Hesla, jejich bezpečná tvorba a správa

Heslo je nejčastějším způsobem autorizace, každý tedy ve svém životě používá a všichni jsme si museli nějaké vytvořit. Víme ale vůbec, jak hesla tvořit správně a jaké jsou zásady pro tvorbu dobrých a bezpečných hesel?

Zdroj: https://www.wplama.cz/jak-zmenit-heslo-u-uzivatelskeho-uctu-ve-wordpressu/

Nejobvyklejší hesla

Ze začátku krátce o tom, jaké obecné druhy hesel máme.

· Neunikátní — tento typ hesla je nejrozšířenější, jde o případy, kdy má každý uživatel unikátní jméno a heslo, do systému se přihlašuje zadáním právě těchto dvou údajů

· Skupinová — o skupinovém heslu mluvíme ve chvíli, kdy má více uživatelů jedno heslo. Osoba se tak nepřihlašuje jako jedinec, ale právě jako člen skupiny. Heslo zde sdílí větší množství lidí a proto je obecně méně bezpečné.

· Unikátní — uživatel nevyužívá k přihlášení jméno a heslo, ale pouze jeden dlouhý řetězec.

· Jednorázová — dají se použít jen a pouze jedenkrát. Často jsou generovány systémem při žádosti o změnu hesla, nebo se jedná o heslo pro první přihlášení, uživatel si pak musí hned změnit heslo za jiné, svoje vlastní.[1]

O tom, jaká hesla používáme, bylo provedeno několik výzkumů a napsaly se nejrůznější články. Zaměříme se tedy na ta nejzajímavější fakta.

Zajímavé je třeba to, že se 61 % respondentů domnívá, že by heslo mělo obsahovat speciální znaky, jenže vzápětí se z výzkumů dozvídáme, že reálně speciální znaky používá jen necelých 26 % uživatelů. Relativně dobře dopadla čísla, která jsou v heslu důležitá podle 84 % dotazovaných a reálně je používá asi 80 % lidí.

Podle výzkumu Jana Zítka ovšem 50 % lidí využívá v heslech jen malá písmena. Pokud někdo využívá při tvorbě hesel číslo, často využívá kombinace jako telefonní čísla anebo data narození.

Zejména v této oblasti, tedy složení hesel (písmena, čísla…) se jednotlivé výzkumy značně liší a uvádějí často relativně rozdílná data.

V obou zdrojích se také objevilo, že většina lidí využívá spíše kratší hesla, s délkou do 9 znaků. Úplně nejčastější je pak délka mezi 6 a 8 znaky.

Mnoho lidí hesla vytváří tak, aby si je snadno zapamatovali, používají tak něco, co jim dává mysl. Některé informace jsou ale snadno dohledatelné, a tím pádem heslo snadno prolomitelné. Použijeme-li například jméno domácího mazlíčka, útočník může právě tento údaj relativně snadno dohledat na sociálních sítích. Datum narození zase často zadáváme do nejrůznějších formulářů, navíc ho zná mnoho lidí z našeho okolí. Pokud narušitel zkouší naše heslo prolomit, všechny tyto informace jsou o nás docela dobře dostupné, navíc je do světa dáváme my sami.[2] [3]

Dobré je ale také říct si, že často se útočník k heslu dostane, aniž by musel cokoli prolamovat, heslo může odposlechnout, vidět uživatele při zadávání hesla anebo ho dokonce nalezne napsané na lístečku, protože stále má mnoho lidí zvyk heslo si psát, a hlavně nosit, s sebou.[4]

Několik zásad pro tvorbu bezpečného hesla

Heslo by mělo být dlouhé alespoň osm znaků, ale delší je samozřejmě lepší. Při tvorbě hesla je nejvhodnější použít číslice, velká i malá písmena a hlavně speciální znaky, jakými může být třeba ?, !, @, & a mnoho dalších. Každý znak by měl mít v heslu aspoň dva zástupce a je dobré vyhnout se opravdu zvláštním speciálním znakům. Pokud použijeme něco hodně neobvyklého, můžeme mít problém zadat tento znak na klávesnici, která má jiné rozložení než ta naše.

Pokud jsou na stránce kontrolní otázky, nevyužívejte takové, které se dají snadno zjistit (například rodné jméno matky). Nevyužívejte jedno heslo na více místech a své heslo nikomu neprozrazujte, ani svému partnerovi či nejbližšímu příteli.[5]

Zejména používání jednoho hesla na více místech je častý jev, je pak dobré si vytvořit alespoň několik kategorií stránek, mít jedno heslo na méně důležité stránky (ty, u kterých nehrozí velké nebezpečí zneužití a tolik nám na nich nezáleží) a na velice důležité stránky mít heslo speciální.[6]

Doporučované techniky na tvorbu hesla

L33t

Často používané doporučení je také tzv. l33t žargon, kdy ve slovech nahradíme písmena například číslicemi, které jsou písmenu graficky podobné, tedy třeba A — 4, E — 3, O — 0 a podobně. Slova pak vypadají nějak takto: lamer -> l4m3r, owned -> 0wn3d.

Takto vytvořené heslo obsahuje kombinaci několika druhů znaků, osoby, které nabourávají účty, ale jsou s tímto způsobem seznámeni a jejich prolamovací nástroje s touto technikou můžou počítat, existují teda ještě bezpečnější způsoby, jak si heslo vytvořit.

Říkanka, přísloví

Další častou používanou metodou může být třeba říkanka.

Příklad říkanka: Raz dva tři, my jsme bratři.

Takovouto říkanku můžeme přepsat tak, že použijeme vždy první písmena a slova, kde jsou číslice, napíšeme přímo jako čísla, tedy: 123mjb

Toto konkrétní heslo je ale moc krátké a navíc neobsahuje žádné speciální znaky, heslovat tak můžeme ještě trochu komplikovaněji.

Přísloví: Dvakrát měř, jednou řež!

Zakódujeme takto: Dm,j5!

Pomocí následujícího klíče:

D Dvakrát (první písmeno)

m měr (opět první písmeno)

, (napíšeme čárku, která se v textu také objevuje)

1 jednou (použijeme číslo)

5 řež (ř je na klávesnici na stejné pozici jako číslo 5)

! zakončíme přísloví vykřičníkem pro důraz

Zde spočívá problém zejména v zapamatování si celé pomůcky a tedy i hesla samotného, pro člověka, pro některé navíc může být velice obtížné takovéto zašifrování vůbec vymyslet.[7]

Generátory hesel

Jeden z opravdu spolehlivých a bezpečných způsobů, jak heslo vytvořit, je využít generátor hesel, těch existuje velké množství a stačí si vybrat, co nám bude více vyhovovat.

Můžeme použít online nástroj, dostupný zdarma na internetu, anebo přímo aplikaci, kterou si nainstalujeme do našeho zařízení. My si představíme dvě možnosti z online nástrojů, všechny generátory ale fungují velice podobně.

Generátor hesel

https://www.generator-hesel.cz

Na této stránce si můžete zvolit, jestli chcete, aby mělo vaše heslo malé znaky, velké znaky, číslice a speciální znaky, tyto možnosti můžete různě kombinovat, nebo zvolit jen jednu z nich, například si utvořit heslo jen ze speciálních znaků. Nastavit také může délku hesla, přičemž maximální délka hesla je 64 znaků.

Ukázka Generátoru hesel, zdroj: https://www.generator-hesel.cz

passGEN online

http://www.converter.cz/passgen/pswdgen.php

U tohoto generátoru si můžete vybrat jestli chcete zahrnout velká, malá písmena (případně oboje) a čísla. Neumožňuje výběr speciálních znaků. Umožňuje výběr délky hesla (horní hranice délky se nezdá být omezená, můžeme si vygenerovat heslo o tisících znaků). Generátor nám také vytváří několik možností hesel najednou (dle našeho zadání od jednoho po několik stovek), můžeme si tak vybrat to, které se nám nejvíc líbí nebo se nám zdá nejvíce zapamatovatelné.

Ukázka generátoru passGEN, zdroj: http://www.converter.cz/passgen/pswdgen.php

Správa hesel

Generátor hesel je jeden z nejbezpečnějších způsobů, jak hesla tvořit, jenže takto vygenerovaná hesla se také špatně pamatují, zde může pomoci správce hesel.

Tyto správce si prakticky vždy musíme nainstalovat do svého zařízení a velká část z nich je placená.

Sticky Password

Český produkt, umí generovat hesla, která potom sám šifruje a může je i automaticky vyplňovat do formulářů na webu. Jednou z jeho předností je třeba offline synchronizace, kdy se hesla můžou přenést jen pomocí Wi-Fi.

Zdroj: https://www.zive.cz/clanky/8-nejlepsich-spravcu-hesel-a-citlivych-udaju/sc-3-a-175533/default.aspx#part=6

KeePass

Tento správce je zcela zdarma a vyvíjí se jako open-source. Také obsahuje generátor hesel s možností nastavení síly hesla a typů znaků, které chceme využít. Pokud využijeme speciální klávesové zkratky, může nám také vyplnit hesla v prohlížeči.[8]

Zdroj: https://www.zive.cz/clanky/8-nejlepsich-spravcu-hesel-a-citlivych-udaju/sc-3-a-175533/default.aspx#part=3

Závěrem

Hesla jsou něco, co využíváme neustále a často chrání velice citlivá data, měli bychom proto dbát zásad jejich bezpečné tvorby. Můžeme využívat různé techniky, ale jedna z nejbezpečnějších možností je využití náhodného generátoru hesel, který nám dodrží hlavní zásady, kterými jsou délka hesla (nejméně 8 či 10 znaků), využití malých, velkých písmen, číslic a zejména speciálních znaků (ale zase ne tak speciálních, abychom je nedovedli napsat). Pro evidenci hesel můžeme použít některý z nástrojů správy hesel.

[1] Hesla. KADLECOVÁ, Petra. Motivace uživatelů používat bezpečná hesla: Bakalářská práce. Brno: Masarykova univerzita, 2011, s. 13.

[2] Zdroje: Nejpoužívanější hesla: pár statistik. Sievert: Tvorba webových prezentací [online]. 2012 [cit. 2017–10–30]. Dostupné z: http://www.janzitko.cz/nejpouzivanejsi-hesla-par-statistik/

[3] Počítačová bezpečnost a ochrana dat. Vyplň to [online]. 2014 [cit. 2017–10–30]. Dostupné z: https://www.vyplnto.cz/realizovane-pruzkumy/pocitacova-bezpecnost-a-ochr/

[4] Hesla. KADLECOVÁ, Petra. Motivace uživatelů používat bezpečná hesla: Bakalářská práce. Brno: Masarykova univerzita, 2011, s. 15.

[5] Bezpečné heslo: zásady tvorby bezpečného hesla. Policejní prezidium ČR, E-Bezpečí.

[6] Hesla. KADLECOVÁ, Petra. Motivace uživatelů používat bezpečná hesla: Bakalářská práce. Brno: Masarykova univerzita, 2011, s. 50.

[7] Jak vytvořit opravdu silné heslo. Linux expres [online]. 2008 [cit. 2017–12–01]. Dostupné z: https://www.linuxexpres.cz/praxe/jak-vytvorit-opravdu-silne-heslo

[8] 8 nejlepších správců hesel a citlivých údajů. Zive [online]. 2015 [cit. 2017–12–01]. Dostupné z: https://www.zive.cz/clanky/8-nejlepsich-spravcu-hesel-a-citlivych-udaju