Jak si zvolit silné heslo, které si snadno zapamatujete
Pokud útočník uhádne kombinaci našeho přihlašovacího jména a hesla, máme po srandě. Někdy existují způsoby, jak se i z této situace dostat, třeba obnovou hesla, ale pokud jde o zásadní službu, jakou může být třeba naše e-mailová adresa, můžeme si zadělat na problém. Podíváme se, jak by mělo vypadat naše heslo a jaké jsou nejčastější útoky, které hackeři podnikají na naše účty.
Ta nejlepší hesla zmaří útoky hrubou silou i ty slovníkové, ale měli bychom si je také poměrně snadno zapamatovat. Podíváme se, jak tyto útoky vypadají, a jak vzhledem k jejich způsobu volit heslo tak, aby útočníci neměli šanci.
📝Obsah
Hesla jsou běžnou součástí našich životů
Hesla umožňují přístup k obrovskému množství služeb od e-mailových adres, po sociální sítě nebo třeba i internetové bankovnictví. Jestli si kladete otázku, jak si vytvořit co nejlepší a nejsilnější heslo, jste na správném místě. Je to naprostý základ toho, aby vaše účty byly v bezpečí. Je pravda, že i se silným heslem je možné zabezpečení prolomit, ale se slabým heslem budou vaše účty naprosto vždy v ohrožení.
Jaké je tedy řešení? Nepřekonatelná hesla. Ale než se podíváme na to, jak si takové heslo vytvořit, pojďme se nejprve podívat na různé způsoby hackování hesel, abychom pochopili nejběžnější metody, které se dnes používají.
Jak dojde k hacknutí hesla?
Kyberzločinci mají k dispozici několik taktik hackování hesel, ale nejjednodušší je jednoduše koupit si hesla z dark webu, tedy jakéhosi podsvětí internetu. Hesla používáme k přihlašování do řady služeb a někdy používáme heslo stejné. Tyto služby, což mohou být třeba různá ne zrovna dobře zabezpečená fóra nebo třeba filmové fanouškovské stránky, se mohou stát snadným terčem útoku, kdy útočníkům jde o seznamy uživatelů s jejich hesly. Ty se pak mohou prodávat za velké peníze na černém trhu. Je pak vlastně jedno, jak silné máme heslo, když ho útočník prostě zná
Jednoduše řečeno to znamená, že pokud používáte jedno heslo na mnoha službách a po řadu let, je na čase minimálně u těch nejdůležitějších služeb heslo změnit.
Pokud používáte různá hesla a u důležitých přístupů je jisté, že se hesla nedostala na agregované seznamy černých trhů, musí je útočníci prolomit jiným způsobem, o kterých si také povíme.
Útok hrubou silou (Brute force attack)
Tento typ útoku se snaží uhodnout každou kombinaci znaků, která existuje, dokud nenarazí na vaše heslo. Útočník disponuje softwarem, který v co nejkratší době vyzkouší co nejvíce kombinací. Díky rychlosti počítačů jsou útoky hrubou silou stále efektivnější a hlavně krátká hesla mohou být prolomena klidně i během sekund. Útočníci mohou vyzkoušet klidně stovky miliard kombinací za sekundu, kdy ani kombinace velkých a malých písmen, číslic a speciálních znaků prostě nepomůže.
Proti útokům hrubou silou se obecně bojuje tak, že používáme dlouhé heslo. Obecně cokoliv pod 12 znaků je velmi náchylné k prolomení. Každý znak navíc, který v heslu používáme, výrazně prodlužuje dobu pro provedení úspěšného útoku hrubou silou.
Proti podobným útokům jsou služby zabezpečeny třeba omezeným počtem pokusů o přihlášení, ale i tak platí, že čím delší heslo, tím lépe je váš účet chráněn.
Slovníkový útok
Tento útok je přesně to, jak zní – hacker na vás v podstatě útočí pomocí slovníku. Zatímco útok hrubou silou zkouší každou kombinaci symbolů, čísel a písmen, slovníkový útok zkouší předem připravený seznam slov, která najdete ve slovníku nebo z informací, které o nás útočník zjistí.
Pokud je vaše heslo běžně používané slovo, tak ho slovníkový útok poměrně snadno odhalí. Slov prostě není tolik a vyzkoušet všechny kombinace včetně nahrazování znaků čísly nebo používání velkých písmen, je prostě obrovsky rychlé. Heslo typu „Hesl0“ bude odhaleno prakticky okamžitě.
Abyste přežili slovníkový útok, tak vaše heslo nesmí být běžné slovo, ale změť znaků, nebo musíte běžná slova poskládat za sebe a vytvořit tak víceslovné fráze typu „PradloOrangutanPomerancBeatles“. Čím více slov ve frázi, tím hůře se tato hesla prolamují. Navíc je potřeba zvolit i taková slova, která nejsou zcela zjevná – může jít o cizí slova, slova která nepoužíváte, nebo třeba jméno oblíbené kapely nebo filmu.
Velmi pěkně na toto téma pojednává toto video – můžete si k němu zapnout automatické české titulky:
Phishing
Nejzákeřnější taktikou útočníků je takzvaný phishing (čteme fišing, tedy stejně jako rybaření – fishing). Během tohoto útoku se útočníci pokouší klamat, zastrašovat nebo na prostřednictvím sociálního inženýrství tlačit, abychom nevědomky dělali, co chtějí.
Phishingový e-mail může (falešně) sdělit, že s vaším účtem na kreditní kartě není něco v pořádku. Nasměruje vás na kliknutí na odkaz, který vás přenese na falešný web vytvořený tak, aby připomínal web banky. Pokud na tomto podvodném webu zadáte své heslo, útočníci ho okamžitě mají a ihned použijí.
Phishingové útoky dříve bývaly velmi průhledné – ve zprávách se nacházely překlepy, grafika byla rozbitá a podvodné weby nebyly třeba ani přeložené. Dnes jsou útočníci velmi sofistikovaní a podvodný web může být zcela k nerozeznání od webů oficiálního, e-maily jsou naprosto bez chyb a opravdu vše vypadá velmi důvěryhodně. Proto je phishing něco, na co je potřeba si dávat opravdu velký pozor.
Anatomie silného hesla
Nyní, když víme, jak jsou hesla hackována, můžeme vytvořit silná hesla, která přežijí (doufejme) každý útok (i když způsob, jak přežít phishingový útok, je prostě se nenechat nachytat). Vaše heslo je dostatečně silné, pokud budeme dodržovat tato základní pravidla:
Selský rozum aneb Nevolit hloupá a průhledná hesla
Nikdy bychom neměli používat zjevná a zřejmá hesla. Neměli bychom používat pořadová čísla, jména, a rozhodně ne hesla typu „heslo“, „password“ a podobná, a to i třeba za použití tvaru „p455w0rD“.
Vymyslete jedinečná hesla, která neobsahují žádné osobní údaje, jako je vaše jméno nebo datum narození, tedy údaje, které lze poměrně snadno dohledat nebo zjistit. Pokud se na vás útočník zaměří, při odhadování hesel se pokusí zneužít vše, co o vás ví. Pozor tedy i na hesla, ve kterých je součást něco, co lze snadno dovodit z vašich sociálních sítí nebo obecně veřejně dostupných informací o vás.
Jestli používáte některé z podobných hesel, nebo jiné naprosto zjevné varianty, doporučujeme okamžitě tato hesla změnit, protože si koledujete o hacknutí vašich účtů:
Nejpoužívanější slabá hesla na internetu |
123456 |
123456789 |
qwerty |
111111 |
password |
12345678 |
abc123 |
1234567 |
password1 |
123123 |
Prolomí heslo hrubá síla?
S ohledem na povahu útoku hrubou silou můžete podniknout konkrétní kroky, abyste útočníky odradili:
- Heslo musí být dlouhé – Toto je nejdůležitější faktor. Heslo by mělo mít alespoň 15 znaků
- Použijte kombinaci velkých a malých písmen, číslic a speciálních znaků – Čím více namícháte písmena, čísla a speciální znaky, tím silnější je vaše heslo a tím těžší je jeho prolomení útokem hrubou silou
- Vyhněte se běžným substitucím – Hackeři zkouší nahrazovat běžné znaky písmeny, jako v případě zmíněného „password“ a „p455w0rD“. Pro útočníka není problém nastavit, že se budou i tyto varianty zkoušet. Naopak velmi může pomoci vložení zcela náhodného symbolu ideálně doprostřed slova, respektive série slov.
- Nepoužívejte řady na klávesnici – Nepoužívejte hesla jako qwertz, qwerty a podobná, která jsou snadno viditelná na první řadě klávesnice a používají se prostě proto, že se snadno píšou.
Prolomí heslo slovníkový útok?
Klíčem k zastavení tohoto typu útoku je zajistit, aby heslo nebylo jen jediným slovem. Několik slov v řadě tento útok poměrně úspěšně zmaří, zvlášť pokud do hesla zakomponujeme různé další speciální znaky.
Příklady nejlepších hesel
Správné heslo by mělo být snadno zapamatovatelné pro vás, ale velmi složitě uhodnutelné pro počítače. Jestli si sami heslo nezapamatujete, tak to není dobré heslo, ale heslo by také nemělo být moc krátké, jen aby bylo zapamatovatelné. Podívejte se na následující tipy.
Řada slov s něčím navíc
Výše jsme uvedli příklad hesla „PradloOrangutanPomerancBeatles“, ale co kdybychom provedli jednoduchou změnu na „PradloOra&ngutanPomerancBeatles“? Přidali jsme jeden symbol, který je svým způsobem nesmyslně uprostřed slova. Aby mohl útočník provést úspěšný slovníkový útok, musel by doplnit podmínku, že začne takto dovnitř slov vkládat symboly. To jednak útočníka nemusí napadnout, jednak i kdyby tuto podmínku do útoku doplnil, výrazně by se prodlužoval čas, než by na správné heslo přišel.
Skvělé je také vkládat slova, která nejsou běžná, jsou v jiném jazyce, může jít o netradiční jména společností nebo to třeba ani nejsou slova, ale prostě něco, co si vy a jen vy pamatujete (třeba nějaká hodně kreativní přezdívka, kterou jste častovali spolužáka na základní škole).
Slova samozřejmě můžete různé komolit, přidávat substituce nebo i více speciálních znaků přímo do slov. Každý tento aspekt zvyšuje bezpečnost hesla, ale zase by mělo být heslo stále zapamatovatelné.
Metoda věty
Myšlenkou je vymyslet náhodnou větu a pomocí pravidla ji převést na heslo. Můžete třeba z každého slova odebrat druhé písmeno, ale větu a pravidlo si vymyslete zcela sami.
Příklad: Věta „Nejradeji chodim do hospody Na Paloucku“ by mohlo být podle pravidla odstranění každého druhého znaku v každém slově heslo „NjradejicodimdhspodyNPloucku“.
Pro kohokoliv jiného je tohle heslo naprosto nesmyslné, ale díky tomu, že znáte původní větu a pravidlo, jak z věty odebírat písmena, na heslo vždy snadno přijdete. Heslo je ale dlouhé a nelze na něj přijít slovníkovým útokem, protože vlastně ani nepoužíváte slova.
Použijte vícefaktorové ověřování
Všechna hesla se mohou dostat ven, nebo být prolomena. Může jít o phishingový útok nebo opravdu zdatného hackera. Proto byste měli hlavně vaše nejdůležitější účty chránit i jinak, než jen heslem.
Vícefaktorové ověřování (někdy také vícefázové ověření, v angličtině Multi-factor authentication – někdy také MFA nebo 2FA) přidává další vrstvu ochrany (která se stane vaší první vrstvou ochrany v případě úniku podrobností vašeho účtu).
Vícefaktorové ověřování je další ověření, že jste to skutečně vy. Kromě hesla může jít třeba o otisk prstu, ověření sítnice, nebo zadání hesla z tokenu, případně třeba ověření přes e-mail nebo SMS (i když je pravda, že ověření přes SMS se dnes moc nedoporučuje). Heslo samotné se tak stane jen polovinou skládačky, jak se dostat do účtu. I když tak třeba hacker heslo prolomí, tak mu může zabrat další čas, než pronikne druhou vrstvou vašeho zabezpečení.
Použijte autentizační aplikaci pro chytrý telefon
Nejlepší metodou vícefaktorového ověřování je použití specializované aplikace pro váš chytrý telefon. Aplikace jako Google Authenticator (pro iOS zde, pro Android zde) generuje jednorázový PIN, který zadáte jako další faktor během procesu přihlášení. PIN se automaticky mění každých 30 sekund. Nastavení vícefaktorového ověřování probíhá v jednotlivých službách, ale použití je takové, že když se přihlásíte heslem, tak pak ještě zadáte PIN, čímž je přihlášení dokončeno.
Další bezpečnostní tipy týkající se hesel
Chraňte své přihlašovací údaje dále pomocí těchto tipů:
- Na veřejné Wi-Fi síti používejte VPN. Tímto způsobem je vaše komunikace se servery šifrována, takže jsou i vaše údaje ve větším bezpečí.
- Nikdy nikomu nepište ani neposílejte své heslo e-mailem nebo přes různé chatovací nástroje.
- Při výběru bezpečnostních otázek pro obnovu hesel při vytváření účtu zvolte těžko uhodnutelné odpovědi, které znáte jen vy, nebo jako odpověď zvolte další silné heslo. Tyto bezpečnostní otázky se mohou snadno stát zranitelným místem vašeho účtu, když zvolíte takové odpovědi, které lze dohledat třeba na sociálních sítích.
- Používejte na počítači i mobilu bezpečnostní software.
- Udržujte operační systém i software vždy aktuální. Aktualizace neslouží jen kvůli přidávání funkcí, ale i k zacelení bezpečnostních děr.