Chytře a efektivně na osobní hesla - 1. díl
- Martin Janda
- IT bezpečnost , Pro všechny čtenáře
- 17. 10. 2023
Kolik máte účtů do online služeb? Kolik hesel si pamatujete? Nejčastějším případem prolomení bezpečnosti je prozrazení hesla. V článku se dozvíte bezpečnější strategii pro nakládání s hesly.
Gmail, e-mail na seznamu, pracovní e-mail, Skype, Google účet, Facebook účet, Twitter účet… vaše online identita se skládá z mnoha účtů.
Kromě online služeb tu máme další služby, kde je potřeba si pamatovat heslo: bankovní účet, PayPal účet, platební karty, PIN do telefonu…
Mám jen jedno heslo na vše
Pokud používáte jedno heslo na vše, není to dobře. Určitě jste slyšeli, že z té nebo oné služby byly ukradeny hesla uživatelů. Mezi nimi může být právě ten váš účet včetně hesla a emailu. Co pak útočníkovi brání získat přístup do vaší emailové schránky právě s tím jedním heslem? A když už je ve vaší schránce, vlastní vaši identitu, protože v emailech najde hesla a získá přístupy do dalších služeb, vidí osobní komunikaci apod. Jedno heslo používané všude, ať je sebelepší, je špatný přístup!
Různá hesla… ale jak je uchovávat?
Mnohem lepší strategie je mít více hesel - ideálně pro každou služby zvlášť. Toho lze dosáhnout různě. Například můžete mít základní heslo a to nějak rozšiřovat dle dané služby. Třeba rozdělit heslo na polovinu a doprostřed vložit název služby. Je to mnemotechnická pomůcka a funguje. Odolá automatizovaným útokům, ale cílenému zneužití už asi ne.
Další možností je napsat si hesla na papír nebo do souboru na PC. Papír můžete ztratit nebo vám může být ukraden. Soubor může někdo zkopírovat nebo si hesla prostě přečíst.
Podle mě je pro většinu případů nejlepší si osvojit tyto strategie:
- Používat správce hesel.
- Tam kde to jde a služba není kritická použít “Single Sign-On”
- U důležitějších služeb používat dvoufázové ověření.
Správce hesel
Na trhu najdete hned několik aplikací typu správce hesel. Jsou to prográmky, které drží databázi vašich hesel v silně zašifrovaném souboru (třeba algoritmem Twofish s 256 bitovým klíčem). Vy pak máte jedno heslo ke všem ostatním heslům.
A jak si vytvořit to jedno bezpečné heslo?
To jedno hlavní heslo by mělo být opravdu bezpečné. Doporučená délka je aspoň 12 znaků. Délka hesla u šifrování souvisí s prolomitelností šifrovaného souboru (u většiny algoritmů). Dále je vhodná kombinace čísel a písmen (ochrana před slovníkovým prolomením). Strategií je samozřejmě mnoho.
Díky češtině však máme řešení tvorby hesla před sebou. Můžeme využít písmena se znaménky jako zástupné znaky pro čísla, tak jak jsou na klávesnici. Třeba ze slov „čeština válí“ máme hned bezpečné heslo „4e3tinav8l9“.
Single Sign-On
Jistě máte účet na Google, Facebook, Apple, Microsoft atd. Pokud chcete využít novou on-line službu, velmi často se potkáte s možností přihlášení/registrace pomocí funkce “Přihlásit se s X” viz obrázek níže.
Tato funkce se nazývá Single Sign-On (SSO) a je to velmi pohodlný způsob, jak se přihlásit do služby. Nemusíte si pamatovat další heslo a nemusíte se starat o jeho bezpečnost. Přihlášení je zabezpečeno vámi používanou službou, do které jste již přihlášeni.
Dvoufázové ověření
Dvoufázové ověření (2FA) je další vrstva zabezpečení. Kromě hesla je potřeba zadat ještě další kód. Ten může být generován aplikací na telefonu nebo poslán SMS zprávou. Výhodou je, že i když někdo získá vaše heslo, bez tohoto kódu se do účtu nedostane. Nevýhodou je, že je potřeba mít vždy u sebe telefon. Pro případ ztráty telefonu je vhodné si zazálohovat tzv. recovery kódy. Ty se vám zobrazí při aktivaci 2FA a je potřeba si je někam zapsat… třeba do správce hesel?
Co s hesly určitě nedělat?
- Ta důležitá neukládat do prohlížeče. Ke každému existuje nástroj, jak ta hesla z dat na disku vytáhnout. Chápu, že kvůli pohodlnosti u méně kritických služeb to stejně děláte, ale u těch důležitých služeb se toho vyvarujte.
- Neukládat hesla v plain textu na disk.
- Vytvořte si opravdu silné heslo do emailové schránky. Průlom do emailu většinou znamená kompromitaci všech dalších účtů.
- Nepište PIN platební karty na kartu nebo na papírek vedle.
V příštím díle se podíváme na konkrétní aplikace pro správu hesel.