Jak dlouhá by měla být vaše hesla?
Až v posledních několika letech, kdy se náš život do značné míry přesunul do online světa, se lidé začali zajímat o zabezpečení svých hesel. Odborníci se již více než deset let snaží všechny přesvědčit, že by se měli více snažit, a řada úniků dat nás přesvědčila o tom, že mají pravdu.
Většina lidí si bohužel obecně myslí, že řetězec 6-8 alfanumerických znaků je dostatečně silné heslo, ale realita je taková, že vytvoření silného hesla je mnohem komplikovanější. Různé požadavky webových stránek na vytvoření zabezpečeného hesla nám pak dávají spíše falešný pocit, že jsou naše účty plně zabezpečeny.
📝Obsah
Na délce záleží
I když si spousta lidí myslí, že pokud jde o hesla, tak záleží hlavně na složitosti a nepředvídatelnosti. Mnohem spíše ale záleží na délce samotného hesla.
Jedním z nejběžnějších způsobů hackování hesel je technika zvaná útok hrubou silou, anglicky brute force attack. Nejlepší způsob, jak tento typ útoku popsat, je si představit klasický zavírací zímek, který se odemkne, pokud správně nastavíme 3 čísla. Pokud o majiteli zámku něco címe, můžeme začít zkoušet pravděpodobné kombinace, případně kombinace, které usoudíme, že jsou nejpoužívanější (111, 123, 666 atp.). Pokud se nám zámek nepodaří odemknout, začneme zkoušet každou možnou kombinaci, jako je 001, 002, 003 atd.
Útok hrubou silou funguje přesně takto, jen se o zkoušení hesel stará automatizovaný software a výpočetní výkon. Pokud musíme zkoušet veškeré kombinace hesel, tak na délce záleží. Každý další znak v hesle výrazně násobí čas, za který bude tento útok hrubou silou úspěšný.
Pokud budeme brát klávesnici o 94 znacích (což zahrnuje písmena, čísla a základní speciální znaky), tak můžeme vytvořit 6 biliard kombinací 8místného hesla. Biliarda je 1 následována 15 nulami, tedy milion miliard.
To může vypadat jako extrémně vysoké číslo, ale výpočetní výkon jde neúprosně dopředu. I obstarožní počítače dokážou vyzkoušet desítky tisíc kombinací za sekundu. Modernější počítače se budou pohybovat v řádech milionů, a propojené sítě pak klidně i miliardy kombinací za sekundu. Prolomit takovéto heslo by trvalo hodiny až dny.
A právě zde přichází na řadu délka hesla. Počítali jsme s klávesnicí o 94 znacích. Každý další znak v heslu prodlouží čas pro úspěšný útok hrubou silou 94krát. Z hodin až dnů jsou najednou týdny až měsíce, přestože přidáme jediný znak.
Jak dlouhé by tedy mělo být naše heslo?
Je potřeba počítat s tím, že výpočetní výkon jde neustále kupředu a exponenciálně roste. Heslo, které by přes deseti lety bylo nerozlousknutelné, je dnes už poměrně slabé.
Doporučení je používat heslo o minimálně 12 znacích, a čím více, tím lépe. Pokud je toto heslo náhodné a nelze ho například odhadnout slovníkovým útokem nebo zkoušením nejpopulárnějších hesel, tak by útoku hrubou silou trvalo i superpočítačům stovky let, než by toto heslo rozlouskly. 12 znaků je ovšem spíše minimum, lepší je do budoucna volit heslo o 16 znacích.
Nepoužívejte ke všemu stejná hesla
Nyní se dostáváme k největšímu problému ze všech. Nezáleží na tom, jak složité nebo dlouhé je vaše heslo, pokud jej používáte pro mnoha různých službách. Prolomení zabezpečení jedné služby (ne tedy nutně vašeho hesla), která vaše heslo ukládá v textové formě, znamená prolomení všech dalších služeb, kde toto heslo používáte.
S používáním různých hesel krásně pomáhají správci hesel, které hesla vytvářejí náhodně, a navíc jsou všude hesla jiná. Vy pak držíte jedno heslo, které odemyká hesla ostatní. Pamatovat si tak musíte pouze jedno jediné heslo, které by zákonitě mělo být opravdu extra silné a vše by mělo být pojištěné dvoufázovým ověřením.
Nepropadejte panice!
Zabezpečení online účtů je zásadní, ale jestli máte někde slabé heslo, nezačněte panikařit. Weby nedovolují neomezený počet přihlášení a před útoky hrubou silou jsou často dobře chráněny. Slabá hesla si samozřejmě změňte a/nebo přejděte na správce hesel.
Stejně tak by vaše hesla měla být uložena v zašifrované podobě, aby je útočníci ani při úniku dat nezískali. Přestože útoky hrubou silou tak typicky vaše hesla neprolomí, stále je dobré si volit silná hesla. Nemusíte ale okamžitě řešit, že má vaše heslo jen 11 znaků namísto doporučovaných 12.