené pouze z čísel (0–9) může být prolomeno již po zlomku sekundy, zatímco alfanumerické heslo s velkými a malými písmeny (52 znaků) trvá rozlousknout již několik minut.
Pokud ale použijete maximální počet, tedy 96 znaků – tj. čísla, velká a malá písmena i speciální znaky –, doba potřebná k útoku se zvýší na několik hodin. Pokud je do výpočtu zahrnuto zablokování účtu po několika neúspěšných pokusech, nabízí znakový prostor 96 znaků vysoký stupeň bezpečnosti.
3. Na délce záleží
Většina používaných hesel má osm znaků. Pokud chcete mít jen takhle krátké heslo, vyžaduje to vysoký stupeň složitosti, aby bylo dosaženo požadované úrovně zabezpečení – například „2&aC]4Iy“. Takováto kryptická hesla jsou však velmi obtížně zapamatovatelná a nejsou odolná vůči útokům hrubou silou s použitím špičkového hardwaru. Proto pokud služba nebo software umožňuje použití delšího hesla, měli byste toho využít a zvolit heslo s co nejvíce znaky.
Osmimístné heslo prolomeno za 48 minut: hackerské nástroje využívají výkonný hardware grafických karet k urychlení prolomení hesel. | Zdroj: Nana Dua/Unsplash
Zde přichází ke slovu současný trend použití dlouhých přístupových hesel v prostém textu. Ta jsou snadno zapamatovatelná a přitom je téměř nemožné je prolomit. Příklad: „Na mé zahradě zpívají roztomilí rorýsi“. Takovou frázi můžete ještě lépe zabezpečit tím, že do ní zahrnete čísla a speciální znaky: „100 g mé oblíbené čokolády stojí 28,90 Kč.“. Vyhněte se však příslovím, známým citátům, osobním údajům, jako je telefonní číslo nebo datum narození, a variantám uvedených příkladů.
4. „Leetspeak“ není bezpečný
Nahrazování písmen nebo číslic podobně vypadajícími znaky se nazývá „Leetspeak“, má své kořeny v internetové subkultuře a mnoho uživatelů ho považuje za svatý grál bezpečnosti hesel. Heslo „password123“ se však nestane bezpečnějším, pokud z něj uděláte „P@55w0rt123“. Příslušné seznamy hesel takové ekvivalenty obsahují, takže to žádnou bezpečnostní výhodu nepřináší.
5. Pečlivě svá hesla měňte
Pravidelná změna hesla přináší očekávanou bezpečnostní výhodu pouze v případě, že upustíte od pravidelných aktualizací. Je to proto, že změny hesel vynucené zásadami pro hesla často zahrnují pouze změnu posloupnosti číslic za vlastním heslem nebo změnu ročního období – například z hesla „HesloLeto2022“ se stane „HesloZima2023“. Nejlepší je nahradit prošlá hesla zcela novými, dlouhými frázemi v prostém textu, jak jsme popsali v pravidle 3.
6. Kontrola účtů a hesel
Chcete-li údaje o svém účtu podrobit testu, použijte online služby, jako je například „Have i been pwned“ (název je odvozen od „have i been owned“). Na stránce haveibeenpwned.com zadáte svou e-mailovou adresu, telefonní číslo nebo přihlašovací jméno. Údaje se porovnávají se seznamy ze známých kybernetických úniků – pokud by mohly být tuto údaje kompromitovány, objeví se varování. Pak byste si rozhodně měli změnit k dotčeným službám heslo.
Služba Security.org nebo Password Check zase testuje zadaná hesla na délku a použité znaky a porovnává je se seznamy prolomených hesel, aby vás případně varovala. Jako bonus získáte také informace o tom, jak dlouhé heslo by odolalo útoku hrubou silou. U silných hesel jde tato hodnota do bilionů let.
Tip: Většina programů pro kontrolu hesel se ráda nechá zmást triviálními hesly s mnoha bezpečnostními prvky a klasifikuje například „P@SsWort_123“ jako obzvláště bezpečné – zde je tedy třeba být opatrný.
Zdroj: Security.org, Password Check, autorský článek