Hlavní navigace

Tvorba a správa silných hesel: příručka pro každého

Roman Bořánek

Ohledně internetové bezpečnosti a hesel především panuje řada mýtů. Následující text vám v deseti tisících znacích poví vše důležité o správě a tvorbě hesel a učiní vaši internetovou identitu podstatně bezpečnější. Základ je jasný: použití dlouhých hesel a nepoužívání téhož hesla na více místech.

Článek je překladem textu Creating Strong Passwords vydaného Electronic Frontier Foundation pod licencí CC BY 3.0. Jedná se o součást příručky Surveillance Self-Defense (sebeobrana proti špehování).

Protože pamatovat si mnoho různých hesel je obtížné, lidé často používají několik málo hesel pro mnoho různých účtů, stránek a služeb. Uživatelé jsou dnes upomínáni, aby vymýšleli nová hesla – mnoho lidí ale nakonec stejně skončí tak, že používá to samé heslo v desítkách či stovkách případů.

Opětovné užívání hesel je však velmi nebezpečný postup, protože když se útočník dostane k jednomu heslu, často ho zkusí použít na různých účtech patřících stejné osobě. Pokud použila stejné heslo vícekrát, útočník tak získá přístup k vícero účtům. To znamená, že dané heslo je pouze tak bezpečné, jak bezpečná je nejméně bezpečná služba, kde je užíváno.

Vyhýbání se opětovnému užívání hesel je velmi vhodné bezpečnostní opatření, ale v takovém případě si nebudete schopni zapamatovat všechna vaše hesla, pokud jsou odlišná. Naštěstí existuje software, který vám s tím pomůže. Správce hesel (někdy také nazývaný trezor) je softwarová aplikace, která pomáhá s bezpečným ukládáním velkého množství hesel. Díky němu se lze vyhnout užívání stejného hesla v různých případech. Správce hesel všechna vaše hesla chrání hlavním (master) heslem, které si jako jediné musíte pamatovat. Lidé užívající správce hesel už si nemusí pamatovat samotná hesla pro různé účty, správce hesel se za ně postará o celý proces jejich vytváření i pamatování.

Kupříkladu KeePassX, open-source a zdarma dostupný správce hesel, funguje na desktopu. Je důležité poznamenat, že KeePassX automaticky neukládá všechny změny a nově přidané informace. To znamená, že pokud spadne poté, co jste přidali nějaká hesla, můžete o ně přijít. Toto chování můžete změnit v nastavení.

Správce hesel vám také pomůže s výběrem silných hesel, která úročník jen těžko může uhádnout. To je také velmi důležité, uživatelé totiž často volí krátká a jednoduchá hesla, která jsou snadno uhádnutelná. Patří mezi ně třeba „password1“, „12345“, data narození nebo jména přátel, partnerů či domácích mazlíčků. Správce hesel vám pomůže vytvořit heslo, které neobsahuje žádný vzor či strukturu a které nebude uhádnutelné. Může to být heslo jako „vAeJZ!Q3p$Kdkz/CRHzj0v7“, které by si člověk těžko zapamatoval nebo uhádl. Ale nebojte, správce hesel taková hesla zapamatuje za vás!

Synchronizace hesel napříč zařízeními

Hesla můžete používat na více než jednom zařízení, např. na počítači a chytrém telefonu. Řada správců hesel obsahuje funkci pro synchronizaci hesel. Synchronizovaný soubor s hesly je aktuální na všech vašich zařízeních. Když třeba přidáte nový účet na počítači, budete se tak moci přihlásit ze svého telefonu. Další správci hesel vám zase nabídnou možnost uložení hesel v cloudu, což znamená, že vaše hesla budou v zašifrované podobě uložena na vzdáleném serveru a když je budete potřebovat na počítači nebo mobilu, automaticky se stáhnou a dešifrují.

Správci hesel užívající vlastní servery pro ukládání hesel jsou sice pohodlnější, ale na druhou stranu jsou o něco víc náchylné k útoku. Pokud držíte hesla pouze na svém počítači, může se k nim dostat pouze ten, kdo se vám dostane do počítače. Pokud je uchováváte v cloudu, útočník může cílit i tam. Obvykle se takových narušení ale nemusíte obávat, ledaže by měl útočník právně navrch nad společností provozující správce hesel nebo cíleně útočil na firmy nebo internetový provoz. Pokud užíváte cloudovou službu, její provozovatel také může vědět, jaké služby kdy a odkud používáte.

Vybíráme silné heslo

Několik málo hesel si přesto budete muset zapamatovat: poslouží k uzamčení vašich dat (dalších hesel) pomocí kryptografie. Patří mezi ně alespoň hesla pro přihlášení k zařízení, šifrování pevného disku a hlavní heslo pro přístup k trezoru hesel.

Dnes už jsou počítače tak rychlé, že dokáží snadno uhádnout heslo kratší než deset znaků. To znamená, že krátká hesla, přestože třeba úplně náhodná, např. nQ\m=8*x nebo !s7e&nUY nebo gaG5^bG, už dnes nejsou dostatečně silná.

Existuje několik způsobů, jak vytvořit silné a zapamatovatelné heslo. Nejpřímočařejší je nejjistější je metoda Arnolda Reinholda zvaná Diceware. Reinholdova metoda spočívá v hodu fyzickou kostkou pro výběr několika slov ze seznamu slov. Tato slova pak budou tvořit vaše heslo. Pro šifrování disku či uchovávání hesel doporučujeme vytvořit heslo o alespoň šesti slovech.

Když používáte správce hesel, vaše hesla jsou pouze tak v bezpečí, jak je bezpečný počítač, na kterém je správce hesel instalovaný a užívaný. Pokud je počítač nebo jiné zařízení kompromitováno a je do něj nainstalován spyware, může tento spyware odpozorovat psaní hlavního hesla a odcizit tak celý obsah vašeho trezoru hesel. Proto je velmi důležité udržovat počítač prostý škodlivého softwaru.

Slovo k bezpečnostním otázkám

Mějte na paměti také bezpečnostní otázky (např. „Jaké je rodné přijímení vaší matky?“ nebo „Jak se jmenovalo vaše první zvíře?“), pomocí kterých vás weby identifikují, pokud zapomenete heslo. Pravdivé odpovědi na mnoho otázek jsou veřejně dohledatelná fakta, která útočník může snadno zjistit a úplně tak obejít vaše heslo. Příkladem budiž Sarah Palin, kandidátka na amerického viceprezidenta, jejíž účet na Yahoo byl tímto způsobem odcizen. Namísto toho můžete zadat fiktivní odpovědi, které podobně jako heslo nebude znát nikdo kromě vás. Pokud se otázka kupříkladu ptá na jméno vašeho mazlíčka, možná jste někam nahráli fotografii s popiskem jako „Fotka mé roztomilé kočky, Flíčka!“ Namísto odpovědi „Flíček“ můžete použít třeba „Rumplcimprcampr“. Neužívejte stejné odpovědi na bezpečnostní otázky na více webech nebo službách. Fiktivní odpovědi byste stejně jako hesla měli uchovávat ve správci hesel.

Nezapomeňte zálohovat trezor hesel. Pokud ho ztratíte při selhání počítače (nebo v případě odcizení zařízení), obnova hesel může být obtížná. Správci hesel obvykle mají vlastní způsob zálohy, můžete ale použít také běžný zálohovací program.

Většinou lze hesla resetovat tak, že požádáte službu o zaslání e-mailu pro obnovu hesla na vaši registrační adresu. Z toho důvodu může být vhodné pamatovat si také heslo k tomuto e-mailovému účtu. Pokud tak učiníte, získáte možnost resetovat hesla a nebudete úplně závislí na správci hesel.

Vícefaktorová autentizace a jednorázová hesla

Mnoho služeb a programů podporuje použití dvoufaktorové autentizace, také označované jako dvoukroková autentizace nebo dvoukrokové přihlášení. Zde jde o to, že pro přihlášení musíte mít v držení určitý fyzický objekt: obvykle mobilní telefon nebo, v některých případech, speciální zařízení zvané bezpečnostní token. Dvoufaktorová autentizace zajistí, že i pokud dojde k odcizení hesla ke službě, zloděj se bez přístupu k druhému zařízení nebo speciálnímu kódu nebude moci přihlásit.

Obvykle to znamená, že by zloděj nebo hacker musel ovládat váš notebook i telefon, aby získal plný přístup k vašemu účtu. Dvoufaktorová autentizace může být nastavena pouze ve spolupráci s provozovatelem služby a nelze ji použít v případech, kdy ji daná služba nenabízí.

Dvoufaktorová autentizace může za použití mobilního telefonu fungovat dvěma způsoby: služba vám buď pošle textovou zprávu pokaždé, když se chcete přihlásit (obsahuje bezpečnostní kód, který je třeba vepsat do příslušného políčka), nebo na vašem telefonu běží autentizační aplikace, která sama generuje bezpečnostní kódy. To vám pomůže ochránit váš účet v případech, kdy útočník zná vaše heslo, ale nemá fyzický přístup k vašemu mobilnímu telefonu.

Některé služby, jako třeba Google, také umožňují vygenerovat seznam one-time hesel neboli jednorázových hesel. Ty byste si měli vytisknout nebo napsat na papír a nosit je u sebe (někdy si lze několik z nich i zapamatovat). Každé z těchto hesel funguje pouze jednou, takže i když se ho spywaru při psaní podaří odcizit, útočník už ho v budoucnu nebude moct jakkoliv zneužít.

Pokud ve firmě používáte vlastní komunikační infrastrukturu, např. e-mailové servery, existuje zdarma dostupný software, který umožní použití dvoufaktorové autentizace ve vašich systémech. Upozorněte administrátory, ať se podívají po softwaru nabízejícím implementaci otevřeného standardu Time-Based One-Time Passwords (RFC 6238).

Hrozba fyzické újmy a uvěznění

Na závěr je nutné pochopit, že je tu vždy jeden způsob, jak útočníci mohou získat vaše heslo: mohou vám přímo vyhrožovat fyzickým napadením nebo uvězněním. Pokud se obáváte, že je tato možnost reálná, zamyslete se nad způsoby, kterými lze existenci heslem chráněných dat nebo zařízení zatajit. Je to lepší než doufat, že nikdy nebudete muset heslo vydat. Jednou z možností je mít alespoň jeden účet, který obsahuje převážně bezvýznamné informace a ke kterému tak heslo můžete snadno vydat.

Máte-li dobrý důvod domnívat se, že vás někdo může ohrožovat pro získání hesel, měli byste zařízení nakonfigurovat tak, aby nebylo očividné, že neodhalujete ten „pravý“ účet. Ukazuje se váš skutečný účet na přihlašovací obrazovce počítače nebo třeba když otevřete prohlížeč? Pokud ano, měli byste věci překonfigurovat tak, aby byly účty víc skryté.

V některých jurisdikcích, např. ve spojených státech nebo v Belgii, můžete žádost o vydání hesla právně napadnout. V dalších, např. ve Velké Británii nebo v Indii, dávají zákony vládě právo vydání hesla požadovat. EFF má detailní informace pro všechny, kteří cestují za hranice Spojených států a kteří chtějí ochránit svá data na elektronických zařízeních. Viz příručka Defending Privacy at the U.S. Border.

Mějte na paměti, že záměrné ničení důkazů nebo zabraňování vyšetřování může být považováno za samostatný zločin, často s velmi vážnými následky. V některých případech je lze snadněji prokázat a docílit tak vyšších trestů než za původně vyšetřovaný zločin.

Našli jste v článku chybu?

31. 7. 2015 8:45

Jarda (neregistrovaný)

Většinou tam není, že heslo může obsahovat 1-2 číslice atd, ale že musí. Pokud by se používaly dokonalé hesla, tak by se prohledávaný prostor skutečně trochu zmenšil. V praxi má většina uživatelů heslo z několika malých písmen a tyto omezení je přinutí přidat alespoň velké písmeno a číslici. Sice většinou jen dají první písmeno velké a na konec jedničku, ale i tak se prohledávaný prostor zvětší. Takže nějaký smysl to má. I když někde mě to docela štve, zvlášť ve spojení s nucenou změnou po určit…

31. 7. 2015 11:18

Ray (neregistrovaný)

Ale ten pocit... :)

R.

DigiZone.cz: „Black Friday 2016“: závěrečné zhodnocení

„Black Friday 2016“: závěrečné zhodnocení

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny