V reakci na článek Neměníte hesla dost často a nechráníte si je? Škodu vám nikdo neuhradí, který mylně popisuje, jak si vytvářet hesla, autor napsal tento odborný text určený pro širokou veřejnost. Další text o Zabezpečení na úkor použitelnosti, které jde na úkor bezpečnosti popsal pro náš sesterský portál Lupa.cz bezpečnostní expert Michal Špaček.
Heslo je stále naprosto zásadním identifikačním prvkem. Jeho znalost vás odlišuje od náhodného kolemjdoucího. Jen podle hesla počítač či služba pozná, že jste to opravdu vy. Svět se ale rychle mění a s tím přichází nové hrozby, na které je potřeba reagovat.
Zastaralá pravidla pro práci s hesly ohrožují bezpečnost současných uživatelů, dávají špatné příklady a zjednodušují práci útočníkům. Bohužel hrozby jsou velmi reálné, úspěšné útoky běžné a finanční ztráty bolestivé. Nechcete, aby vám někdo vybral účet nebo vám ukradl celý digitální život.
Obsah
Je na čase revidovat stará pravidla a reagovat na to, co se opravdu ve světě děje. Už dávno neplatí, že byste měli heslo změnit každých třicet dnů a nesmíte si jej nikam zapsat. Pokud to po vás firma stále chce, ukažte šéfovi tenhle článek, který mu otevře oči a ukáže, že jsme o dvacet let dál.
Nová služba, nové heslo
Dříve se v pravidlech a doporučeních kladl velký důraz na sílu hesla: délka, speciální znaky, vynechat jméno kočky a podobně. Tohle rozhodně stále platí. Heslo Katka11 je velmi špatné, zvlášť, když si všichni na světě na vaší oblíbené sociální síti přečtou jméno vaší dcery a datum narození.
V posledních letech se ale ukazuje, že stejně důležitá je i unikátnost hesla. Hesla totiž unikají. Dnes a denně se daří napadat jednotlivé služby a vylákat z nich seznam hesel všech uživatelů. Seznamy se pak válejí po internetu a obvykle jsou doplněny o e-mailové adresy. Je tedy úplně jedno, že jste si vymysleli geniální náhodné heslo YJe4hfa@Tx6,#zwR, pokud se dá pomocí Google najít vedle vaší e-mailové adresy.
Bezpečnostní expert Troy Hunt tyto databáze sbírá a nahrává do své služby Have I Been Pwned (článek v češtině), kde si můžete podle své e-mailové adresy nebo hesla vyhledat, zda jste nebyli v nějakém úniku. Schválně si tam zkuste zadat svou e-mailovou adresu. Možná budete překvapeni, z kolika služeb už vaše heslo uniklo.
Mělo by tedy platit, že na každou službu používáte heslo právě jednou. Pokud pak dojde k úniku hesel, nebude vás to bolet. Prostě si jen na dané službě heslo změníte a tím je pro vás problém vyřešený. Bude vás to bolet rozhodně méně, než kdybyste tohle jedno heslo používali v bance, hlavním e-mailu, účetním systému a bůhví kde ještě.
Pravidlo první: hesla nikdy neopakujeme.
Nucená změna hesla je špatně
„Vaše heslo vyprší za tři dny, musíte si ho změnit.“ Bohužel velmi špatná praxe, pevně zakořeněná ve spoustě firem. Nedávno mi jedna paní vyprávěla, že je v nové práci rok a půl a už měla 16 hesel. Šestnáct. Jak si myslíte, že jsou ta hesla silná? Jsou opravdu unikátní? Je taková změna k něčemu? Samozřejmě, že není.
Pravidelná změna hesla nezvyšuje bezpečnost, naopak ji dramaticky snižuje. Vede totiž ke zjednodušování hesel, opakování a triviální variabilitě. Vsadím se, že vaše další heslo bude Katka12 a to další pak Katka13. Tohle opravdu není bezpečné, protože to nahrává útočníkům.
Pokud se dozvím, že firma nutí pravidelně měnit hesla své zaměstnance, mám napůl vyhráno. Zvlášť, pokud k tomu dohledám v únicích nějaké předchozí varianty hesel některých z nich. Pokud totiž uživatelům zkomplikujete život, začnou hledat zkratky, jak obejít pravidla. Pokud jim nasypete na hlavu hromadu pravidel týkajících se hesel, můžete si být jisti, že je splní cestou nejmenšího odporu.
Jsou jen dva případy, kdy je legitimní měnit si heslo: pokud máte podezření na jeho únik nebo pokud chcete heslo silnější. Jiné důvody jsou neobhajitelné a nemají s bezpečností nic společného. Rozhodně nevymyslíte silnější heslo dvanáctkrát do roka.
Pravidlo druhé: neměňte zbytečně hesla.
Nepamatujte si hesla
Možná teď přemýšlíte, jak tohle všechno máte udržet v hlavě, když máte do každé kolonky vyplňovat jiné heslo a ještě velmi složité. Odpověď je jednoduchá: nijak. Bezpečnostní odborník Michal Špaček říká, že hlava není na hesla. Má pravdu. Pokud chcete dodržovat základní pravidla bezpečnosti, nemůžete si hesla pamatovat.
Snaha nacpat si všechna hesla do hlavy vede opět nutně ke zjednodušování. Buď budete používat dvě hesla na všech webech, nebo budete mít jeden základ, který budete opět triviálně variovat. Katka11seznam. Že vás to napadlo?
Jediným bezpečným východiskem je hesla si zapsat. Přestože do vás dvacet let cpou, že si heslo nesmíte nikam zapsat, je to nejlepší způsob, jak zůstat v bezpečí. Pokud máte hesla zapsaná, můžete si snadno vytvářet nová, lehce měnit v případě nutnosti ta stará a pořád budete mít hesla silná a hlavně unikátní.
Nejlepší je použít správce hesel. To jsou nástroje, které umožňují mít v zašifrované databázi uložené libovolné citlivé údaje. Pamatujete si pak jedno jediné silné heslo, kterým dokážete soubor odemknout a podívat se do něj na ostatní hesla. Nástrojů existuje celá řada, ale správce hesel je dnes integrovaný ve webovém prohlížeči, takže si můžete prostě hesla ukládat do něj. Je to nejjednodušší a navíc vám to jednoduše umožňuje generovat hesla náhodně, což je pro bezpečnost vůbec nejlepší.
Pokud něco takového nejste ochotni používat, poslouží vám obyčejný notýsek a tužka. Vážně. Pořád platí, že takhle uložená hesla budou bezpečnější, silnější a unikátnější než ta dvě, která si pamatujete dnes. Když překonáte naučený odpor, zlepšíte tím dramaticky svou bezpečnost.
„Ale to je strašně nebezpečné!“ Není. Chráníte se před online hrozbami, hádáním hesel a používáním hesel z úniků. Svému okolí pravděpodobně věříte, necháváte na stole v kanceláři peněženku, mobil, klíče od domu a doklady od auta. Nevěříte neznámým lidem v parku a na internetu. Nenechávejte tedy po světě povalovat klíče, stejně jako nerozdávejte po internetu jedno unikátní heslo na počkání všem službám.
Odpůrci správců hesel argumentují tím, že při úspěšném napadení počítače má útočník možnost hesla snadno získat. Ve skutečnosti nemá ukládání hesel v počítači žádný dopad na jejich bezpečnost. Útočník s přístupem do vašeho systému může úplně v klidu do počítače nainstalovat skrytý škodlivý program, který bude odposlouchávat vaši klávesnici a heslo mu pošle, až ho příště naťukáte. Jakmile je útočník uvnitř, má neomezené možnosti a hesla ve vaší hlavě pro něj nejsou vůbec žádnou překážkou. Dobré zabezpečení vašeho počítače je v každém případě naprosto zásadní.
Pravidlo třetí: hesla si někam zapište.
Použijte druhý faktor
Když už vám heslo k nějaké službě unikne, může se místo vás přihlásit kdokoliv. Existuje pak už jen doplňková ochrana v podobě dvoufaktorové autorizace. Ta umožňuje k heslu (něco znáte) přidat ještě další bezpečnostní prvek, kterým se musíte prokázat (něco vlastníte). Třeba kromě zadání hesla potvrdíte autorizaci na mobilu.
Pravděpodobně to dávno znáte z banky, která vám kromě přihlášení hesla ještě nějakým způsobem pošle potvrzovací zprávu. Nejhorší a nedoporučovanou metodou je opisovat kód z SMS, což je jednak nepohodlné, ale také nejméně bezpečné. Už bylo mnohokrát prokázáno, že mobilní komunikaci je možné přesměrovat a překvapivě snadno u některých operátorů vylákáte náhradní SIM kartu k cizí službě. Pokud vám někdo takto unese číslo, máte o problém navíc. Ale i SMS je lepší než nic.
Mnoho dnešních bank a služeb umí potvrzení provést přes bezpečnostní aplikaci, kterou máte nainstalovanou na chytrém telefonu. Tam vám vyskočí hláška, která říká, že se někdo snaží přihlásit na váš účet. Pokud jste to vy, stačí potvrdit autorizaci přiložením prstu na senzor a proběhne přihlášení. Pokud by útočník přečetl heslo ve vašem notýsku, nemá váš mobil a váš prst. Vy tak snadno odhalíte snahu o podvod, heslo si změníte, snadno přepíšete a jste zase v bezpečí.
