Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Složitá hesla byla 0my1, lituje autor návrhu. Časté změny spíše škodí

  14:00aktualizováno  17:32
Hesla hrají v počítačové bezpečnosti nezastupitelnou úlohu. Bohužel si řada lidí volí složité a těžko zapamatovatelné řetězce typu p0L3dn!ce. Jeden z autorů původních doporučení, William Burr, uznává, že šlo o chybu. Nově byste místo hesla plného čísel a písmen měli zvolit raději větší množství náhodně vybraných slov.

Jak si zapamatovat heslo? | foto: Profimedia.cz

Komunikace přes síť se neobejde bez autentizace. Nejčastějším způsobem, jak potvrdit svou identitu, je zadání jména a hesla. Jak si takové heslo zvolit, to obvykle software nebo služba nechá na uživateli. Jenže to vede k tragickým výsledkům: lidé si příliš často zvolí primitivní, a tedy i snadno uhodnutelné heslo typu 12345, heslo123 nebo aaaaaa.

Programátoři proto většinou uvalí na uživatele nějaké omezení. Nejčastěji je to nějaká kombinace těchto pravidel:

  • délka hesla alespoň osm znaků
  • heslo musí obsahovat alespoň jedno velké písmeno, jedno malé písmeno, alespoň jednu číslici a alespoň jeden „speciální znak“
  • heslo nesmí obsahovat „populární slovo“ nebo uživatelské jméno
  • heslo je potřeba pravidelně měnit

Jak zvolit silné heslo?

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

„Heslo“ stále patří mezi nejčastější hesla

Tyto podmínky byly součástí doporučení amerického Národního institutu standardů a technologie (NIST) z roku 2004. Právě tento dokument pomohl k tomu, aby se „prototypem správného hesla“ staly příklady ve stylu sUp3r.man nebo JarM!1ka.

Jedním z autorů byl tehdejší manažer William Burr, který je již v důchodu. Dvaasedmdesátiletý Burr po letech pro The Wall Street Journal popsal, jak tehdy s kolegy došel k radám, které formovaly pravidla v USA i po celém světě v následujících deseti letech. Podle něj existovalo málo dat ohledně volby hesel a Burr spolu s kolegy občas vycházeli z dokumentů z osmdesátých let 20. století. Přesto dělali, co bylo v jejich silách. „Výsledkem ale bylo, že jsme napsali dokument příliš složitě a řada lidí jej nepochopila. Poučovali jsme na nesprávném místě,“ uznává sebekriticky Burr.

Fotogalerie

Jak ukázala praxe, doporučení NIST byla v lecčems kontraproduktivní. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si Burr. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé jsou línější, než odborníci čekali

Teoreticky dávají samozřejmě klasická pravidla určující složitost (komplexnost) hesla smysl. Vycházejí z principu informační teorie zvaného entropie: ne každý znak hesla vnáší stejnou míru náhody a nejistoty. Pokud by například útočník věděl, že jste si zvolili heslo, které začíná písmeny „Pracha...“, nebude na prolomení posledních tří písmen hesla potřebovat mnoho pokusů, protože počet slov je značně omezený. Právě slovníkové útoky (kdy útočník strojově zkouší různá slova ze slovníku či databáze) vedly Burra a jeho kolegy k vynucení oněch speciálních znaků, čísel, velkých/malých písmen a časté obměny hesla.

Jenže lidé si obvykle musejí pamatovat více hesel, nejenom jedno, a pokud mají v hlavě žonglovat několik hesel zároveň, přijdou s různými nápady, jak si tvorbu složitého hesla zjednodušit. Číslem nahradí nějaké písmeno, které se tomuto číslu podobá (trojka vypadá jako E, jednička jako velké i nebo malé L, nula jako óčko apod.).

Nebo si vyberou jedno heslo a doplní jej o název služby, do které se právě přihlašují (PrachaticeIdnes, PrachaticeAmazon, PrachaticeGoogle...). V případě, že jde o vynucenou změnu hesla, jsou pak populární různá číselná rozšíření.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat...

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov

A protože jsou tyto nápady celkem univerzální, výsledkem je jejich předvídatelnost. Jak si všiml kreslíř komiksů Randal Munroe: „Za posledních dvacet let se nám podařilo vytrénovat všechny k tvorbě hesel, která jsou složitá na zapamatování, ale přitom jsou počítačem snadno prolomitelná.“

Namísto toho Munroe doporučuje kombinaci více krátkých, ale zato naprosto náhodně zvolených slov. Jako příklad uvádí heslo correct horse battery staple (správně kůň baterie svorka), což je podle něj heslo s vyšší entropií, ačkoli neobsahuje žádná čísla nebo speciální znaky. Navíc je pro lidi snadno představitelné a tedy i zapamatovatelné, zatímco pro počítač složité na uhádnutí, a to i při použití slovníkového útoku.

Co je nejdůležitější, když vybíráte heslo?

Silné heslo se nepozná podle počtu čísel nebo speciálníc znaků. Důležité je, aby bylo unikátní, dostatečně dlouhé a nešlo uhodnout

Teoreticky je nejlepší mít jako heslo dlouhý nesmyslný a náhodný řetězec znaků. Pro každou službu má mít uživatel unikátní heslo, které si uživatel nikam nezapisuje a pouze si jej pamatuje. To je ovšem v praxi obvykle nemožné. Redakce Technet.cz proto sestavila realističtější návod, jak vybírat hesla, na základě doporučení expertů, reálných zkušeností s dostupnými službami a s ohledem na schopnosti hackerů prolomit hesla.

  • Zvolte složité dlouhé heslo! Důležitá je jak délka hesla, tak jeho „náhodnost“. Příkladem dobrého a přitom zapamatovatelného hesla jsou třeba čtyři nebo pět náhodně vybraných, nesouvisejících slov: oselkytkahumoristabatoh
  • Neopakujte hesla! Každé heslo by mělo být unikátní, jinak hrozí, že pokud se útočník dostane k jednomu vašemu účtu, může se dostat k řadě dalších.
  • Silná a unikátní hesla tam, kde na tom záleží! Rozlišujte mezi důležitými a méně důležitými službami. Pokud někdo „prolomí“ vaše heslo k věrnostní kartě do drogerie, není to takové drama, jako když prolomí heslo k vašemu soukromému e-mailu. Dbejte proto na to, abyste u důležitých služeb (e-mail, sociální sítě, cokoli, co se týká peněz nebo ukládání dat...) měli nastavená silná a unikátní hesla.
  • Přihlašujte se přes zabezpečené stránky! Vždy alespoň letmým pohledem ověřte, že heslo zadáváte na stránce, která používá HTTPS (šifrované spojení mezi vaším prohlížečem a vzdáleným serverem). Znemožníte tak útočníkům odposlechnout vaše heslo po cestě (nebo jim to alespoň výrazně zkomplikujete).
  • Využijte dvoufaktorové zabezpečení! Tam, kde to služba umožňuje, nezapomeňte zapnout dvoustupňové ověření (též dvoufaktorová autentizace, dvoufázové ověření). Například Google, Facebook, Microsoft a většina poskytovatelů elektronického bankovnictví nabízí nějakou formu dodatečného ověření, ať už přes SMS (nedoporučuje se), speciální aplikaci nebo dokonce hardwarový token. Dvoufaktorové zabezpečení je sice někdy otravné, ale jde o zatím nejlepší zabezpečení proti řadě vzdálených útoků, jak cílených, tak plošných.
  • Využijte přihlášení skrze platformu, ale opatrně: některé služby umožňují přihlášení skrze platformu třetí strany (nejčastěji Google, Twitter nebo Facebook). Tím odpadá starost s výběrem uživatelského jména a hesla. Nezapomeňte ale zkontrolovat, zda tím nedáváte nějaké službě přístup k soukromým datům
LastPass 4.0
KeePass Password Safe
Aplikace 1Password má připraveny šablony pro uložení běžných typů záznamů, jako...

Správci hesel LastPass, KeePass a 1Password

Protože většina uživatelů využívá desítky nebo stovky on-line služeb, když přijde na bezpečnost hesel, každý se musí dříve či později uchýlit k nějakým kompromisům. Dělejte tyto kompromisy s rozvahou a pouze tam, kde nejsou v sázce důležitá data, soukromé údaje nebo klíčové služby.

Jedním z kompromisů, který je podle některých odborníků užitečný, je využítí tzv. správce hesel, tedy programu či služby pro bezpečné ukládání přihlašovacích údajů. Nedoporučujeme používat výchozí správce hesel v prohlížečích, jde často o velmi základní službu bez dodatečného šifrování nebo zabezpečení. Máme dobré zkušenosti se službami LastPass (on-line služba s pluginy pro prohlížeče a mobilní aplikací) a Keepass (off-line, opensource). Správce hesel se postará o ukládáná a generování hesla, stačí si pamatovat jedno hlavní heslo (master password), pomocí kterého jsou ostatní hesla šifrována. Pokud zapomenete své hlavní heslo, máte smůlu, neexistuje způsob, jak jej obnovit (kdyby existoval, šlo by o zranitelnost). Se správcem hesel tak můžete mít skutečně unikátní heslo pro každou službu. Na druhou stranu vkládáte značnou důvěru do provozovatele dané služby, a výzkumníci upozorňují, že i správci hesel mohou obsahovat bezpečnostní chyby.

Vyplatí se proto kombinovat více postupů pro zabezpečení, například silná unikátní hesla + správce hesel + dvoufaktorové ověření.

Nová pravidla počítají s lidskou psychikou

„Hodně z toho, co jsem tehdy napsal, dnes lituji,“ říká William Burr.

Na jeho místě dnes v NIST sedí Paul Grassi, který také vedl přepracování pravidel pro tvorbu hesel. Ten si nemyslí, že by na sebe měl být Burr tak přísný: „Napsal dokument, který v řadě ohledů vydržel platný deset až patnáct let. Můžu jenom doufat, aby můj dokument obstál tak dlouho.“

Grassi původně se svým týmem chtěl dokument pouze mírně aktualizovat. Konzultace s odborníky z oboru jej ovšem vedly k tomu, že nakonec začal práci úplně od základů.

Nejlepším heslem i nadále zůstává onen teoretický ideál - dlouhá změť naprosto náhodně zvolených znaků. Jenže požadovat po uživatelích, aby takováto hesla nejen vymysleli, ale ještě pak nosili v hlavě, je nerealistické.

Nová doporučení NIST z roku 2017 obsahují oproti předešlým letům řadu změn. Co se týče hesel, reagují právě na výsledky výzkumů a pozorování. V závěru sekce o heslech proto autoři zdůrazňují: „Požadavky na délku a komplexnost hesla výrazně zvyšují obtížnost jeho zapamatování a s tou roste i frustrace uživatelů. Ti se pak snaží tyto požadavky různé obcházet, což je kontraproduktivní.“

Doporučení NIST ohledně Elektronické autentizace (2017)

Doporučení NIST ohledně Elektronické autentizace (2017)

Pokud jste tedy programátor nebo IT administrátor, nezapomeňte nová pravidla vzít v potaz. Zvažte, zda je opravdu potřeba, aby každé heslo obsahovalo alespoň jeden speciální znak, jednu číslici. Přestaňte uživatele nutit heslo každou chvíli měnit - to jej vede jen k tomu, že volí hesla podobná, nebo si je píše na papírek, který má nalepený na monitoru.

Aktualizace: Do článku jsme doplnili doporučení ohledně bezpečnosti hesel.

Autor:




Hlavní zprávy

Další z rubriky

Smajlíky mohou komunikaci zrychlit, ale také způsobit nedorozumění.
Internetový smajlík slaví 35 let. Podívejte se, které kandidáty porazil

Původně měl usměvavý smajlík :-) označovat každou zprávu, která není myšlena vážně, zatímco zamračeným emotikonem :-( měly být označeny ostatní zprávy....  celý článek

Logo Pirate Bay
Stahujete z Pirate Bay? Zpomalí vám počítač, protože tajně těží kryptoměnu

Návštěvníci stránek torrentové sítě The Pirate Bay hlásí, že stránka jejich procesor využívá k těžbě digitálních měn.  celý článek

Homepage bankovnictví Servis24.
Uživatelé Servis24 hlásí omezení dostupnosti, nebude to prý trvat dlouho

Elektronické bankovnictví České spořitelny se dnes potýká se zhoršenou dostupností služeb pro některé klienty.  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.