Heslo je pro uživatele informačních a komunikačních technologií prvotní a základní ochrannou hradbou proti případným útočníkům, a proto je třeba heslu věnovat nemalou pozornost.

Vzhledem k tomu, že v dnešní době je na uživatele vytvářen tlak mít ke každé aplikaci a webové službě heslo, není pak prakticky v lidských silách zapamatovat si do každé takové služby jiné heslo. Často se pak stává, že uživatel rezignuje a u většiny webových služeb užívá stejné heslo. Toto je však jedna z nejhrubších chyb, které se může dopustit. Jednou ze zavedených praxí útočníků je prolomit a zjistit heslo u méně zabezpečených služeb, a toto následně užít u těch lépe zabezpečených, např. zjistit heslo u diskusního fóra, kam se uživatel přihlásil, a toto poté použít např. u sociální sítě Facebook. Je-li heslo u obou služeb stejné, značně útočníkovi ulehčil práci.

Vzhledem k tomu, že volba hesla je často podceňována, věnujeme heslu celou jednu kapitolu, ve které ukážeme několik elegantních způsobů tvorby silného a lehce zapamatovatelného hesla.

Heslo – co to je?

Heslo je řetězec nesnadno zjistitelných a uhodnutelných znaků, který se užívá jako identifikační a ověřovací prvek.

Společně s uživatelským jménem často tvoří základní uživatelovu ochranu užívaných zařízení (telefon, počítač apod.) nebo k různým aplikacím, webovým službám, přístupu k počítačovým systémům, sítím apod.

Délka a vlastnosti hesla

Co je nutné dodržet:

  • délka hesla minimálně 8 znaků (doporučení 12 – 14 znaků)
  • kombinace číslic, malých a velkých písmen a speciálního znaku (!, #, $, & apod.)

 

Určitě nepoužívat snadno uhodnutelná hesla:

  • běžná slova samostatně
  • jména blízkých osob
  • jméno domácího mazlíčka
  • datum narození
  • běžná posloupnost čísel (123456, 11111111 apod.)
  • očekávané náhrady znaků – např. A → 4, O → 0, S → $, I → 1 apod.

Síla hesla

Pojem síly hesla si představíme na obrázku č. 2. Zde lze vyčíst, jak dlouho bude trvat počítači se speciálním programem takové heslo prolomit.

Existuje mnoho programů specializovaných na prolomení hesla (passwordcrackery) užívajících různých metod prolomení (slovníkový útok, bruteforce útok atd.).

Slovníkový útok – program nejprve vyzkouší zadanou sadu nejužívanějších hesel, kterou připraví útočník. Úspěšnost útoku je tedy závislá na kvalitě zadané sady slov (slovníku). Seznamy nejpoužívanějších hesel jsou na internetu volně ke stažení. Slovníkový útok má velice vysokou úspěšnost!

Metoda brute-force – tedy metoda hrubou silou, využívá všechny možné kombinace znaků, a je tedy značně závislá na výkonu počítače.

Je třeba brát na zřetel, že výkon počítačů neustále stoupá a časy uvedené v tabulce se tím budou zkracovat. Rovněž i užití více počítačů užitých paralelně k prolomení hesla tuto dobu značně zkrátí.

Vyzkoušejte si sílu svého hesla na webu CSIRT-MU.

Test hesla bude proveden slovníkovým útokem i hrubou silou.
CSIRT-MU je bezpečnostní tým Masarykovy univerzity odpovědný za koordinaci řešení počítačových bezpečnostních incidentů.

Vytvoření hesla

Vytvořit tedy velmi silné heslo, ale lehce zapamatovatelné pro člověka, jsou naprosto protichůdné požadavky, avšak správným kompromisem lze bezesporu i toto splnit.

 

Svá hesla rozdělíme do tří základních okruhů:

  1. okruh (vstup do zařízení)

heslo do routeru, do počítače, do tabletu, mobilního telefonu apod.

  1. okruh (vstup do soukromí)

heslo do aplikací, mailového účtu, Facebooku, cloudových úložišť apod.

  1. okruh (ostatní)

heslo do internetových obchodů, diskuzních fór, chatů, online her apod.

[how_it_works border=“0″ number=“1″ title=“Můj pes má čtyři nohy a jeden ocas“]místo slova zvolíme lehce zapamatovatelnou větu[/how_it_works]
[how_it_works border=“0″ number=“2″ title=“mpm4na1o“]dle zvolené metody změníme některá písmena na velká (např. metoda: každé druhé písmeno)[/how_it_works]
[how_it_works border=“1″ number=“3″ title=“MpM4Na1o“]a je na světě dobré heslo[/how_it_works]

Heslo je možné dále modifikovat pro různé služby:

Ml01_MpM4Na1o – přihlášení do mailové schránky

MpM4Na1o_fc02 – přihlášení do facebooku

MpM4Na1o_Drp3 – přihlášení do cloudového uložiště (Dropbox)

Původní heslo doplníme námi vymyšlenou zkratkou služby, ke které se přihlašujeme, a toto oddělíme speciálním znakem, v tomto případě podtržítkem a doplníme číslovkou pořadí, v jakém byla služba v rámci časové osy zřízena.

Ochrana hesla

Své pracně vytvořené heslo je třeba dále ochraňovat – zejména tím, že jej nebudeme psát na papírek ležící u klávesnice, do poznámek v telefonu, a hlavně jej nebudeme nikomu sdělovat.

V rámci ochrany svého hesla musíme také zvažovat, na jakém zařízení a při jakém připojení k internetu jej budeme k přihlášení zadávat. Měli bychom pamatovat na to, že pokud se takto budeme připojovat např. v internetové kavárně, mohou zde být počítače vybaveny monitorovacím programem – např. keyloggerem (program zaznamenávající každou stisknutou klávesu) – a provozovatel takové internetové kavárny může získat obsah veškeré komunikace – tedy včetně hesla. Stejně tak může být vybaveno monitorovacím programem veřejné připojení k internetu, např. v nákupním centru.

Nejhorší hesla

Představme si seznam 25 nejhorších mezinárodních hesel pro rok 2016 dle společnosti SplashData (www.splashdata.com), který může být užit k prolomení hesla útočníkem metodou slovníkového útoku.

1. 12456

2. password

3. 12345

4. 12345678

5. football

6. qwerty

7. 1234567890

8. 1234567

9. princess

10. 1234

11. login

12. welcome

13. solo

14. abc123

15. admin

16. 121212

17. flower

18. passw0rd

19. dragon

20. sunchine

21. master

22. hottie

23. loveme

24. zaq1zaq1

25. password1

Bylo prolomeno některé vaše heslo?

Zkontrolujte, zda nejste uživatelem účtu, který je obsažen v některém seznamu odcizených dat.
Web haveibeenpwned.com vám prozradí, zda je nutné heslo změnit.
Zdroje:
KOHOUT, Roman a Radek KARCHŇÁK. Bezpečnost v online prostředí. Karlovy Vary: Biblio Karlovy Vary, 2016. ISBN 978-80-260-9543-9.

Související články

Jste škola a přemýšlíte o vzdělávací akci pro své žáky?