Článek
Článek si také můžete poslechnout v audioverzi.
Pro mnohé otravné vyplnění hesla je často poslední krok před přihlášením na sociální sítě či do internetového bankovnictví. Takové heslo často vzniká z kompromisu – určitý stupeň zapamatovatelnosti, zároveň dostatečná složitost na to, aby se potenciální útočník k datům nedostal.
„Ještě před několika lety byla za silné heslo považovaná náhodná kombinace velkých a malých písmen, speciálních znaků a čísel,“ říká Vladimíra Žáčková, specialistka kybernetické bezpečnosti společnosti ESET. „Lidé tak začali volit sice složitá, ale krátká hesla.“
Největší podíl Čechů tak při tvorbě hesla zpravidla volí kombinaci malých a velkých písmen a čísel, další více než třetina k této kombinaci přidává ještě speciální znaky. Vyplývá to z průzkumu, který pro ESET zpracovala společnost Ipsos.
Složitě vypadající heslo ale nemusí být záruka bezpečnosti. „Dnešní automatizované nástroje na prolamování hesel využívané například v útocích takzvaně hrubou silou dokážou taková hesla uhodnout během několika minut,“ vysvětluje slabinu Žáčková.
Kopretiny na louce jsou lepší než mazlíček
Ta nezrazuje od komplikovanosti, jen připomíná důležitost délky. Čím delší a komplexnější heslo podle odbornice je, tím déle ho trvá útočníkům prolomit. Používáním speciálních znaků zase útočníkům pomyslně házíme pod nohy další klacek. Žáčková proto doporučuje takzvanou heslovou frázi.
„Heslová fráze je věta, která je dlouhá, pro vás jednoduše zapamatovatelná, ale ostatní ji jen těžko odhadnou,“ popisuje pro SZ Byznys techniku odbornice s tím, že fráze by neměla obsahovat osobní informace nebo příliš známé hlášky z filmů nebo populárních písní.
Jako příklad dává frázi „NaLouceUChatyRoste12Kopretin!“ a rovnou ukazuje, jak se dá bezpečnost ještě zvýšit. „Pokud chceme práci útočníkům ještě o něco zkomplikovat, můžeme například z každého slova vynechat poslední písmeno,“ dává tip Žáčková. „Fráze by pak zněla NaLoucUChatRost12Kopreti!“
V takový moment je heslo odolnější proti takzvaným slovníkovým útokům, při kterých útočníci zkoušejí kombinace a varianty běžně používaných slov.
Hesla: nejčastější chyby a jejich řešení
| Chyba | K čemu vede | Řešení |
| Opakovaná hesla | Když se útočník dostane k jednomu heslu, dostane se i k dalším. | Používejte pro každou službu unikátní heslo, nikdy hesla neopakujte. |
| Slabá hesla | Slabé heslo dokáže útočník uhodnout, prolomit hrubou silou. | Používejte dlouhá a nesmyslná hesla, ideálně náhodnou změť znaků nebo několik náhodných slov. |
| Zapisování hesla | Heslo zapsané na papírek nebo do nezabezpečeného souboru se může snadno dostat do nesprávných rukou. | K uložení hesel používejte spolehlivý nástroj pro správu hesel, který umožňuje šifrování hesla. |
| Půjčování a sdílení hesla | Posílání hesla zvyšuje šanci jeho odposlechnutí nebo prozrazení. | Každý člověk by měl mít své vlastní heslo k vlastnímu účtu. Sdílet můžete práva, nikoli hesla. |
| Spoléhání na hesla | Sebelepší heslo se může dostat do nepovolaných rukou. | Zabezpečte důležité účty pomocí vícefaktorového ověření (multifactor authentication). |
Fráze z příkladu pak má ještě další výhodu. Neskrývá nic osobního, co by mohlo potenciální útočníky navést. Více než čtvrtina respondentů dotazníku totiž uvedla, že heslo tvoří také z osobních informací, aby se lépe pamatovalo.
To může být třeba jméno mazlíčka, datum narození nebo adresa. Podle Žáčkové ale osobní informace skrývají nebezpečí – útočníci si je mohou snadno zjistit například z veřejných informací na sociálních sítích. Každý desátý zase používá jednoduché slovo či slovní spojení. Například proslulé „heslo123“.
I proto si nadpoloviční většina uživatelů pamatuje svoje heslo z hlavy. To ale svádí k tomu, že pak přihlašovací údaje recyklujeme. „Pamatovat si všechna naše hesla z hlavy je při dnešním množství služeb a účtů, které používáme, téměř nadlidský úkol. To může opět vést k tomu, že budeme tíhnout k používání jednodušších hesel nebo stejného hesla pro více účtů, což samozřejmě nahrává kyberútočníkům a snižuje se tím celková úroveň naší digitální bezpečnosti,“ varuje Žáčková.
Jako řešení se dá využít takzvaný správce hesel. Software, který si přihlašovací údaje pamatuje za uživatele.
Pomůže vám správce hesel
Unikátní hesla pro každou službu, která jsou zároveň silná, dlouhá a těžko zapamatovatelná… Je jasné, že s tím uživatelé potřebují pomoci. Hodí se k tomu nástroje zvané „správci hesel“.
Základní správu hesel nabízí i prohlížeč, ale Vladimíra Žáčková z firmy ESET varuje: „Webové prohlížeče jsou všeobecně zranitelnější vůči kybernetickým útokům. Objevují se u nich častěji zranitelnosti, které mohou útočníci zneužít k narušení prohlížeče a získat přístup k uloženým heslům nebo údajům k platebním kartám.“
Pro každý účet má jiné heslo necelá čtvrtina respondentů, zbytek nějakým způsobem přihlašovací údaje opakuje.
Hesla jsou na ústupu
„Metody a nástroje útočníků k prolomení hesel se neustále zlepšují, i proto se objevují stále nové přístupy k zabezpečení našich účtů,“ odpovídá Žáčková na otázku, jestli vůbec v dnešní době mají snahy o silné heslo smysl. „Ať už se jedná například o ověření biometrickými údaji jako je otisk prstu nebo snímek obličeje, nebo stále diskutovanější přístupové klíče známé také jako passkeys (kombinace dvou kryptografických klíčů; pozn. red.).“
Jednodušší a bezpečnější metody ale podle odbornice přináší větší nároky na uživatele i provozovatele. „U uživatelů se může jednat o nutné poskytování jejich dalších osobních údajů nebo že musí již používat zařízení, která disponují nejnovějšími technologiemi,“ dává příklady Žáčková s tím, že pro správnou funkci může být třeba zařízení schopné číst biometrické údaje.
„Na straně poskytovatele aplikace se pak jedná o náklady na technologie, ale také třeba náklady související s bezpečným ukládáním a zpracováváním dat,“ dodává. „Přejít tedy plošně na přihlašování bez hesel zatím není možné a silná hesla budeme ještě nějakou dobu potřebovat.“
Ani více faktorů stoprocentní bezpečí nezaručí
Do té doby u skutečně důležitých přístupů funguje například takzvané vícefaktorové ověření. „Potvrzování přihlášení dalším faktorem by již mělo být bezpečnostním standardem, ale jak vyplývá i z našeho průzkumu, pro mnoho lidí stále není samozřejmostí,“ říká Žáčková.
Lidé podle odbornice například nechtějí službě poskytovat další osobní údaje, často je navíc toto zabezpečení dobrovolné, takže uživatel může na aktivaci zapomenout, nebo o její možnosti vůbec nemusí vědět. Přesto nějakým způsobem vícefaktorové ověření používají čtyři pětiny respondentů.
Ani více faktorů navíc úplné bezpečí nezaručí. „V případě, že používáme opakovaně stejnou kombinaci přihlašovacího jména a hesla pro více účtů, mohou útočníci obejít i vícefázové ověřování,“ začíná vysvětlení expertka z ESET.
„Příkladem může být třeba použití stejných přihlašovacích údajů do účtu na sociální síti a do e-mailu, který máme nastavený také jako další faktor ověření,“ popisuje jednu z technik. Útočníci se podle ní mohou také vydávat například za technickou podporu dané služby a dotlačit podvedeného k poskytnutí potvrzovacího kódu při podvodném telefonním hovoru.
