Pátek 2. prosince 2022, svátek má Blanka
  • schránka
  • Přihlásit Můj účet
  • Pátek 2. prosince 2022 Blanka

Složitá hesla byla 0my1, lituje autor návrhu. Časté změny spíše škodí

  14:00aktualizováno  17:32
Hesla hrají v počítačové bezpečnosti nezastupitelnou úlohu. Bohužel si řada lidí volí složité a těžko zapamatovatelné řetězce typu p0L3dn!ce. Jeden z autorů původních doporučení, William Burr, uznává, že šlo o chybu. Nově byste místo hesla plného čísel a písmen měli zvolit raději větší množství náhodně vybraných slov.

Jak si zapamatovat heslo? | foto: Profimedia.cz

Komunikace přes síť se neobejde bez autentizace. Nejčastějším způsobem, jak potvrdit svou identitu, je zadání jména a hesla. Jak si takové heslo zvolit, to obvykle software nebo služba nechá na uživateli. Jenže to vede k tragickým výsledkům: lidé si příliš často zvolí primitivní, a tedy i snadno uhodnutelné heslo typu 12345, heslo123 nebo aaaaaa.

Programátoři proto většinou uvalí na uživatele nějaké omezení. Nejčastěji je to nějaká kombinace těchto pravidel:

  • délka hesla alespoň osm znaků
  • heslo musí obsahovat alespoň jedno velké písmeno, jedno malé písmeno, alespoň jednu číslici a alespoň jeden „speciální znak“
  • heslo nesmí obsahovat „populární slovo“ nebo uživatelské jméno
  • heslo je potřeba pravidelně měnit

Jak zvolit silné heslo?

„Heslo“ stále patří mezi nejčastější hesla

Tyto podmínky byly součástí doporučení amerického Národního institutu standardů a technologie (NIST) z roku 2004. Právě tento dokument pomohl k tomu, aby se „prototypem správného hesla“ staly příklady ve stylu sUp3r.man nebo JarM!1ka.

Jedním z autorů byl tehdejší manažer William Burr, který je již v důchodu. Dvaasedmdesátiletý Burr po letech pro The Wall Street Journal popsal, jak tehdy s kolegy došel k radám, které formovaly pravidla v USA i po celém světě v následujících deseti letech. Podle něj existovalo málo dat ohledně volby hesel a Burr spolu s kolegy občas vycházeli z dokumentů z osmdesátých let 20. století. Přesto dělali, co bylo v jejich silách. „Výsledkem ale bylo, že jsme napsali dokument příliš složitě a řada lidí jej nepochopila. Poučovali jsme na nesprávném místě,“ uznává sebekriticky Burr.

Jak ukázala praxe, doporučení NIST byla v lecčems kontraproduktivní. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si Burr. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé jsou línější, než odborníci čekali

Teoreticky dávají samozřejmě klasická pravidla určující složitost (komplexnost) hesla smysl. Vycházejí z principu informační teorie zvaného entropie: ne každý znak hesla vnáší stejnou míru náhody a nejistoty. Pokud by například útočník věděl, že jste si zvolili heslo, které začíná písmeny „Pracha...“, nebude na prolomení posledních tří písmen hesla potřebovat mnoho pokusů, protože počet slov je značně omezený. Právě slovníkové útoky (kdy útočník strojově zkouší různá slova ze slovníku či databáze) vedly Burra a jeho kolegy k vynucení oněch speciálních znaků, čísel, velkých/malých písmen a časté obměny hesla.

Jenže lidé si obvykle musejí pamatovat více hesel, nejenom jedno, a pokud mají v hlavě žonglovat několik hesel zároveň, přijdou s různými nápady, jak si tvorbu složitého hesla zjednodušit. Číslem nahradí nějaké písmeno, které se tomuto číslu podobá (trojka vypadá jako E, jednička jako velké i nebo malé L, nula jako óčko apod.).

Nebo si vyberou jedno heslo a doplní jej o název služby, do které se právě přihlašují (PrachaticeIdnes, PrachaticeAmazon, PrachaticeGoogle...). V případě, že jde o vynucenou změnu hesla, jsou pak populární různá číselná rozšíření.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov

A protože jsou tyto nápady celkem univerzální, výsledkem je jejich předvídatelnost. Jak si všiml kreslíř komiksů Randal Munroe: „Za posledních dvacet let se nám podařilo vytrénovat všechny k tvorbě hesel, která jsou složitá na zapamatování, ale přitom jsou počítačem snadno prolomitelná.“

Namísto toho Munroe doporučuje kombinaci více krátkých, ale zato naprosto náhodně zvolených slov. Jako příklad uvádí heslo correct horse battery staple (správně kůň baterie svorka), což je podle něj heslo s vyšší entropií, ačkoli neobsahuje žádná čísla nebo speciální znaky. Navíc je pro lidi snadno představitelné a tedy i zapamatovatelné, zatímco pro počítač složité na uhádnutí, a to i při použití slovníkového útoku.

Co je nejdůležitější, když vybíráte heslo?

Silné heslo se nepozná podle počtu čísel nebo speciálníc znaků. Důležité je, aby bylo unikátní, dostatečně dlouhé a nešlo uhodnout

Teoreticky je nejlepší mít jako heslo dlouhý nesmyslný a náhodný řetězec znaků. Pro každou službu má mít uživatel unikátní heslo, které si uživatel nikam nezapisuje a pouze si jej pamatuje. To je ovšem v praxi obvykle nemožné. Redakce Technet.cz proto sestavila realističtější návod, jak vybírat hesla, na základě doporučení expertů, reálných zkušeností s dostupnými službami a s ohledem na schopnosti hackerů prolomit hesla.

  • Zvolte složité dlouhé heslo! Důležitá je jak délka hesla, tak jeho „náhodnost“. Příkladem dobrého a přitom zapamatovatelného hesla jsou třeba čtyři nebo pět náhodně vybraných, nesouvisejících slov: oselkytkahumoristabatoh
  • Neopakujte hesla! Každé heslo by mělo být unikátní, jinak hrozí, že pokud se útočník dostane k jednomu vašemu účtu, může se dostat k řadě dalších.
  • Silná a unikátní hesla tam, kde na tom záleží! Rozlišujte mezi důležitými a méně důležitými službami. Pokud někdo „prolomí“ vaše heslo k věrnostní kartě do drogerie, není to takové drama, jako když prolomí heslo k vašemu soukromému e-mailu. Dbejte proto na to, abyste u důležitých služeb (e-mail, sociální sítě, cokoli, co se týká peněz nebo ukládání dat...) měli nastavená silná a unikátní hesla.
  • Přihlašujte se přes zabezpečené stránky! Vždy alespoň letmým pohledem ověřte, že heslo zadáváte na stránce, která používá HTTPS (šifrované spojení mezi vaším prohlížečem a vzdáleným serverem). Znemožníte tak útočníkům odposlechnout vaše heslo po cestě (nebo jim to alespoň výrazně zkomplikujete).
  • Využijte dvoufaktorové zabezpečení! Tam, kde to služba umožňuje, nezapomeňte zapnout dvoustupňové ověření (též dvoufaktorová autentizace, dvoufázové ověření). Například Google, Facebook, Microsoft a většina poskytovatelů elektronického bankovnictví nabízí nějakou formu dodatečného ověření, ať už přes SMS (nedoporučuje se), speciální aplikaci nebo dokonce hardwarový token. Dvoufaktorové zabezpečení je sice někdy otravné, ale jde o zatím nejlepší zabezpečení proti řadě vzdálených útoků, jak cílených, tak plošných.
  • Využijte přihlášení skrze platformu, ale opatrně: některé služby umožňují přihlášení skrze platformu třetí strany (nejčastěji Google, Twitter nebo Facebook). Tím odpadá starost s výběrem uživatelského jména a hesla. Nezapomeňte ale zkontrolovat, zda tím nedáváte nějaké službě přístup k soukromým datům
LastPass 4.0
KeePass Password Safe
Aplikace 1Password má připraveny šablony pro uložení běžných typů záznamů, jako...

Správci hesel LastPass, KeePass a 1Password

Protože většina uživatelů využívá desítky nebo stovky on-line služeb, když přijde na bezpečnost hesel, každý se musí dříve či později uchýlit k nějakým kompromisům. Dělejte tyto kompromisy s rozvahou a pouze tam, kde nejsou v sázce důležitá data, soukromé údaje nebo klíčové služby.

Jedním z kompromisů, který je podle některých odborníků užitečný, je využítí tzv. správce hesel, tedy programu či služby pro bezpečné ukládání přihlašovacích údajů. Nedoporučujeme používat výchozí správce hesel v prohlížečích, jde často o velmi základní službu bez dodatečného šifrování nebo zabezpečení. Máme dobré zkušenosti se službami LastPass (on-line služba s pluginy pro prohlížeče a mobilní aplikací) a Keepass (off-line, opensource). Správce hesel se postará o ukládáná a generování hesla, stačí si pamatovat jedno hlavní heslo (master password), pomocí kterého jsou ostatní hesla šifrována. Pokud zapomenete své hlavní heslo, máte smůlu, neexistuje způsob, jak jej obnovit (kdyby existoval, šlo by o zranitelnost). Se správcem hesel tak můžete mít skutečně unikátní heslo pro každou službu. Na druhou stranu vkládáte značnou důvěru do provozovatele dané služby, a výzkumníci upozorňují, že i správci hesel mohou obsahovat bezpečnostní chyby.

Vyplatí se proto kombinovat více postupů pro zabezpečení, například silná unikátní hesla + správce hesel + dvoufaktorové ověření.

Nová pravidla počítají s lidskou psychikou

„Hodně z toho, co jsem tehdy napsal, dnes lituji,“ říká William Burr.

Na jeho místě dnes v NIST sedí Paul Grassi, který také vedl přepracování pravidel pro tvorbu hesel. Ten si nemyslí, že by na sebe měl být Burr tak přísný: „Napsal dokument, který v řadě ohledů vydržel platný deset až patnáct let. Můžu jenom doufat, aby můj dokument obstál tak dlouho.“

Grassi původně se svým týmem chtěl dokument pouze mírně aktualizovat. Konzultace s odborníky z oboru jej ovšem vedly k tomu, že nakonec začal práci úplně od základů.

Nejlepším heslem i nadále zůstává onen teoretický ideál - dlouhá změť naprosto náhodně zvolených znaků. Jenže požadovat po uživatelích, aby takováto hesla nejen vymysleli, ale ještě pak nosili v hlavě, je nerealistické.

Nová doporučení NIST z roku 2017 obsahují oproti předešlým letům řadu změn. Co se týče hesel, reagují právě na výsledky výzkumů a pozorování. V závěru sekce o heslech proto autoři zdůrazňují: „Požadavky na délku a komplexnost hesla výrazně zvyšují obtížnost jeho zapamatování a s tou roste i frustrace uživatelů. Ti se pak snaží tyto požadavky různé obcházet, což je kontraproduktivní.“

Doporučení NIST ohledně Elektronické autentizace (2017)

Pokud jste tedy programátor nebo IT administrátor, nezapomeňte nová pravidla vzít v potaz. Zvažte, zda je opravdu potřeba, aby každé heslo obsahovalo alespoň jeden speciální znak, jednu číslici. Přestaňte uživatele nutit heslo každou chvíli měnit - to jej vede jen k tomu, že volí hesla podobná, nebo si je píše na papírek, který má nalepený na monitoru.

Aktualizace: Do článku jsme doplnili doporučení ohledně bezpečnosti hesel.

Autor:
  • Nejčtenější

Velký meteorit ukrýval dva minerály, které jsme doposud na Zemi neviděli

Doposud jsme podobné nerosty mohli najít jako uměle vyrobené v laboratoři nebo v teoretických pracích. Díky poslu z...

Chřestýši pro Ukrajinu. Protiletadlový systém vznikal původně pro JAR

Ukrajinu podporuje dodávkami zbraní celá řada zemí. V pondělí 20. listopadu oznámil francouzský ministr obrany...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

„Svatba“ letounu L-39NG. Ve Vodochodech se po letech opět sériově vyrábí

Po osmi letech vývoje vyvrcholila práce na letounu L-39NG. Moderní následník slavného Albatrosu vstupuje do sériové...

Zlaté, šedé i modré fajfky. Musk chystá pro Twitter „bolestivý“ systém účtů

Nový majitel sociální sítě Twitter zveřejnil novinky v systému ověřených účtů. Nově se mají dělit na několik kategorií....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

PODCAST: Vodu z Dněpru nepijte. Utopilo se v něm hodně ruských vojáků

Podcast Náš spolupracovník Tomáš Kolařík se vypravil do ukrajinského Chersonu záhy po jeho osvobození. Během týdne pobytu ve...

Rozsáhlé zotročování lidí v Česku. Gang vydělal na práci bezdomovců miliony

Premium Na Ústecku roky mizeli bezdomovci a sociálně slabí žijící na ulici, jako by dostali „druhou šanci“. Končili v domě na...

Janečkova zpověď: vězení, alkohol, život bez domova. A kam zmizel Maradonův dres?

Premium Když ho konečně doženete, musíte zbystřit, jestli vás smysly neklamou. Jak může člověk, který se už patnáct let...

Vydělali za covidu, nakupují nemovitosti. Pandemie zrodila nové milionáře

Premium Zatímco většině podnikatelů v Česku způsobil covid ztráty, některým naopak poskytl životní příležitost ke zbohatnutí....

Facebook se „zbláznil“. Ukazoval jen vzkazy celebritám, přátele skryl

Řada uživatelů ve středu dopoledne hlásila, že se jim „zbláznil“ Facebook. Sociální síť ukazovala náhodné vzkazy....

Mastodon, Hive a další. Jaké jsou alternativy, když nechcete Muskův Twitter

Nelíbí se vám, kam Twitter pod vedením Elona Muska směřuje, nebo se vám síť zkrátka jen omrzela? Internet nabízí mnoho...

Podívejte se, kteří giganti vládli internetu v minulosti a kdo panuje nyní

Poměrně vysoké procento populace by si svět bez připojení k internetu již nedokázalo představit. Zdá se, že rychlost,...

Zlaté, šedé i modré fajfky. Musk chystá pro Twitter „bolestivý“ systém účtů

Nový majitel sociální sítě Twitter zveřejnil novinky v systému ověřených účtů. Nově se mají dělit na několik kategorií....

Ivan Trojan si s manželkou vypořádal majetek, bulvár spekuluje o rozvodu

Ivan Trojan (58) a Klára Pollertová-Trojanová (51) si v září podle veřejně dostupných dokumentů vypořádali společný...

Vsadil na neobvyklý nápad, už má 35 zaměstnanců a rostou i do světa

Lukáš Legát začal podnikat před devíti lety. Z původně garážové firmy je dnes společnost s pětatřiceti zaměstnanci,...

Žena už nemohla vystát obří ňadra, rozhodla se pro operativní zmenšení

Kylie Perkinsová, čtyřiadvacetiletá dvojnásobná matka z Aljašky, podstoupila zmenšení poprsí, aby se zbavila...

Otec zavelel, šetříme! Rodina vypnula elektřinu a topí jednou týdně

Zvyšování cen energií nutí lidi k nečekaným rozhodnutím. Jedna rodina z Londýna se rozhodla vrátit do minulosti. Šetří,...

Žena je pro mnohé příliš sexy, bývalí učitelé její odhalování nechápou

Říká si Ona Artist a na internetu pravidelně zveřejňuje sexy snímky. Pro mnohé už je to přehnané a především její...