Čo by ste mali robiť

Zvoľte si aspoň 12-miestne heslo

Používajte malé aj VEĽKÉ písmená 

Pridajte do hesla číslice

Vylepšite heslo špeciálnymi znakmi

Medzi špeciálne znaky patrí všetko čo nie je písmeno alebo číslo. V širšom zmysle medzi ne môžu patriť aj písmena s diakritikou, no tie nie sú na väčšine stránok v hesle povolené.
Medzi najčastejšie využívané znaky v heslách patria: . ? ! - _ @ % +
Možnosť využitia špeciálnych znakov sa môže v rámci rôznych služieb líšiť, no všeobecne platí, že použitie znakov má približne rovnaký prínos ako použitie veľkých písmen. Prípadne aj o niečo vyšší, keďže väčšina ľudí tieto znaky v heslách nepoužíva vôbec, prípadne používa jeden z troch najčastejších, ktorými sú: . - a _ .

Čo by ste nemali

Používať v hesle mená, názvy alebo prezývky 

Áno, zapamätať si heslo je oveľa jednoduchšie ak vám dáva zmysel. A čo iné si vybrať, než meno manželky, detí, psa, alebo prezývku ktorú ste dostali v šachovom klube na strednej škole? Tieto veci však budú prvé na zozname každého, kto sa bude snažiť vaše heslo prelomiť.

Používať dátumy a čísla telefónu, domu, dokladov

Keďže mnohí už vedia o tom, že v hesle je dobré okrem písmen použiť aj nejaké to číslo, uchýlia sa práve k využívaniu osobitých čísel, ktoré s nimi majú nejakú spojitosť. Najčastejšie to býva práve rok, či celý dátum narodenia, aktuálny vek alebo číslo domu, kde bývajú.
Podobne ako v prvom prípade, chyba a pre útočníka veľmi predvídateľné.

Používať slová s významom

Väčšina ľudí si vyberá heslo s reálnym významom. Preto aj ak nepoužijú v hesle svoje meno alebo meno blízkej osoby, často si zvolia iné, „náhodné“ slovo ktoré s nimi nemá žiaden (často dokonca len zdanlivo) súvis, a preto si myslia, že toto heslo je bezpečné.
Tu je dôležité si uvedomiť, prečo je náhodné reálne slovo omnoho menej bezpečné, než reťazec náhodných písmen.

Používať časté frázy

Ďalšou položkou na zozname každého kto by sa snažil zistiť vaše heslo sú najpoužívanejšie heslá alebo frázy. Ide o zoznam hesiel, ktoré sa medzi prelomenými objavujú najčastejšie. Prípadne všetky heslá, ktoré sa podarilo prelomiť a teda sa o nich vie, že minimálne jeden človek toto heslo používa. Medzi tieto „klenoty“ medzi heslami patria napr. password, 123456, login, qwerty a podobne.

Uchovávať heslo nesprávnym spôsobom

Dobre, zvolili ste si silné heslo – dlhé, náhodné, obsahuje všetko čo má. No aj tak môže všetko výjsť nazmar, ak sa k heslu niekto dostane.
Najčastejšou chybou je ukladanie hesla „pre prípade, že by som zabudol.“ V praxi to vyzerá tak, že si heslo zapíšete na papier a dáte do peňaženky, prípadne odošlete mailom, SMS-kou a podobne.
Ešte väčšou chybou je zdieľanie hesla s inými ľuďmi. Aj keď ide o niekoho, komu môžete veriť s prístupom k vášmu účtu, nikdy neviete ako bude s heslom ďalej nakladať a či sa k nemu nedostane ďalšia osoba. (napríklad aj nedbanlivosťou alebo nedopatrením)

Používanie jedného hesla na viacerých účtoch

Je to pohodlné, nie? Mať pre všetky účty jedno heslo. Kto si má pamätať desať rôznych hesiel? Problém však je v tom, že akonáhle niekto zistí, aké máte heslo na jednom účte, získa prístup k všetkým ostatným. A tak vaše prihlasovacie údaje na stránke miestneho spolku záhradkárov môžu prezradiť aj vaše heslo do internet bankingu.

Prihlasovanie na nezabezpečené stránky

Dnes už sú všetky seriózne stránky zabezpečené tzv. SSL šifrovaním. V skratke ide o to, že komunikácia medzi zariadením prostredníctvom ktorého pristupujete na internet a stránkou, ktorú ste navštívili je pre ostatné uzly v sieti medzi vami a serverom nezrozumiteľná. Takúto stránku spoznáte tým, že v adrese má https:// namiesto http:// a prehliadač vedľa adresy zobrazí ikonku visiacej zámky.
Problém však nastáva v tom prípade, keď stránke týmto zabezpečením nedisponuje. Vtedy je možné sledovať komunikáciu medzi vami a stránkou. Obzvlášť veľký problém to predstavuje pri prihlasovaní. Vtedy je totiž možné zachytiť aj zadané heslo. Rada teda znie, neprihlasovať sa na stránky, ktoré nie sú zabezpečené.

Ale… prečo?

Možno sa pýtate, prečo vlastne? Prečo 12- miestne heslo, prečo všetky tie požiadavky, keď už heslo so štyrmi písmenami má státisíce kombinácií. Veď to nie je možne uhádnuť. Neexistuje človek, ktorý by bol taký vytrvalý, aby ich všetky skúšal. Máte pravdu, človek by to skutočne nezvládol...

Luskáčik na heslá

Ale to ani nemusí. Heslá totiž neprelamujú ľudia, ale počítače. A moderný počítač… ten si takéto heslá lúska na rozcvičku.
Prelomenie hesla totiž vôbec nefunguje tak, ako by ste si možno predstavovali. Nikto sa nebude pokúšať zadávať jedno heslo za druhým niekde na prihlasovacej stránke. To by bolo príliš pomalé a neúčinné.
K vášmu heslu sa útočník najčastejšie dostane tak, že ho odchytí v komunikácii so zariadením na ktoré sa prihlasujete, prípadne tak, že ho získa z ukradnutej databázy. Takéto heslo však nemá svoju pôvodnú podobu. Je šifrované jednosmerným šifrovaním. To znamená, že neexistuje kľúč, ktorým by sa dalo dešifrovať. Heslo v tejto podobe sa nazýva hash. Jedinou možnosťou ako zistiť jeho pôvodnú podobu je tipnúť si, aké heslo by sa mohlo v hashi skrývať, zašifrovať ho rovnakým spôsobom a porovnať, či sa tieto hashe zhodujú. Ak áno, tip bol správny. Ak nie, počítač skúša ďalej.
Možno ste si to už domysleli, ale počítače sú v tomto tipovaní veľmi dobré. Alebo lepšie povedané, veľmi rýchle. Presná rýchlosť závisí od výpočtového výkonu konkrétneho počítača a typu šifrovacieho algoritmu, no bežný domáci počítač zvládne za sekundu vyskúšať stovky miliónov až miliardy kombinácií. Myslite na to, až si budete vyberať heslo!

Databázy na úteku

V predchádzajúcej časti sme uviedli, že hashe hesiel sa dostávajú k útočníkom často z ukradnutých databáz webových stránok. Ako a prečo k tomu dochádza je príliš komplexná problematika, ktorá nie je predmetom tohto článku, preto ju popisovať nebudeme.
Je však dôležité poznamenať, že k týmto bezpečnostným incidentom dochádza pomerne často a nevyvarovali sa im veľké spoločnosti a stránky ako Yahoo, Adobe, Sony alebo služba cloudového úložiska Dropbox. Z lokálnych spoločností je tiež možno spomenúť internetového predajcu MALL ktorému unikli údaje o 735 tisíckach zákazníkov vrátane mien, adries a hesiel.
Užitočnou možnosťou ako zistiť, či sa aj váš účet alebo heslo nachádza medzi tými, ktoré unikli, je stránka haveibeenpwned.com.
Obsahuje zoznam viac ako 5 miliónov prelomených hesiel a môžete na nej vyhľadávať podľa e-mailovej adresy alebo hesla.
Ak svoj účet alebo heslo na tejto stránke nájdete, odporúčame jeho okamžitú zmenu na všetkých službách, kde ho používate.

Nástroje ITcity

Ak vás tento článok presvedčil, aby ste to s bezpečnosťou hesla začali myslieť vážne, splnil svoj účel. V tom prípade sme presne pre vás na našej stránke pripravili dva nástroje, ktoré vám pomôžu.
Prvým je overovač hesla, ktorý nájdete na adrese: www.itcity.sk/heslo/overenie.
Stačí ak zadáte svoje heslo a stránka automaticky zhodnotí jeho silu. Ak heslo trpí nedostatkami, dostanete odporúčanie, ako ho vylepšiť.
Druhý nástroj, ktorý pre vás máme je generátor hesiel, ktorý pre vás vytvorí jedno alebo viacero náhodných hesiel na základe vášho výberu. Možné je taktiež heslo vygenerovať na základe kľúčových slov, ktoré si vyberiete. Veríme, že práve táto možnosť vám pomôže si heslo ľahšie zapamätať.
Generátor hesiel nájdete na adrese: www.itcity.sk/heslo.