Zásady pro bezpečné nakládání s hesly

5. února 2019

Dodržujete zásady pro vytvoření dostatečně silného hesla k vašemu účtu? Obezřetnosti není nikdy dost, a přitom ani bezpečné heslo vám někdy nedokáže účet ochránit. Internet je plný hackerských útoků – a to jak přímo na uživatele, tak i na jednotlivé služby.

Jak útočník získá vaše heslo?

Než se dostaneme k samotným zásadám, bylo by dobré zmínit, jak se vlastně může útočník k vašim heslům dostat? Útočník může vaše přihlašovací údaje získat a prolomit různými způsoby, mezi ty nejčastější patří tyto 4:

Útok hrubou silou

Je to nejprimitivnější způsob útoku, kdy útočník zkouší všechny možné kombinace od těch nejkratších k těm delším. To je samozřejmě náročné na čas. V případě, že je heslo možné zvolit z 96 znaků (všechny tisknutelné znaky ASCII tabulky), existuje v případě hesla o délce 8 znaků hned 968 (což je 7 biliard) různých kombinací.

V případě, že máte heslo o délce 12 znaků a minimální délka hesla je 8 znaků, musí útočník vyzkoušet nejdříve všechny hesla o osmi znacích, poté všechny o devíti, desíti… a potrvá to déle než se dostane k tomu vašemu, které má 12 znaků. Útočník musí vyzkoušet až 968 + 969 + 9610 + 9611 + 9612 různých kombinací (vice než 619 triliard).

Počítače jsou hodně rychlé a každým rokem se zrychlují, nicméně zatím nejsou dost rychlé, aby všechny kombinace prošly během lidského života. V roce 2019 by nejrychlejší počítač dokázal vyzkoušet 16 milionů hesel za sekundu, takže vyzkoušet všechny kombinace by mu trvalo 1,2 miliardy let.

Pro srovnání, nejrychlejší počítač v roce 1982 dokázal vyzkoušet 8,3 tisíce hesel za sekundu, takže jemu by trvalo vyzkoušet všechny tyto kombinace 2,365 bilionu let (což 170krát více než je stáří vesmíru).

Slovníkový útok

Slovníkový útok je vylepšená varianta útok hrubou silou. Také zkoušíte velké množství různých kombinací – útočník má totiž k dispozici databázi častých hesel (kterou získal již dříve) a tu postupně zkouší.

Oproti útoku hrubou silou je zde výhoda, že jde o databázi hesel, která někdo v minulosti reálně použil (619 triliard výše zmíněných kombinací je tak obrovské číslo, že je prakticky jisté, že část z nich nikdy nikdo jako heslo nepoužil a je tak zbytečné je kontrolovat). Proto je možné, že stejné heslo nevědomky používá i někdo jiný. Z čehož vyplývá i výhoda, že je tato databáze mnohem menší a její zpracování tak trvá mnohem kratší čas.

Internetová databáze haveibeenpwned.com shromažďuje uniklá hesla z předchozích známých útoků (ta dali hackeři volně na internet, odkud je mohou získat jiní hackeři a odkud je získala tato stránka) a obsahuje 551 509 767 reálně použitých hesel. Nejrychlejší počítač by tato hesla dokázal vyzkoušet (a najít v nich to vaše) za pouhých 34 sekund (pro srovnání – nejrychlejší počítač roku 1982 by si s tím lámal hlavu 18 hodin)

Phishing

Jedná se o útok, kdy se neprolamuje přímo heslo, ale útočník se snaží získat vaše přihlašovací údaje nějakým podvodem, například podvodnou přihlašovací stránkou. Útočník nic neprolamuje, ale přihlašovací údaje mu přímo sami sdělíte.

Útok přímo na konkrétní službu

Můžete mít sebesložitější heslo, ale jakmile podcení bezpečnost samotná poskytovatel služby, kam se s vaším heslem přihlašujete, může být prolomeno i bezpečné heslo. V minulosti tak byly prolomeny hesla uživatelů takových služeb jako je třeba LinkedIn, MySpace nebo Adobe. Útočník se dokázal prolomit do jejich interních systémů a stáhl z nich stovky milionů přihlašovacích údajů (e-mailových adres a hesel) jejich uživatelů. Ty pak může útočník použít i jako databázi pro slovníkový útok na jinou databázi.

11 bezpečnostních zásad

#1 Nepoužívejte stejné heslo pro všechny účty

Tohle je asi nejčastější chyba, které se můžete dopustit. Z lenosti uživatelé používají jedno heslo pro různé účty na různých službách. A jakmile dojde k prolomení nebo úniku hesel u jedné služby, útočník má zároveň přístup do všech vašich ostatních účtů. Tohoto pravidla je dobré se držet zejména u internetového bankovnictví a e-mailu.

#2 Vyhněte se používání krátkých a slabých hesel

Krátká, snadno odhadnutelná, ale i příliš složitá hesla jsou ve finále slabá hesla. Krátké heslo je snadno rychle prolomitelné hrubou silou, snadno odhadnutelné heslo typu „heslo1234“ je v každé databázi pro slovníkový útok, jména vašich dětí zase vyzkouší útočník, který vás zná.

Příliš složité heslo si pro změnu nezapamatujete, takže si jej někam napíšete a útočníkovi vše zjednodušíte. Zapomeňte na rady, že heslo by mělo mít alespoň 8 znaků a mělo by obsahovat malá a velká písmena, číslice a speciální znaky. Tyto rady jsou překonané.

Jako heslo si zvolte něco dlouhého, ale zároveň snadno zapamatovatelného. Třeba si vezměte oblíbenou knížku (nemusí být oblíbená, může to být kniha, která zrovna leží nejblíže, nebo jiný náhodný výběr), otevřete ji na náhodné straně a jako heslo si zvolte první větu pod prvním nadpisem na stránce.

Já si například vzal knihu Web copywriting pro samouky, otevřel jsem ji na straně 131 a jako heslo si vybral „Aktuální obsah je motorem návštěvnosti vašeho webu.“ To heslo má délku 51 znaků, je jistota, že není v žádné databází pro slovníkový útok, je jednoduše zapamatovatelné a chrání vás lépe než náhodná změť písmen a číslic. Prolomit takové heslo by trvalo biliony let.

#3 Používejte správce hesel

Zapamatovat si velké množství odlišných hesel může být problém i při použití metody s knihou. K dispozici je hned několik dobrých služeb, doporučit můžeme třeba on-line služby LastPass nebo 1Passwords, které jsou je k dispozici jako doplněk do prohlížeče a uložená hesla šifrují. Pokud nevěříte on-line aplikacím, můžete využít aplikaci KeePass a hesla mít uložená třeba na flashdisku, který budete nosit všude s sebou.

Tyto aplikace také obsahují generátor náhodných řetězců, čímž vytvoří silné heslo za vás. Tím, že si bude aplikace hesla pamatovat za vás, je možné tento nástroj doporučit. Rizikem samozřejmě je, že pokud zapomenete heslo k hlavní aplikaci (nebo ztratíte flashdisk s hesly), tak ztratíte i uložená hesla.

#4 Nepoužívejte veřejné počítače

Nikdy nevíte, co je na takovém počítači nainstalováno za software – zda neobsahují například nějaký keylogger, což je aplikace, která ukládá všechny údaje, které na něm napíšete. Útočník pak vaše heslo zjistí přímo z této aplikace. Veřejným počítačům proto nikdy nedůvěřujte. Musíte-li se už z takového počítače přihlásit, tak se nezapomeňte odhlásit a smazat historii prohlížeče (pokud použijete anonymní režim prohlížeče, tak tuto práci udělá za vás). A heslo si poté pro jistotu změňte.

#5 Používejte zdravý rozum

Zdravý rozum je nejspolehlivější obranou proti phishingu. Přistupujte podezřívavě ke každé výzvě k zadání uživatelských údajů a pokud vám stránka bude připadat jen trochu podezřele, tak se nepřihlašujte.

#6 Udržujte počítač v dobré kondici

Zavirovaný počítače může usnadnit odchycení hesla – škodlivý software může plnit roli keyloggeru a odesílat všechny zaznamenané přihlašovací údaje útočníkovi nebo vás může přesměrovat na podvodnou stránku. Možností je mnoho, proto nikdy neinstalujte žádný software z pochybných zdrojů a udržujte váš systém i antivirus stále aktuální.

#7 Používejte https://

Pokud služba nabízí možnost připojení pomocí https:// (což dnes nabízí již hodně stránek), vždy jej využijte. Přenos veškerých dat (a tedy i přihlašovacích údajů) je zašifrovaný, útočník tedy nemůže vaše data odposlechnout (a zjistit) někde na cestě mezi vaší uživatelskou stanicí a serverem. Pokud se přihlašujete přes http://, tak to možné je.

Stejně tak vás to chrání přes phishingem, protože útočník nemůže změnit data někde po cestě. Samozřejmě je stále dobré používat zdravý rozum (pravidlo číslo 5!), protokol https:// není ochranou před phishingem sám o sobě, data chrání pouze před pozměněním, ale samotná indikace protokolu https:// není zárukou ochrany proti phishingu. Certifikát potřebný pro protokol https:// si může pořídit kdokoliv.

#8 Používejte dvoufázové ověření

Vždy, když to jde, používejte dvoufázové ověření. Výrazně tím snížíte šanci, že se k vašim datům dostane někdo neoprávněný. Dvoufázové ověření vás totiž ochrání i v případě, když se útočníkům podaří získat vaše heslo.

Dvoufázové ověření funguje tak, že v případě úspěšného zadání jména a hesla vám přijde požadavek na schválení přihlášení. Tím může být třeba smska na váš mobil, nebo nutnost schválit přihlášení v mobilní aplikaci.

Ani dvoufázové ověření není stoprocentní ochranou, nicméně útočník by kromě zjištění vašich přihlašovacích údajů musel získat navíc i váš mobilní telefon (nebo jiné zařízení, které k dvoufázovému ověření používáte).

#9 Používejte hardwarový klíč

Hardwarový klíč standardu U2F je vyšší formou předchozího dvoufázového ověření. Jedná se o speciální USB (nebo NFC) zařízení, které musí být pro přihlášení připojeno k zařízení, kde se snažíte přihlásit.

Oproti klasickému dvoufázovému ověření poskytuje vyšší formu zabezpečení v tom smyslu, že hardwarový klíč nelze ani zduplikovat ani hacknout (mobilní telefon pro dvoufázové ověření hacknout lze a útočník pak může odposlouchávat třeba vaše SMS zprávy).

Hardwarový klíč standardu U2F je možné využít v prohlížečích Chrome, Opera. Firefox a Edge. Dále jej podporuje Google a Facebook, Microsoft na jeho podpoře pracuje.

#10 Pravidelně kontrolujte, zda nedošlo k úniku hesla

Své heslo si můžete zkontrolovat na stránce haveibeenpwned.com. Ta shromažďuje známá uniklá hesla (a příslušné e-maily) a můžete si tam jednoduše zkontrolovat, zda vaše heslo nebo e-mail není mezi nimi.

Nemusíte se bát, že stránka zjistí vaše heslo – ověření probíhá ve vašem počítači, při kontrole si totiž aplikace stáhne databázi uniklých hesel a proti nim zkontroluje vaše heslo, se kterým navíc pracuje pouze v zašifrované podobě. V případě zadání e-mailu vám služba vrátí seznam služeb, u kterých byly vaše přihlašovací údaje prolomeny.

#11 Zapomeňte na bezpečnostní otázky

Zapomenuté heslo, které může být obnovitelné pomocí bezpečnostních otázek, je bezpečnostní díra. Odpovědi na bezpečnostní otázky totiž nemusí být nikterak složité a může být jednoduché je odhadnout.  Bezpečnostním otázkám se proto vyhněte a pokud je služba vyžaduje, tak ji ideálně vůbec nepoužívejte. Taková služba s největší pravděpodobností bude mít podobných bezpečnostních děr více.

Matěj Čičák

Markeťák, ajťák a technologický novinář. Snažím se sbírat zkušenosti napříč projekty a obory, abych získal širší přehled, který můžu zúročit v dalších výzvách. Řadu let jsou mým největším koníčkem moderních technologie a vlastně cokoliv kolem IT. Moje další články naleznete na <a href="https://www.matejcicak.cz">www.matejcicak.cz</a>

Mohlo by vás také zajímat

Nejnovější

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *