Bezpečná hesla? Nepište si je na lístečky

Přijít o heslo k emailu, sociálním profilům či jiným stránkám je dnes stejný průšvih jako ztráta platební karty či osobních dokladů. Jste si vážně jisti, že jsou vaše hesla dost bezpečná? Ukážeme vám, jak vypadá opravdu bezpečné heslo.

Heslo potřebujete v této době téměř ke všemu. Nepřečtete ani neodešlete bez něj e-mail, neprovedete platbu v internetovém bankovnictví, nedostanete se na svůj sociální profil, k fotkám a datům, zkrátka bez hesla jste nahraní. A protože stránek či programů, kde musíme heslo zadávat, je spousta, často si usnadňujeme práci a všude nebo téměř všude dáváme stejné heslo, nejlépe takové, které si snadno zapamatujeme a rychle ho zadáme.

Pokud si chcete uchránit soukromí, data a citlivé informace, nepoužívejte jednoduchá hesla obsahující slova, ale hesla náhodně vygenerovaná. Hesla byste ideálně měli ukládat do bezpečné aplikace k tomu přímo určené. Přečtěte si, co se všechno může stát, když se vašich hesel zmocní útočník, a jak tomu můžete předejít.

Co když se moje heslo prozradí?

Co se stane ve chvíli, kdy vaše heslo získá někdo cizí? Pokud máte stejné heslo k více stránkám, účtům či e-mailovým schránkám, útočníkovi velmi usnadníte práci. Místo jednoho profilu, schránky či účtu jsou v ohrožení úplně všechny.

Útočník vám může velice uškodit. Například přepsat, zavirovat nebo znefunkčnit vaše webové stránky, proniknout k vaší osobní či firemní poště, dokladům či fakturám. Ty může zfalšovat a rozesílat vašim klientům, aby z nich vymámil peníze. Může „vaším jménem“ rozesílat vašim přátelům či obchodním partnerům kompromitující zprávy a spam. Může vaším jménem zveřejňovat na sociálních profilech nepravdivé informace nebo lákat z vašich známých osobní údaje či peníze.

Prolomení hesla neuškodí jen vám

Útok na vaše soukromí může napáchat zlo, které ve finále nemusí poškodit pouze vás nebo vaši společnost, ale také firmu, která vám poskytuje webový prostor či emailové služby. Rozesílání spamu z takto prolomených emailových schránek má za následek, že server poskytovatele může skončit na tzv. blacklistech, a pak budou problém s odesíláním zcela korektní pošty mít i ostatní zákazníci, kteří využívají stejný server a emailové služby u téže firmy. Utrpí tak nejen vaše soukromí a podnikání, ale i dobré jméno vašeho poskytovatele.

Proč nechtít heslo pepa123

Jaká hesla jsou tedy bezpečná a jaká ne? Dejme tomu, že vlastníte doménu pepik.cz a máte email info@pepik.cz, ucetni@pepik.cz nebo pepa@pepik.cz. Častým případem hesel jsou pak: heslo123, pepa, pepik, pepik123, pepik2016, ucetni, ucetni123 a tak dále. Jedná se o kombinaci slov a čísel a to navíc ještě velmi nevhodnou, neboť slova jsou stejná jako název domény nebo schránky a čísla jsou v řadách, jako 1234, 98765 nebo letopočtech, jako 2016, 2017. Již několik let po sobě “vyhrává” nejhorší heslo 123456. Řada lidí taková — i ještě slabší, například pouze třípísmenná — hesla opravdu používá. Smutným faktem je, že se nejedná pouze o laiky, ale bohužel i některé IT společnosti.

Jak na to jdou útočníci

Proč jsou uvedená hesla tak nebezpečná? Útočníci vaše heslo nehádají, ale využívají automatizované metody, jak jej prolomit. (I když u výše uvedených typů hesel by ani jednotlivci netrvalo odhalení dlouho s použitím metody pokus omyl). Z automatizovaných metod je pak velmi oblíbený a známý například takzvaný slovníkový útok. Jedná se o techniku, která se pokouší uhodnout heslo z předem připraveného seznamu — slovníku. Ten obsahuje různá relevantní slova a mezi těmi prvními samozřejmě nebude nic jiného, než název domény a uživatele (tedy e-mailové schránky).

Útočný program pak pomocí takového slovníku zahájí útok a kombinuje slova ze slovníku s různými čísly, případně i slova samotná mezi sebou a slova s čísly. Uspět s takovým útokem je leckdy daleko efektivnější, než útok hrubou silou (brute force attack) a věřte, že slabá hesla útočník dokáže prolomit v řádu sekund, maximálně jednotek či pár desítek minut.

Jak vypadá neprůstřelné heslo

Pokud si chcete být opravdu jisti, že vám nikdo nepronikne do emailové schránky nebo účtu na sociálních sítích, měli byste heslo generovat nějakým generátorem hesel. Heslo by mělo mít minimálně 8 nebo více znaků, obsahovat malá a velká písmena, číslice a případně i speciální znaky. Právě náhodná kombinace všech těchto znaků zaručí, že nebude možné heslo uhádnout a použít na něj slovníkový útok. Navíc, čím delší heslo bude, tím menší je pravděpodobnost jeho prolomení hrubou silou, neboť počet kombinací, které by musel jakýkoliv generátor projít, s počtem znaků narůstá, a tak je v reálném čase zcela nemožné takové heslo odhalit.

Ale jak si bezpečné heslo zapamatovat?

Pokud používáte například Outlook či jiného klienta pro stahování pošty, heslo do něj zadáte pouze jednou, a tak si jej pamatovat nemusíte. Ve webovém prohlížeči máte možnost heslo uložit, což sice není 100% bezpečné, ale některé prohlížeče mají ještě možnost uložená hesla uzamknout pod dalším administrátorským heslem.

Další variantou je ukládat si hesla do bezpečného umístění — tedy ne pouze někam do textového souboru nebo na papírek pod klávesnicí. Využít můžete například program KeePass, kde se hesla bezpečně a šifrovaně uloží a vy je můžete pouhým kliknutím zkopírovat a následně vložit při přihlašování na nějakou stránku. Hesla v tomto programu vám pak chrání nějaké administrátorské heslo. Opět by nemělo být příliš jednoduché.