Heslá sú vašou prvou obrannou líniou, ktoré chránia vaše údaje. Až 80% hackerských útokov je spôsobených kvôli slabým, alebo ukradnutým heslám. Ako zistiť, či nie je vaše heslo pre vás tiež nebezpečné?
Ak využívate internet posledných pár rokov (nákupy v e-shopoch, e-mailové schránky, sociálne siete a pod.), je vysoká pravdepodobnosť, že hackeri aspoň jedno vaše heslo poznajú. Ak navyše používate jedno, alebo dve heslá, stále dokola pri všetkých registráciách, je to oprávnený dôvod na paniku.
Ako prebiehajú najčastejšie útoky na heslá
Zaregistrujete sa na nejakej stránke, napríklad v e-shope. Pre registráciu použijete vašu e-mailovú adresu a heslo. Neskôr po vašom nákupe hackeri prelomia zabezpečenie e-shopu a ukradnú všetky užívateľské heslá.
Pokiaľ je zabezpečenie e-shopu naozaj slabé, heslá sú uložené v otvorenej forme. V lepšom prípade boli v databáze e-shopu uložené iba hodnoty nazývané hash. Tie sa vypočítajú z hesla pomocou jednosmernej kryptografickej funkcie. Heslá sa potom nedajú spätne vypočítať. Hackeri však disponujú obrovskými databázami hesiel a ich hash hodnôt. Ukradnuté záznamy vedia potom porovnať voči svojim databázam. Nezískajú tak úplne všetky heslá, ale niektoré sa im takto získať podarí.
Takéto útoky sa netýkajú len malých eshopov so zlým zabezpečením. V posledných rokoch sa podobné úniky užívateľských hesiel týkali aj spoločností a služieb ako Adobe, eBay, Facebook, LinkedIn, Twitter, Yahoo, Zoom a ďalších.
Existuje dokonca niekoľko projektov, kde si môžete overiť, či niektoré z vašich hesiel bolo súčasťou takýchto únikov. Vyskúšajte si to napríklad na stránke haveibeenpwned.com, kde stačí zadať e-mailovú adresu, ktorú zvyknete používať pri registráciach.
Ako chrániť svoje heslá
Voči podobným únikom hesiel sa nemáte ako brániť. Neviete ovplyvniť, akým spôsobom chráni vaše heslo prevádzkovateľ služby. Viete však ovplyvniť to, aké bezpečné heslá budete používať a akým spôsobom ich budete používať.
Štúdie uvádzajú, že ľudia priemerne používajú 70 až 100 hesiel. Takýto počet hesiel si priemerný človek nedokáže zapamätať, najmä keď každé heslo by malo byť unikátne a dostatočne bezpečné.
V e-shopoch, kde nakupujete bežný tovar a pri mnohých ďalších internetových službách, v ktorých nemáte uložené žiadne citlivé alebo platobné údaje, vám bude stačiť aj menej silné heslo, ktoré môžete použiť aj opakovane.
Silné heslá
Kde ich najviac potrebujeme:
- aplikácie, ktoré šifrujú vaše najcitlivejšie dáta a komunikáciu
- internet banking
- prístup do pracovného počítača
- emailová schránka
- správca hesiel
- prípadne sociálne siete
Pre všetky silné heslá by mali platiť tri najdôležitejšie zásady:
- Každé z týchto hesiel by malo byť unikátne.
- Každé z týchto hesiel by malo byť dostatočne silné (aspoň 12 znakov dlhé a dostatočne náhodné).
- Ideálne je tieto heslá si pamätať. Ak ich potrebujete mať niekde uložené, tak iba na dostatočne bezpečnom mieste.
Aplikácie na správu hesiel
Správca hesiel je aplikácia, ktorá vie uchovávať vaše heslá, aby ste si ich nemuseli pamätať alebo zapisovať na lístočky. Môžete do neho ukladať všetky menej dôležité heslá. Lepší správca vám vie aj vygenerovať nové heslo. Pre nové registrácie tak môžete používať vždy iné heslo, a tým môžete zvýšiť vašu bezpečnosť aj pre menej dôležité služby.
Používanie správcu hesiel je praktické, ale je to ako stávka na jedného koňa. Ak útočník prelomí zabezpečenie správcu hesiel, získa všetky vaše heslá. Alebo keď zabudnete prístupové heslo do správcu hesiel, prídete o všetky heslá v ňom uložené.
Ak chcete správcu hesiel na dôležitejšie heslá, prípadne na PIN kódy od platobných kariet, vyberte si na to overenú aplikáciu, ktorej môžete dôverovať.
Najčastejšie chyby
V zmysle hesla, že najlepšie sa učí na cudzích chybách vám prinášame najčastejšie chyby, ktoré užívatelia robia pri vytváraní a používaní hesiel.
Príliš krátke heslá
Ak má vaše heslo menej ako 10 znakov, radšej ho zmeňte a použite ideálne 12 a viac znakov.
Problém krátkych hesiel ilustruje nasledovná tabuľka. Vaše heslo môže byť ľubovoľne náhodné, ale ak je príliš krátke, čas na jeho prelomenie priemerným domácim počítačom je niekoľko hodín, v lepšom prípade niekoľko dní.
Počet znakov náhodného hesla | Príklad hesla | Odhadovaný čas na prelomenie hesla |
6 | P6kesU | 3 hodiny |
8 | 9p8DSaFZ | 12 dní |
10 | W9hT28rzua | 4 roky |
12 | JpSeSQn7wLec | 4 storočia |
Samozrejme, ide len o ilustračný príklad. Jednotlivé internetové služby a aplikácie poskytujú rôzne bezpečnostné mechanizmy, aby útočník nemohol opakovane skúšať uhádnuť vaše heslo. Na druhej strane, útočník použije lepšie vybavenie, ako priemerný domáci počítač.
Príliš komplikované heslá
Pravdepodobne ste sa stretli s radou, že vaše heslo by malo obsahovať aj špeciálne znaky (napr. @, #, $, %). Pravdou je, že špeciálne znaky spravia vaše heslo silnejším, ale zároveň aj náročnejším na zadávanie. Hlavne, ak heslo zadávate na mobile.
Lepšou voľbou je použiť heslo, ktoré bude obsahovať iba základné znaky (napríklad písmená a čísla), ale zároveň bude o niekoľko znakov dlhšie. Takéto heslo zadáte nielen rýchlejšie, ale bude aj bezpečnejšie (lebo dlhšie heslá sú bezpečnejšie).
Používanie osobných údajov
Vaše osobné údaje sú dobre známe veľkému okruhu ľudí – napr. vaše meno, meno vášho partnera, mená vašich detí, rodičov, …
Množstvo ďalších údajov je ľahko dostupných v rôznych registroch (obchodný register, kataster, …) a na sociálnych sieťach – napr. vaša adresa, dátum narodenia, obľúbené činnosti, značka vášho auta, …
Šikovný útočník môže všetky tieto údaje a ich kombinácie použiť. Preto ich vo vašich heslách radšej nepoužívajte.
Nahradzovanie znakov
Často sa stretnete s odporúčaniami, že v hesle je vhodné nahradzovať písmená za podobne vyzerajúce čísla, napríklad písmeno „a“ nahradiť „@“, „i“ za „1“ alebo „!“, „s“ za „5“ alebo „$“. Namiesto slova „password“ vám tak vznikne „p@55w0rd“, čo vyzerá ako dostatočne náhodné heslo.
Opak je však pravdou. Tieto zámeny sú natoľko rozšírené, že každý útočník s nimi počíta a bude ich automaticky skúšať. Bude to pre neho znamenať síce viac pokusov, ale efekt na bezpečnosť vášho hesla to má len minimálny.
Vyžadovaná politika hesiel
Najčastejšie požiadavky na heslo vyzerajú tak, že vyžadujú určitú minimálnu dĺžku hesla a použitie aspoň jedného veľkého písmena a jedného čísla, prípadne špeciálneho znaku.
V takomto prípade však väčšina používateľov použije veľké písmeno na začiatku a číslo na konci. Takže heslá potom vyzerajú napríklad takto „Password1“, „Password#“ a pod.
Požiadavky na heslo ovplyvniť neviete. Ale viete si aspoň zvoliť heslo, ktoré nebude presne podľa uvedeného vzoru.
Používanie biometrie
Biometria je tiež jednou z pomôcok, ktoré vedia spraviť používanie hesiel bezpečnejšie, ale zároveň aj problémovejšie. Najčastejšie sa s ňou stretneme v mobiloch, kde namiesto zadávania hesla stačí použiť odtlačok prsta alebo rozpoznanie tváre (Face ID).
|
Pri používaní biometrie si môžete vytvárať oveľa dlhšie a bezpečnejšie heslá a nebudete sa zdržiavať pri ich zadávaní na klávesnici. Na druhej strane, heslá si najlepšie zapamätáte, ak ich často aj zadávate. Používaním biometrie teda budete vaše heslá rýchlejšie zabúdať.
Ilustračný obrázok: Andrea Piacquadio/Pexels.com