Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu

Hesla mohou být hloupá i efektivní zároveň, říká bezpečnostní expert

aktualizováno  12:55
Jaké děláme chyby v heslech? Jaké má výhody a nevýhody přihlašování přes sociální sítě? Máme ukládat hesla do prohlížeče? Zeptali jsme se Davida Jacobyho, experta z bezpečnostní organizace Kaspersky Lab.

David Jacoby na konferenci Cyber Security Weekend | foto: Kaspersky Lab

David Jacoby nás už před samotným rozhovorem varoval, že je celá řada otázek, na které odpovídal novinářům už tolikrát, že je nechce slyšet znovu. My jsme se naštěstí dali do řeči o heslech, což je pro Davida velice sympatické téma, o kterém by mohl mluvit hodiny.

Švédský výzkumník ve firmě Kaspersky Lab si na nás udělal čas během Cyber Security víkendu v maďarské Budapešti, kterou pořádala právě tato ruská bezpečnostní firma. V rozhovoru přišla řeč mimo jiné na poslední trendy v heslech, problematiku užívání správců hesel a přihlašování pomocí účtů na sociálních sítích. David Jacoby také ukázal, že zapamatovat si více hesel je daleko jednodušší, než si myslíte.

Co jsou nejčastější chyby v heslech, které lidi dělají?
Nemají unikátní hesla. Pořád používají jedno heslo dokola na několika různých stránkách. Když se zeptáte někoho z branže, co si máme představit pod pojmem bezpečné heslo, vždycky začnou mluvit o algoritmech. Což může být správně z pohledu matematiky, ale jen o tom počítačové zabezpečení není. Je hlavně o praktickém využití. Takže mít unikátní hesla je podle mě daleko bezpečnější, než mít jedno složité, komplexní heslo. Radši budu mít deset jednoduchých než jedno hodně komplexní.

I na méně důležitých stránkách musíme mít unikátní hesla?
To je v pořádku, tam si klidně používejte mizerná hesla. Já to dělám taky, mám jedno heslo, které používám na hromadu nedůležitých stránek. Když je někdo napadne, je mi to úplně jedno. Pokud tato špatná hesla nepoužíváte zároveň i na stránkách, které považujete za důležité, pak v tom není problém. Na stránkách, které obsahují osobní informace, a třeba i údaje o kreditní kartě, tam samozřejmě potřebujete silné heslo.

Jaká hesla jsou podle vás ta naprosto nejhloupější?
Nejhorší je, když se lidé inspirují třeba tím, co mají na pracovním stole. Vidím tužku, tak tužka bude moje heslo. O to hůř, že většina těchto hesel je dohledatelná ve slovníku. Což nahrává všem, kteří by ho chtěli případně prolomit. A přitom můžeme použít například větu: Mám rád opice a okurky. Je to v podstatě hloupé, ale efektivní. A rozhodně lepší než heslo „tužka“.

20 hesel si zapamatujete snadno, tvrdí David Jacoby

Základní chybou, kterou nám ohledně hesel neustále vštěpují do hlavy, je nutnost jejich komplexity. Ve skutečnosti je však nejdůležitější unikátnost. Příklad: Použijte oblíbenou citaci z filmu. Například slavnou hlášku Forresta Gumpa: Život je jako bonboniéra. To dělá dohromady 21 znaků bez mezer. Nyní každé první písmeno slova udělejte velké: Život Je Jako Bonboniéra. Nyní potřebujete nějaké „speciální znaky“. Vyplňte tedy mezery například otazníky: Život?Je?Jako?Bonboniéra. 24 znaků, včetně speciálních. Silné, unikátní heslo.

Alternativně podle Jacobyho můžete využít jen první písmena ze slov fráze, hlášky či písničky: „Taková kombinace nedává na první pohled smysl, ale protože je to vaše osobní asociace, je snadné si ji zapamatovat.“

Jak takových hesel udržet v paměti 20? Využijte asociace. Vezměte první věc, která vás napadne, když se řekne Skype. Tedy například přezdívka nebo jméno člověka, se kterým si píšete nejčastěji. Z hesla pro Skype je rázem: Život?Je?Jako?Bonboniéra?Tomáš. To samé udělejte pro všechny ostatní stránky, které navštěvujete, a přiřaďte k nim to, co se vám pod konkrétní stránkou vybaví.

Různým strategiím pro tvorbu hesel jsme se věnovali v Návodu na práci s hesly.

Je podle vás bezpečné registrovat se na stránky přes účet na Facebooku?
Facebook je poměrně dobře zabezpečený, což ale nemusí platit o stránce, na kterou se registrujete. Pak posíláte všechny svoje důvěrné informace z Facebooku nebo jiné sítě právě tam. A ve výsledku může někdo získat přístup k vašemu účtu.

Skutečně? Takže bychom měli být více na pozoru před takovýmto způsobem přihlašování a registrace?
Já myslím, že ano. Ale na druhou stranu je to něco, co nám dává spoustu praktických výhod. Zejména proto, že tím zcela odstraňujete hesla a zbytečné účty. A to je určitě dobře. Ale pokud by to vedlo k narušení našich dat, pak máme samozřejmě problém. Po pravdě řečeno, výzkum v tomto ohledu ještě nedošel tak daleko, abychom vám dali jasnou odpověď. Nevíme, jaká data konkrétní stránky potřebují, ani jak s nimi dále pracují, jestli pouze pro ověřovací nebo i jiné účely, takže říci s jistotou, jestli vám ta či ona stránka napadne profil, v tuto chvíli příliš nejde.

Jaký je váš názor na správce hesel? Doporučujete je používat?
Ano, zcela určitě. Ale předně je potřeba pochopit, jak správci hesel fungují. Není pravda, že vás takové nástroje ochrání před vším. Stejné je to s antivirovými programy. To, že máte antivirový program, neznamená, že můžete na internetu dělat cokoliv. A to platí i pro správce hesel. Jsou užitečné, ale rád bych viděl, že lidé rozumí, k čemu slouží a před čím vás neochrání.

Myslíte si, že správci hesel mohou být použity i proti nám?
Určitě. Vím dokonce o některých, a radši bych je nejmenoval, co ukládají všechny hesla na cloudu. Samozřejmě zašifrovaná, ale vždy je tam šance, že se k nim někdo dostane.

Co ukládání hesel v prohlížeči? Je správné si je ukládat?
Ne, určitě ne. Hesla se v prohlížeči ukládají jako nezašifrovaný text. Prohlížeč vaše heslo zná, jen ho nahradí tečkami.

Takže bychom hesla měli pokaždé psát a neukládat je?
Není to tak úplně jednoduché. Na jednu stranu to pomáhá lidem v přístupu na stránky, na druhou stranu to v lidech utvrzuje pocit, že si zkrátka nemohou zapamatovat 20 různých hesel. Což není pravda, pokud znáte kreativní způsob, jak takové heslo vymyslet (viz boxík, pozn. redakce). Ano, ukládat si hesla může být v pořádku, ale musíte si zkrátka uvědomit, že ty hesla máte uložené v počítači, v jeho registrech. A pokud někdo získá přístup k vašemu počítači, může najít i vaše hesla.

Aktualizace: Do článku jsme doplnili další možnosti tvorby hesel.





Najdete na iDNES.cz



mobilní verze
© 1999–2016 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je součástí koncernu AGROFERT ovládaného Ing. Andrejem Babišem.