Teď si představte, že na vaší židli sedí člověk, jenž by se např. mohl začít prohrabávat v soukromých e-mailech, kde by při troše štěstí našel citlivé osobní údaje. Chcete to riskovat? Když už někdo zná přihlašovací kombinaci k e-mailu, nezřídka si tím automaticky otevírá dveře do dalších služeb. Používání stejných přihlašovacích údajů totiž patří k běžné praxi.
1. Tvorba silného hesla
Právě těmto praktikám byste se měli vyhnout, pokud si chcete zajistit bezpečí. Protože heslo na výjimky je jedinou bariérou, která chrání přístup k účtu v libovolné službě, ujistěte se, že používáte dobré heslo. Většina webů a služeb vás tak bude nutit v hesle použít:
- velká a malá písmena,
- čísla,
- jiné znaky, např. procenta, vykřičník, otazník apod.
Pokud ale máte možnost vytvořit heslo libovolné, postupujte jinak. Náročnost na rozluštění hesla totiž výrazně roste i s jeho délkou. Každý znak navíc významně ztěžuje šanci na prolomení. Proto dnes někteří odborníci prosazují spíše tvorbu hesel následujícím způsobem. Vzpomeňte si na úryvek z oblíbené písničky nebo básně.
Příklad, oblíbená dětská písnička Běžela ovečka hore do kopečka. Následně slova vyextrahujte a změňte tak, aby nebyla v přesném znění písně: Třeba běh, ovce, nahoru, kopec. Vznikne vám osmnáctiznakové heslo „behovcenahorukopec,“ které je pro počítač díky své délce nemožné rozluštit slovníkovou metodou, vy si jej ale díky vlastnoručně vyrobené mnemotechnické pomůcce zapamatujete okamžitě a navždy.
Generované heslo by se mělo skládat z písmen, čísel a dalších znaků
Člověk si ovšem nemůže pamatovat úplně vše. Pokud se nehodláte spoléhat na nějakého správce, který vaší paměti ulehčí, rozmyslete si, které účty stojí za to chránit složitými a dlouhými hesly. V mnoha případech si dobrá hesla zapamatováváme zbytečně.
Výzkumníci z Microsoftu v minulém roce přišli na to, že jednoduchá hesla jsou také nezbytná. Lépe si totiž zapamatujeme složité kombinace k opravdu důležitým účtům, když u ostatních účtů použijeme slabé heslo. Pokud víte, že v případě odcizení účtu nic moc nehrozí, nenamáhejte se s vymýšlením silných kombinací.
2. Časté chyby
Při tvorbě hesla zapomeňte na jména rodinných příslušníků nebo na data narození. Podobné údaje sice nemusí odhadnout útočník žijící v úplně jiné zemi, ale kdyby si vás jako oběť někdo vyhlédl, byli byste snadným cílem. Nepožívejte ani normální slova.
Pokud jako heslo zvolíte třeba výraz „silnice“, případný útočník ho během několika okamžiků rozlouskne použitím tzv. slovníkové metody. V heslech se též vyhněte používání názvů daných služeb, ať už v kombinaci s jednoduchou číselnou řadou nebo bez ní. Např. „facebook123“ váš účet na největší sociální síti světa neochrání vůbec dobře. Výjimku tvoří výše zmíněný písničkový trik, jeho podstatou je ale délka (alespoň 14 znaků) a spojení nesouvisejících slov.
Databáze obsahuje řadu hesel, proto ji v musíte maximálně zabezpečit
Ani kombinace prvních několika kláves na klávesnici není dobrý nápad. Použití „qwertz“ není vůbec vychytralé, právě naopak, tato hesla útočníkům podléhají jako první. Příklad si neberte z hesel, která najdete na konci článku poblíž. Určitě nepoužívejte stejnou kombinaci k více účtům.
3. Generátory
Nevíte, jaké heslo zvolit? Vaše dilema rozsekne generátor hesel. Použití generátoru navíc omezí pravděpodobnost, že vytvoříte povědomou, tedy osobní a snáze odhadnutelnou kombinaci. Na webu nástrojů najdete dostatek. Žádáte-li vyloženě službu, která komunikuje česky, zkuste do prohlížeče zadat třeba www.generator-hesel.cz.
Pokud žádáte důvěryhodnou autoritu a nevadí vám angličtina, zkuste webový generátor od Symantecu, jenž odpočívá na adrese identitysafe.norton.com/password-generator. V generátoru nastavte ideálně aspoň 15 znaků (Password Length). Doporučujeme, abyste označili všechna pole pro co největší záběr použitých znaků. Klepněte na Generate Password a výsledek hned uvidíte.
Nedůvěřujte každé takové online službě. Nikdy totiž nevíte, kdy se vygenerované heslo zapíše do nějaké databáze nebo ho během přenosu z vašeho počítače na vzdálený server někdo odchytí. Pro zvýšení důvěryhodnosti služba passwordsgenerator.net obsahuje předvolbu, která vynucuje generování na straně klienta, čili ve vašem počítači.
Chrome už vám uložená hesla neukáže po pouhém klepnutí
4. Správce hesel
Pro zapamatování náhodných sekvencí můžete využít mnemotechnické pomůcky. Ovšem, že znaky jako procenta a otazníky tuto metodu znevýhodňují oproti čisté sekvenci písmen. Pro tyto potřeby vznikli správci hesel, kteří pojmou všechny vaše přihlašovací údaje, abyste si je nemuseli pamatovat.
Na Cnews jsme vás v minulosti určitě seznámili s nástrojem KeePass. Jedná se o bezplatný produkt podporující širokou škálu platforem. Kdybyste měli pochybnosti o důvěryhodnosti online generátorů hesel, tak k vytváření klidně použijte tento nástroj. K organizaci hesel využijete řazení do kategorií. KeePass můžete nosit všude s sebou na flash disku.
Místo hesla můžete při přihlášení k Windows zadávat krátký PIN
Ke svým heslům se dostanete až po zadání hlavního hesla. Mějte na paměti, že řetěz je tak silný jako jeho nejslabší článek. I proto vedle hesla můžete otevření databáze podmínit připojením konkrétního souboru, jenž poslouží jako klíč. Nebo program spárujte s účtem ve Windows.
RoboForm je další správce, tentokráte ale komerční. Licence stojí za pozornost, pokud dbáte na bezpečnost, avšak také vyžadujete pohodlí. Nástroj totiž doplní na webu patřičné údaje, a to jak přihlašovací, tak jiné do formulářů. Podobně uloží heslo do chráněné databáze, když se přihlásíte k nějaké službě.
5. Dvoufázové ověření
Teď už máme vytvořená silná hesla a snad i uložená v centrální databázi. Co dál? Některé služby poskytují pro přihlášení volitelný doplněk v podobě dvoufázového ověření. Účet spojíte se svým telefonním číslem, na které vám budou chodit krátké číselné kódy. Případně je generuje aplikace, kterou s účtem rovněž můžete spárovat.
I kdyby útočník odhalil správné heslo, bez vašeho telefonu se tak k účtu stejně nedostane. Dvoufázové ověření proto důrazně doporučujeme zapnout všude, kde to jde. Poskytují ho např. účty Microsoft, Google nebo služby Dropbox či Facebook.
Roboform zaznamená přihlašovací údaje a naopak je všude doplní
6. Zásady bezpečného chování
Obecně lze říct, že nejbezpečnější místo pro ukládání hesel je vaše paměť. Druhou otázkou zůstává spolehlivost. Jak jsme naznačili, je dnes skoro nemožné si všechny ty složité kombinace znaků pamatovat. Používání důvěryhodného správce za správných podmínek je možná skoro nezbytné.
Hesla si běžně pamatují také prohlížeče. Málokdo se nechá připravit o komfort v podobě doplnění údajů do správných polí. Místo opisování pak pouze klepnete na tlačítko Přihlásit. Prohlížeče se obvykle ptají, přičemž uložení byste měli odmítnout minimálně u nejkritičtějších služeb. Patří k nim hlavně internetové bankovnictví.
Přes nepohodlnost byste měli přihlašovací údaje k bankovnictví vždy poctivě vyplnit ručně. Uložená hesla v prohlížeči mohou být problém, pokud má někdo další fyzický přístup k vašemu počítači. (Ještě jednodušší je vytáhnout poznámkový blok ze šuplíku.) Podobně např. nikam neukládejte informace týkající se vaší platební karty.
Rozloučit byste se měli s uživatelským účtem, který žádné heslo nechrání. Moderní Windows poskytují alternativy k zadávání tradičních hesel, takže přihlašování nemusí být taková osina v zadku. Můžete dodržovat řadu procedur, ovšem jen porušením jedné z nich celou bezpečnost ohrozíte – např. nezabezpečený uživatelský účet ve Windows otevírá dveře potenciálním trablům.
Jak dlouho by vaše heslo odolalo při pokusu o rozluštění?
Stanovte si pravidla a ta dodržujte. Silná hesla mohou být k ničemu, pokud si kdokoli může sednout k nechráněnému počítači a zobrazit uložená hesla v prohlížečích. Obvykle stačí párkrát klepnout a místo hvězd vidíte jak uživatelské jméno, tak heslo ke službě.
Právě prohlížeče nepatří k nejbezpečnějším místům, kam ukládat hesla, i když se zlepšily. Lepší je využít specializovaná řešení jako výše uvedený Roboform. Správce hesel i s doplňováním do prohlížečů mají často komplexní bezpečnostní balíky, případně jsou příslušné nástroje nabízeny samostatně.
Tip: Ověření síly hesla
Jak silné heslo používáte? To si snadno ověříte. Otevřete webový prohlížeč a přejděte na adresu howsecureismypassword.net. Autor slibuje, že se data neposílají na internet, kalkulace probíhá lokálně. Dozvíte se tedy, za jak dlouho by běžný počítač vaše heslo prolomil. Pro zajímavost, rozluštění našeho ukázkového hesla (behovcenahorukopec) by podle tohoto webu trvalo 233 milionů let.
Ale pozor, útočníci mohou mít počítačové farmy a specializovaný software, jenž postupuje rychleji než běžný kancelářský stroj. Služba vám případně dá pár doporučení, např. že byste vedle písmen a čísel měli používat také další znaky.
Nejhorší hesla
Firma SplashData každoročně sestavuje žebříček 25 nejpoužívanějších hesel. Jedná o samé špatné kombinace, z nichž si příklad určitě neberte. Následující seznam slouží jako odstrašující příklad. Nejpoužívanější hesla v roce 2013 byla:
1. 123456
2. password
3. 12345678
4. qwerty
5. abc123
6. 123456789
7. 111111
8. 1234567
9. iloveyou
10. adobe123
11. 123123
12. admin
13. 1234567890
14. letmein
15. photoshop
16. 1234
17. monkey
18. shadow
19. sunshine
20. 12345
21. password1
22. princess
23. azerty
24. trustno1
25. 000000