Heslá: čo robiť, nerobiť a prečo to riešiť

Heslá: čo robiť, nerobiť a prečo to riešiť

Marek Hatok / 01.10.2018
Dnes je heslo tým, čím bol v minulosti kľúč od trezoru. Uzamykáme s jeho pomocou všetko, čo má ostať len naše. Napriek tomu k jeho výberu pristupujeme ľahkovážne a neuvedomujeme si možné dôsledky ani jednoduchosť s akou môže tento kľúč niekto iný získať. Preto si v dnešnom článku povieme niečo o tom, ako pristupovať k výberu a používaniu hesla.
 

Čo by ste mali robiť

Najprv sa poďme pozrieť na niekoľko rád, ako by ste mali správne pristupovať k výberu hesla.
 

Zvoľte si aspoň 12-miestne heslo

Dĺžka hesla je jeho najdôležitejším parametrom. Každý znak navyše exponenciálne navyšuje silu hesla. Spomínané 12-miestne heslo je napríklad minimálne 26-násobne silnejšie ako heslo kratšie o jeden znak a 676-násobne silnejšie ako 10-miestne.
 

Používajte malé aj VEĽKÉ písmená 

Kým pri použití hesla pozostávajúceho z malých písmen existuje pre každý znak len 26 možností, veľké písmená tento počet zdvojnásobia. Heslo pozostávajúce z malých a veľkých písmen by teda pri spomínanom 12-miestnom hesle bolo 4096-násobne silnejšie ako keby ste použili len malé písmená.
Napriek tomu je vo výsledku menej dôležité kritérium, ako dĺžka, pretože toto heslo by stále bolo 4-násobne slabšie ako 15 znakové heslo tvorené výhradne malými písmenami.
 

Pridajte do hesla číslice

Pridanie číslic opäť navyšuje znakovú sadu o ďalších desať možností. Pridanie číslic by naše 12-znakové heslo z prechádzajúceho príkladu posilnilo približne 8-násobne.
 

Vylepšite heslo špeciálnymi znakmi

Medzi špeciálne znaky patrí všetko čo nie je písmeno alebo číslo. V širšom zmysle medzi ne môžu patriť aj písmena s diakritikou, no tie nie sú na väčšine stránok v hesle povolené.
Medzi najčastejšie využívané znaky v heslách patria: . ? ! - _ @ % +
Možnosť využitia špeciálnych znakov sa môže v rámci rôznych služieb líšiť, no všeobecne platí, že použitie znakov má približne rovnaký prínos ako použitie veľkých písmen. Prípadne aj o niečo vyšší, keďže väčšina ľudí tieto znaky v heslách nepoužíva vôbec, prípadne používa jeden z troch najčastejších, ktorými sú: . - a _ .
Dobrý nápad teda je tieto znaky nie len používať, ale zvoliť si niektoré z menej bežných, napr. > \ alebo [ .
 

Čo by ste nemali

Dĺžka hesla aj šírka znakovej sady je však nepodstatná, ak je heslo predvídateľné alebo s ním nakladáte nesprávne. Preto ešte dôležitejšie je, čo pri výbere hesla a jeho používaní nerobiť.
 

Používať v hesle mená, názvy alebo prezývky 

Áno, zapamätať si heslo je oveľa jednoduchšie ak vám dáva zmysel. A čo iné si vybrať, než meno manželky, detí, psa, alebo prezývku ktorú ste dostali v šachovom klube na strednej škole? Tieto veci však budú prvé na zozname každého, kto sa bude snažiť vaše heslo prelomiť.
Používať mená, názvy obľúbených športových tímov alebo miest je tým najväčším prehreškom voči bezpečnosti hesla.
 

Používať dátumy a čísla telefónu, domu, dokladov

Keďže mnohí už vedia o tom, že v hesle je dobré okrem písmen použiť aj nejaké to číslo, uchýlia sa práve k využívaniu osobitých čísel, ktoré s nimi majú nejakú spojitosť. Najčastejšie to býva práve rok, či celý dátum narodenia, aktuálny vek alebo číslo domu, kde bývajú.
Podobne ako v prvom prípade, chyba a pre útočníka veľmi predvídateľné.

Používať slová s významom

Väčšina ľudí si vyberá heslo s reálnym významom. Preto aj ak nepoužijú v hesle svoje meno alebo meno blízkej osoby, často si zvolia iné, „náhodné“ slovo ktoré s nimi nemá žiaden (často dokonca len zdanlivo) súvis, a preto si myslia, že toto heslo je bezpečné.
Tu je dôležité si uvedomiť, prečo je náhodné reálne slovo omnoho menej bezpečné, než reťazec náhodných písmen.
Pre jednoduchosť si vezmime, že sme si ako heslo zvolili slovo s dĺžkou štyri písmená. Takýchto slov je v slovenskom jazyku približne 1500. Ak by sme si však zvolili reťazec náhodných písmen, počet možnosti by bol viac ako 450-tisíc. Prelomiť takéto heslo by teda bolo o 99,7% náročnejšie.
 
Prehľad 20 najčastejšie používaných hesiel za rok 2017.

Používať časté frázy

Ďalšou položkou na zozname každého kto by sa snažil zistiť vaše heslo sú najpoužívanejšie heslá alebo frázy. Ide o zoznam hesiel, ktoré sa medzi prelomenými objavujú najčastejšie. Prípadne všetky heslá, ktoré sa podarilo prelomiť a teda sa o nich vie, že minimálne jeden človek toto heslo používa. Medzi tieto „klenoty“ medzi heslami patria napr. password, 123456, login, qwerty a podobne.

Uchovávať heslo nesprávnym spôsobom

Dobre, zvolili ste si silné heslo – dlhé, náhodné, obsahuje všetko čo má. No aj tak môže všetko výjsť nazmar, ak sa k heslu niekto dostane.
Najčastejšou chybou je ukladanie hesla „pre prípade, že by som zabudol.“ V praxi to vyzerá tak, že si heslo zapíšete na papier a dáte do peňaženky, prípadne odošlete mailom, SMS-kou a podobne.
Ešte väčšou chybou je zdieľanie hesla s inými ľuďmi. Aj keď ide o niekoho, komu môžete veriť s prístupom k vášmu účtu, nikdy neviete ako bude s heslom ďalej nakladať a či sa k nemu nedostane ďalšia osoba. (napríklad aj nedbanlivosťou alebo nedopatrením)

Používanie jedného hesla na viacerých účtoch

Je to pohodlné, nie? Mať pre všetky účty jedno heslo. Kto si má pamätať desať rôznych hesiel? Problém však je v tom, že akonáhle niekto zistí, aké máte heslo na jednom účte, získa prístup k všetkým ostatným. A tak vaše prihlasovacie údaje na stránke miestneho spolku záhradkárov môžu prezradiť aj vaše heslo do internet bankingu.

Prihlasovanie na nezabezpečené stránky

Dnes už sú všetky seriózne stránky zabezpečené tzv. SSL šifrovaním. V skratke ide o to, že komunikácia medzi zariadením prostredníctvom ktorého pristupujete na internet a stránkou, ktorú ste navštívili je pre ostatné uzly v sieti medzi vami a serverom nezrozumiteľná. Takúto stránku spoznáte tým, že v adrese má https:// namiesto http:// a prehliadač vedľa adresy zobrazí ikonku visiacej zámky.
Problém však nastáva v tom prípade, keď stránke týmto zabezpečením nedisponuje. Vtedy je možné sledovať komunikáciu medzi vami a stránkou. Obzvlášť veľký problém to predstavuje pri prihlasovaní. Vtedy je totiž možné zachytiť aj zadané heslo. Rada teda znie, neprihlasovať sa na stránky, ktoré nie sú zabezpečené.

Ale… prečo?

Možno sa pýtate, prečo vlastne? Prečo 12- miestne heslo, prečo všetky tie požiadavky, keď už heslo so štyrmi písmenami má státisíce kombinácií. Veď to nie je možne uhádnuť. Neexistuje človek, ktorý by bol taký vytrvalý, aby ich všetky skúšal. Máte pravdu, človek by to skutočne nezvládol...

Luskáčik na heslá

Ale to ani nemusí. Heslá totiž neprelamujú ľudia, ale počítače. A moderný počítač… ten si takéto heslá lúska na rozcvičku.
Prelomenie hesla totiž vôbec nefunguje tak, ako by ste si možno predstavovali. Nikto sa nebude pokúšať zadávať jedno heslo za druhým niekde na prihlasovacej stránke. To by bolo príliš pomalé a neúčinné.
K vášmu heslu sa útočník najčastejšie dostane tak, že ho odchytí v komunikácii so zariadením na ktoré sa prihlasujete, prípadne tak, že ho získa z ukradnutej databázy. Takéto heslo však nemá svoju pôvodnú podobu. Je šifrované jednosmerným šifrovaním. To znamená, že neexistuje kľúč, ktorým by sa dalo dešifrovať. Heslo v tejto podobe sa nazýva hash. Jedinou možnosťou ako zistiť jeho pôvodnú podobu je tipnúť si, aké heslo by sa mohlo v hashi skrývať, zašifrovať ho rovnakým spôsobom a porovnať, či sa tieto hashe zhodujú. Ak áno, tip bol správny. Ak nie, počítač skúša ďalej.
Možno ste si to už domysleli, ale počítače sú v tomto tipovaní veľmi dobré. Alebo lepšie povedané, veľmi rýchle. Presná rýchlosť závisí od výpočtového výkonu konkrétneho počítača a typu šifrovacieho algoritmu, no bežný domáci počítač zvládne za sekundu vyskúšať stovky miliónov až miliardy kombinácií. Myslite na to, až si budete vyberať heslo!

Na stránke haveIbeenPwned.com si môžete skontrolovať, či medzi prelomenými heslami nie je aj to vaše.

Databázy na úteku

V predchádzajúcej časti sme uviedli, že hashe hesiel sa dostávajú k útočníkom často z ukradnutých databáz webových stránok. Ako a prečo k tomu dochádza je príliš komplexná problematika, ktorá nie je predmetom tohto článku, preto ju popisovať nebudeme.
Je však dôležité poznamenať, že k týmto bezpečnostným incidentom dochádza pomerne často a nevyvarovali sa im veľké spoločnosti a stránky ako Yahoo, Adobe, Sony alebo služba cloudového úložiska Dropbox. Z lokálnych spoločností je tiež možno spomenúť internetového predajcu MALL ktorému unikli údaje o 735 tisíckach zákazníkov vrátane mien, adries a hesiel.
Užitočnou možnosťou ako zistiť, či sa aj váš účet alebo heslo nachádza medzi tými, ktoré unikli, je stránka haveibeenpwned.com.
Obsahuje zoznam viac ako 5 miliónov prelomených hesiel a môžete na nej vyhľadávať podľa e-mailovej adresy alebo hesla.
Ak svoj účet alebo heslo na tejto stránke nájdete, odporúčame jeho okamžitú zmenu na všetkých službách, kde ho používate.

Nástroje ITcity

Ak vás tento článok presvedčil, aby ste to s bezpečnosťou hesla začali myslieť vážne, splnil svoj účel. V tom prípade sme presne pre vás na našej stránke pripravili dva nástroje, ktoré vám pomôžu.
Prvým je overovač hesla, ktorý nájdete na adrese: www.itcity.sk/heslo/overenie.
Stačí ak zadáte svoje heslo a stránka automaticky zhodnotí jeho silu. Ak heslo trpí nedostatkami, dostanete odporúčanie, ako ho vylepšiť.
Druhý nástroj, ktorý pre vás máme je generátor hesiel, ktorý pre vás vytvorí jedno alebo viacero náhodných hesiel na základe vášho výberu. Možné je taktiež heslo vygenerovať na základe kľúčových slov, ktoré si vyberiete. Veríme, že práve táto možnosť vám pomôže si heslo ľahšie zapamätať.
Generátor hesiel nájdete na adrese: www.itcity.sk/heslo.

Mohlo by Vás zaujímať

Ako na Wi-Fi, druhá časť: Ako pokryť domácnosť Wi-Fi sieťou?

Ako na Wi-Fi, druhá časť: Ako pokryť domácnosť Wi-Fi sieťou?

Marek Hatok / 21.07.2017

V minulej časti tejto série sme sa venovali výberu Wi-Fi routera. Dnes si povieme, ako ho umiestniť a nastaviť, aby sme dosiahli čo najlepšiu kvalitu pokrytia. Pozrieme sa aj na to, čo robiť, ak váš router na plnohodnotné pokrytie jednoducho nestačí.

Čítať viac

Poradíme Vám?

0948 482 489
itcity@itcity.sk

© 2010 - 2019   ITcity s. r. o. | Všetky práva vyhradené!

Prešov