Premium

Získejte všechny články
jen za 89 Kč/měsíc

Složitá hesla byla 0my1, lituje autor návrhu. Časté změny spíše škodí

  14:00aktualizováno  17:32
Hesla hrají v počítačové bezpečnosti nezastupitelnou úlohu. Bohužel si řada lidí volí složité a těžko zapamatovatelné řetězce typu p0L3dn!ce. Jeden z autorů původních doporučení, William Burr, uznává, že šlo o chybu. Nově byste místo hesla plného čísel a písmen měli zvolit raději větší množství náhodně vybraných slov.
Jak si zapamatovat heslo?

Jak si zapamatovat heslo? | foto: Profimedia.cz

Komunikace přes síť se neobejde bez autentizace. Nejčastějším způsobem, jak potvrdit svou identitu, je zadání jména a hesla. Jak si takové heslo zvolit, to obvykle software nebo služba nechá na uživateli. Jenže to vede k tragickým výsledkům: lidé si příliš často zvolí primitivní, a tedy i snadno uhodnutelné heslo typu 12345, heslo123 nebo aaaaaa.

Programátoři proto většinou uvalí na uživatele nějaké omezení. Nejčastěji je to nějaká kombinace těchto pravidel:

  • délka hesla alespoň osm znaků
  • heslo musí obsahovat alespoň jedno velké písmeno, jedno malé písmeno, alespoň jednu číslici a alespoň jeden „speciální znak“
  • heslo nesmí obsahovat „populární slovo“ nebo uživatelské jméno
  • heslo je potřeba pravidelně měnit

Jak zvolit silné heslo?

„Heslo“ stále patří mezi nejčastější hesla

Tyto podmínky byly součástí doporučení amerického Národního institutu standardů a technologie (NIST) z roku 2004. Právě tento dokument pomohl k tomu, aby se „prototypem správného hesla“ staly příklady ve stylu sUp3r.man nebo JarM!1ka.

Jedním z autorů byl tehdejší manažer William Burr, který je již v důchodu. Dvaasedmdesátiletý Burr po letech pro The Wall Street Journal popsal, jak tehdy s kolegy došel k radám, které formovaly pravidla v USA i po celém světě v následujících deseti letech. Podle něj existovalo málo dat ohledně volby hesel a Burr spolu s kolegy občas vycházeli z dokumentů z osmdesátých let 20. století. Přesto dělali, co bylo v jejich silách. „Výsledkem ale bylo, že jsme napsali dokument příliš složitě a řada lidí jej nepochopila. Poučovali jsme na nesprávném místě,“ uznává sebekriticky Burr.

Jak ukázala praxe, doporučení NIST byla v lecčems kontraproduktivní. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si Burr. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé jsou línější, než odborníci čekali

Teoreticky dávají samozřejmě klasická pravidla určující složitost (komplexnost) hesla smysl. Vycházejí z principu informační teorie zvaného entropie: ne každý znak hesla vnáší stejnou míru náhody a nejistoty. Pokud by například útočník věděl, že jste si zvolili heslo, které začíná písmeny „Pracha...“, nebude na prolomení posledních tří písmen hesla potřebovat mnoho pokusů, protože počet slov je značně omezený. Právě slovníkové útoky (kdy útočník strojově zkouší různá slova ze slovníku či databáze) vedly Burra a jeho kolegy k vynucení oněch speciálních znaků, čísel, velkých/malých písmen a časté obměny hesla.

Jenže lidé si obvykle musejí pamatovat více hesel, nejenom jedno, a pokud mají v hlavě žonglovat několik hesel zároveň, přijdou s různými nápady, jak si tvorbu složitého hesla zjednodušit. Číslem nahradí nějaké písmeno, které se tomuto číslu podobá (trojka vypadá jako E, jednička jako velké i nebo malé L, nula jako óčko apod.).

Nebo si vyberou jedno heslo a doplní jej o název služby, do které se právě přihlašují (PrachaticeIdnes, PrachaticeAmazon, PrachaticeGoogle...). V případě, že jde o vynucenou změnu hesla, jsou pak populární různá číselná rozšíření.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov

A protože jsou tyto nápady celkem univerzální, výsledkem je jejich předvídatelnost. Jak si všiml kreslíř komiksů Randal Munroe: „Za posledních dvacet let se nám podařilo vytrénovat všechny k tvorbě hesel, která jsou složitá na zapamatování, ale přitom jsou počítačem snadno prolomitelná.“

Namísto toho Munroe doporučuje kombinaci více krátkých, ale zato naprosto náhodně zvolených slov. Jako příklad uvádí heslo correct horse battery staple (správně kůň baterie svorka), což je podle něj heslo s vyšší entropií, ačkoli neobsahuje žádná čísla nebo speciální znaky. Navíc je pro lidi snadno představitelné a tedy i zapamatovatelné, zatímco pro počítač složité na uhádnutí, a to i při použití slovníkového útoku.

Co je nejdůležitější, když vybíráte heslo?

Silné heslo se nepozná podle počtu čísel nebo speciálníc znaků. Důležité je, aby bylo unikátní, dostatečně dlouhé a nešlo uhodnout

Teoreticky je nejlepší mít jako heslo dlouhý nesmyslný a náhodný řetězec znaků. Pro každou službu má mít uživatel unikátní heslo, které si uživatel nikam nezapisuje a pouze si jej pamatuje. To je ovšem v praxi obvykle nemožné. Redakce Technet.cz proto sestavila realističtější návod, jak vybírat hesla, na základě doporučení expertů, reálných zkušeností s dostupnými službami a s ohledem na schopnosti hackerů prolomit hesla.

  • Zvolte složité dlouhé heslo! Důležitá je jak délka hesla, tak jeho „náhodnost“. Příkladem dobrého a přitom zapamatovatelného hesla jsou třeba čtyři nebo pět náhodně vybraných, nesouvisejících slov: oselkytkahumoristabatoh
  • Neopakujte hesla! Každé heslo by mělo být unikátní, jinak hrozí, že pokud se útočník dostane k jednomu vašemu účtu, může se dostat k řadě dalších.
  • Silná a unikátní hesla tam, kde na tom záleží! Rozlišujte mezi důležitými a méně důležitými službami. Pokud někdo „prolomí“ vaše heslo k věrnostní kartě do drogerie, není to takové drama, jako když prolomí heslo k vašemu soukromému e-mailu. Dbejte proto na to, abyste u důležitých služeb (e-mail, sociální sítě, cokoli, co se týká peněz nebo ukládání dat...) měli nastavená silná a unikátní hesla.
  • Přihlašujte se přes zabezpečené stránky! Vždy alespoň letmým pohledem ověřte, že heslo zadáváte na stránce, která používá HTTPS (šifrované spojení mezi vaším prohlížečem a vzdáleným serverem). Znemožníte tak útočníkům odposlechnout vaše heslo po cestě (nebo jim to alespoň výrazně zkomplikujete).
  • Využijte dvoufaktorové zabezpečení! Tam, kde to služba umožňuje, nezapomeňte zapnout dvoustupňové ověření (též dvoufaktorová autentizace, dvoufázové ověření). Například Google, Facebook, Microsoft a většina poskytovatelů elektronického bankovnictví nabízí nějakou formu dodatečného ověření, ať už přes SMS (nedoporučuje se), speciální aplikaci nebo dokonce hardwarový token. Dvoufaktorové zabezpečení je sice někdy otravné, ale jde o zatím nejlepší zabezpečení proti řadě vzdálených útoků, jak cílených, tak plošných.
  • Využijte přihlášení skrze platformu, ale opatrně: některé služby umožňují přihlášení skrze platformu třetí strany (nejčastěji Google, Twitter nebo Facebook). Tím odpadá starost s výběrem uživatelského jména a hesla. Nezapomeňte ale zkontrolovat, zda tím nedáváte nějaké službě přístup k soukromým datům
LastPass 4.0
KeePass Password Safe
Aplikace 1Password má připraveny šablony pro uložení běžných typů záznamů, jako...

Správci hesel LastPass, KeePass a 1Password

Protože většina uživatelů využívá desítky nebo stovky on-line služeb, když přijde na bezpečnost hesel, každý se musí dříve či později uchýlit k nějakým kompromisům. Dělejte tyto kompromisy s rozvahou a pouze tam, kde nejsou v sázce důležitá data, soukromé údaje nebo klíčové služby.

Jedním z kompromisů, který je podle některých odborníků užitečný, je využítí tzv. správce hesel, tedy programu či služby pro bezpečné ukládání přihlašovacích údajů. Nedoporučujeme používat výchozí správce hesel v prohlížečích, jde často o velmi základní službu bez dodatečného šifrování nebo zabezpečení. Máme dobré zkušenosti se službami LastPass (on-line služba s pluginy pro prohlížeče a mobilní aplikací) a Keepass (off-line, opensource). Správce hesel se postará o ukládáná a generování hesla, stačí si pamatovat jedno hlavní heslo (master password), pomocí kterého jsou ostatní hesla šifrována. Pokud zapomenete své hlavní heslo, máte smůlu, neexistuje způsob, jak jej obnovit (kdyby existoval, šlo by o zranitelnost). Se správcem hesel tak můžete mít skutečně unikátní heslo pro každou službu. Na druhou stranu vkládáte značnou důvěru do provozovatele dané služby, a výzkumníci upozorňují, že i správci hesel mohou obsahovat bezpečnostní chyby.

Vyplatí se proto kombinovat více postupů pro zabezpečení, například silná unikátní hesla + správce hesel + dvoufaktorové ověření.

Nová pravidla počítají s lidskou psychikou

„Hodně z toho, co jsem tehdy napsal, dnes lituji,“ říká William Burr.

Na jeho místě dnes v NIST sedí Paul Grassi, který také vedl přepracování pravidel pro tvorbu hesel. Ten si nemyslí, že by na sebe měl být Burr tak přísný: „Napsal dokument, který v řadě ohledů vydržel platný deset až patnáct let. Můžu jenom doufat, aby můj dokument obstál tak dlouho.“

Grassi původně se svým týmem chtěl dokument pouze mírně aktualizovat. Konzultace s odborníky z oboru jej ovšem vedly k tomu, že nakonec začal práci úplně od základů.

Nejlepším heslem i nadále zůstává onen teoretický ideál - dlouhá změť naprosto náhodně zvolených znaků. Jenže požadovat po uživatelích, aby takováto hesla nejen vymysleli, ale ještě pak nosili v hlavě, je nerealistické.

Nová doporučení NIST z roku 2017 obsahují oproti předešlým letům řadu změn. Co se týče hesel, reagují právě na výsledky výzkumů a pozorování. V závěru sekce o heslech proto autoři zdůrazňují: „Požadavky na délku a komplexnost hesla výrazně zvyšují obtížnost jeho zapamatování a s tou roste i frustrace uživatelů. Ti se pak snaží tyto požadavky různé obcházet, což je kontraproduktivní.“

Doporučení NIST ohledně Elektronické autentizace (2017)

Pokud jste tedy programátor nebo IT administrátor, nezapomeňte nová pravidla vzít v potaz. Zvažte, zda je opravdu potřeba, aby každé heslo obsahovalo alespoň jeden speciální znak, jednu číslici. Přestaňte uživatele nutit heslo každou chvíli měnit - to jej vede jen k tomu, že volí hesla podobná, nebo si je píše na papírek, který má nalepený na monitoru.

Aktualizace: Do článku jsme doplnili doporučení ohledně bezpečnosti hesel.

  • Nejčtenější

Těšíte se? Na trh míří řada famózních televizorů, některé nás překvapily

Las Vegas (Od zpravodaje Technet.cz) Některé jsme čekali, jiné překvapily. Na veletrhu CES 2025 jsme viděli velké množství skvělých televizorů i nových televizních technologií, které míří na trh. Některé dorazí letos, na jiné si možná...

Podívejte se na zázrak. Maličká krabička má výkon jako sálový superpočítač

Las Vegas (Od zpravodaje Technet.cz) Nvidia představila na veletrhu CES maličký počítač nazvaný Project Digits. Je určený na práci s umělou inteligencí, výkonově a efektivitou násobně převyšuje cokoli, co jste si zatím mohli domů nebo...

Bezos poprvé vypustil svou raketu, která může konkurovat Muskově SpaceX

Firma Blue Origin zakladatele Amazonu Jeffa Bezose úspěšně vypustila z floridského mysu Canaveral svou novou raketu New Glenn. Po několika odkladech způsobených počasím a naposledy i technickým...

Planety nachystaly mimořádnou podívanou. Vyvrcholí na konci února

Noční obloha nám nyní poskytuje poměrně zajímavý pohled na Sluneční soustavu. Můžeme na ní najednou vidět téměř všechny planety, i když u těch méně viditelných pomůže malý dalekohled. Jedna však ve...

Muskovi se podařilo část rakety chytit „mechanickou godzillou“, o druhou přišel

Sedmý testovací let kosmické lodi Starship společnosti SpaceX plánovaný na čtvrtek půl hodiny před půlnocí měl znovu ukázat, že firma dokáže zachytit přistávací stupeň do mechanických „kleští“ na...

Vyplatí se počkat? Notebooky a PC s těmito procesory právě míří na trh

Las Vegas (Od zpravodaje Technet.cz) Všichni přední výrobci procesorů představili na veletrhu CES 2025 své novinky, které aktuálně míří do notebooků a desktopů. Přinášíme velmi stručný přehled, na které čipy se můžeme v příštích...

22. ledna 2025

Projděte si letouny prezidentů USA. S některými jsou spjaty i veselé historky

Z letadel světa se na vrcholu technologického žebříčku pohybují i současné americké prezidentské speciály Boeing VC-25A. Podívejme se nejen na ně, ale i na jejich předchůdce a také připravované...

22. ledna 2025

Druhý Bush na vlnách. USA tak překvapivě pojmenují další letadlovou loď

Těsně před koncem v úřadu prezidenta Spojených států odsouhlasil Joe Biden jména dvou nových letadlových lodí. Budou se jmenovat po Billu Clintonovi a Georgi Bushovi mladším. Americké námořnictvo už...

21. ledna 2025

Konec podpory Windows 10 může znamenat také problémy s aplikacemi

Konec podpory Windows 10 se blíží a spolu s ním se ukazuje, co vše bude muset uživatel tohoto systému oželet. Nově Microsoft například poznamenal, že kdo nepřejde, bude mít potíže a aplikacemi včetně...

21. ledna 2025

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Tomáš Vartecký nastupuje do léčebny. Je to větší, než jsem myslel, říká

Tomáš Vartecký (54) se svěřil s tím, že nastupuje do léčebny. Muzikant uznal, že situace je horší, než si myslel a je...

Herec Hynek Čermák a jeho o dvacet let mladší manželka Veronika se rozešli

Herec Hynek Čermák (51) a jeho manželka Veronika Čermák Macková (31) se po necelých deseti letech vztahu rozešli. V...

Kdo nečeká, není Čech. Antireklama na Českou poštu ovládla sítě, smějí se i pošťáci

Sociálními sítěmi se od středy rychle šíří zábavné video režiséra Vladimíra Špičky, které si dělá legraci z České...

Soaking: sexuální praktika, která je příliš bizarní, aby byla reálná

Virální, bizarně kreativní, legrační. Sexuální praktika soaking uhranula internet, fascinuje. Slouží jako nástroj...

Nejbohatší člověk světa byl přistižen při podvádění ve hrách, nenese to dobře

Nejbohatší člověk světa Elon Musk chtěl během streamování předvést hráčům své umění v aktuálním herním hitu Path of...