Návod, jak zacházet s hesly |
S blížícím se koncem roku nastává čas na analýzu nejčastěji používaných hesel. Výsledky nejsou povzbudivé. Je totiž velmi znepokojivé zjistit, že většina uživatelů se z předchozího zjištění nepoučila. Podle seznamu 200 nejhorších hesel roku podle výrobce programu na správu hesel společnosti NordPass miliony lidí stále pro přístup do aplikací a služeb na internetu používají kombinaci „123456“ či „123456789“. Obě hesla navíc vévodí léta žebříčku, a to už od roku 2015.
Na prolomení stačí sekunda
Analýzou 275 699 516 uniklých hesel na internetu (ze služeb a aplikací) během různých bezpečnostních narušení v roce 2020 společnost NordPass zjistila, že nejběžnější hesla lze neuvěřitelně snadno uhodnout.
Není přitom jasné, jaké databáze společnost využívala a zda v nich nebyly i ty, které již kolují na internetu roky, jen jsou k nim přidávány nové údaje. Na naše dotazy zatím společnost neodpověděla. To však příliš nemění nic na základních principech pro práci s hesly.
„Útočníkům může trvat méně než sekundu, než se pomocí těchto údajů přihlásí k účtu uživatele. Například nejoblíbenější heslo „123456“ bylo využito již 23 597 311krát,“ informuje Chad Hammond, bezpečnostní expert společnosti NordPass.
Děsivé je, že pouze 122 894 788 neboli 44 % ze zachycených hesel bylo považováno za jedinečné. Ostatní byly opakováním běžných a snadno zapamatovatelných hesel, díky nimž jsou uživatelé vysoce zranitelní vůči online hrozbám.
„Pokud se stanete obětí úniku hesla, můžete přijít o přístup do svého profilu na Facebooku nebo jiného důležitého účtu a k jeho veškerému obsahu. Vaše e-mailová adresa může být také použita k phishingovým útokům nebo k podvodům směřujícím na vaši rodinu a přátele, kteří se budou v případě vašeho napadeného e-mailového účtu domnívat, že jim e-mail posíláte vy,“ dodává Chad Hammond.
Pouze 78 z 200 nejpoužívanějších hesel v tomto roce bylo nových. Třetí místo v žebříčku nejpoužívanějších hesel patří jednomu z nich, a to překvapivě kombinaci „picture1“. Jde o pomyslného skokana roku, protože se takto vysoko objevilo poprvé. Jeho kombinace písmen a čísla ho před případným prolomením prostřednictvím hrubé síly chrání tři hodiny (při slovníkové útoku samozřejmě padne okamžitě).
V případě ostatních hesel by to potom bylo pouze několik sekund. A to buď díky slovníkovým skriptům, které k vyzkoušení používají běžné fráze a numerické kombinace, nebo na základě jednoduchých odhadů. Na čtvrtém místě se umístilo také typické (ne)heslo „password“ (česky heslo).
Zapamatovatelná hesla jsou snadno odhalitelná
Uživatelé často z důvodu usnadnění si jejich pamatování používají opakující se čísla či snadné číselné kombinace. Zahrnují určité stejné variace čísel jako je „000000“ nebo „123123“ a jejich prolomení obvykle trvá méně než sekundu. Nejpopulárnější z nich, „123456“, bylo prolomeno více než 23 milionkrát. Podobně jsou na tom také písmenné kombinace založené na sousedních znacích klávesnice, například „qwertyuiop“ nebo „asdfghjkl“. Vývojáři softwaru, kteří uživatelům pomáhají vymyslet nebo vygenerovat hesla, zdůrazňují, že takové jednoduché kombinace jsou velmi snadno napadnutelné.
V TOP dvacítce se nacházejí také hesla jako „iloveyou“ či „abc123“ nebo jednoslovná hesla z různých kategorií, jako je například zábava (pokemon, batman), sport (fotbal, baseball), jídlo (čokoláda, cookie) či zařízení (počítač, samsung).
Experti na bezpečnost tvrdí, že ačkoli se v žebříčku našla i o něco komplikovanější hesla (například zmiňované „picture1“, nebo dokonce vylepšení, kdy se používá velké počáteční písmeno, např. „Million2“), zlaté pravidlo je jednoduché. Pokud je heslo snadno zapamatovatelné, zřejmě bude snadné ho také odhalit.
„Nikdy nepoužívejte stejná hesla ve více účtech. Pro každý si vytvořte jedinečné a složité. Nezůstaňte spokojeni s kratším než 12 znaků. Kombinace velkých a malých písmen, čísel a symbolů přitom výrazně snižuje riziko prolomení hesel,“ říká Hammond.
Nebylo moje heslo ukradeno? Online nástroj Have I Been Pwned, který provozuje bezpečnostní expert Troy Hunt, vám může prozradit, zda některé z vašich hesel neuniklo na internet. Jde o databázi, která obsahuje z různých zdrojů miliardy uniklých přihlašovacích hesel. Zadejte svůj e-mail a zjistíte, zda se úniky nedotkly i vás. Pokud budete mít zájem, můžete v případě budoucího úniku získat informaci, zda se v nich váš účet neobjevil – stačí se k tomu přihlásit. |
Bezpečnost hesla přitom nezaručí pouhé přidání čísla, velkého písmena či interpunkce. Nejlepší je mít náhodně vygenerované dlouhé heslo, což zaručí generátory hesel. V nich si lze nastavit určitá pravidla, z čeho mají být hesla složena. Ještě lepší však je, pokud se využívá dvoustupňového ověření. Například pomocí hesla a následně SMS či appky ve smartphonu – tak jak to dnes vyžadují banky pro přístup do online bankovnictví.
Nejlepším řešením jsou trezory
Heslům v žebříčku se můžeme smát, ale bezpečnostní rizika jsou skutečná. Je přitom pochopitelné, že mnoho lidí má tendenci volit snadná hesla, která si pamatují, takže není divu, že výsledky jsou, jaké jsou, a z roku na rok se příliš nemění. Pokud si však pořídíte správce hesel (LastPass, Keeper, Dashlane, 1Password nebo iCloud Keychain společnosti Apple), nebudete se muset starat o jejich zapamatování. Specializovaný správce hesel je může nejen uchovat v bezpečí „v trezoru“, ale může je do formulářů automaticky vyplňovat. Takže si už nikdy nebudete muset žádná z nich pamatovat, a dokonce ani přepisovat.
Žebříček TOP 20 hesel společnosti NordPass Najdete v něm: pozici hesla, heslo, kolikrát bylo zachyceno, čas potřebný na jeho prolomení a kolikrát bylo použito. Rovněž porovnává jejich popularitu ve srovnání s místem z předchozího roku.  Celý seznam TOP 200 hesel si můžete prohlédnout na stránce NordPass. Pokud v něm vaše heslo figuruje, měli byste ho neprodleně změnit. |
Rady a doporučení pro správná hesla
Nejčastějšími chybami při tvorbě hesel je to, že nejsou unikátní. „Uživatelé používají pořád jedno heslo dokola na několika různých stránkách. Když se zeptáte někoho z branže, co si máme představit pod pojmem bezpečné heslo, vždycky začnou mluvit o algoritmech,“ řekl našemu serveru již dříve David Jacoby, expert z bezpečnostní organizace Kaspersky Lab.
I přesto, že vybrané společnosti na základě bezpečnostní politiky nutí uživatele hesla také pravidelně měnit, ne všichni se na tom shodují. Jak nedávno uvedla společnost Microsoft, násilná změna hesla je na nic. Vynucená změna hesla totiž zvyšuje bezpečnost jen nepatrně a navíc nebere v potaz každodenní realitu. Uživatelé si kvůli častým změnám hesla nepamatují a píšou si je na papírky. Co bezpečnostní tým Microsoftu radí, si přečtěte zde.
Nevíte-li nyní, jak se vyznat v desítkách hesel, potom se podívejte do tohoto našeho článku, kde vám poradíme, jak správně pracovat s hesly.
