Když vás požádám, abyste mi řekli své heslo, uděláte to? Určitě ne. Když vás o to požádá nějaká neznámá stránka na internetu, zadáte ho tam? Doufám, že ne. Pokud vás ale o to požádá nová skvělá a užitečná služba během registrace? Většina lidí to udělá a své heslo tam zadá.
Dvě třetiny lidí používají jedno heslo na více účtech, nebo dokonce na všech. Jinými slovy to znamená, že pokud je někdo na internetu prostřednictvím registračního formuláře požádá o vložení hesla, klidně tam napíšou své hlavní a jediné heslo, které zároveň používají do bankovnictví, e-mailu, svých sociálních sítí a podobně. Na počkání tak své heslo prozrazují prakticky komukoliv, kdo se zeptá.
Nedržte hesla v hlavě
Když své heslo zadáte do nějaké služby, ztrácíte nad ním kontrolu. Netušíte, jak daná služba s hesly pracuje, zda je správně ukládá a nevyzradí nikomu dalšímu. Naprosto běžně se stává, že se darebáci dostanou k uživatelské databázi, zkopírují z ní data a vystaví na internetu. Dropbox, Mall.cz, hotelová síť Mariott a mnoho dalších už přišlo o hesla svých uživatelů. Děje se to dnes a denně, dokonce i bankám.
Pokud se chcete podívat, jak jsou na tom vaše hesla, navštivte web Have I Been Pwned, který sbírá uniklé databáze hesel a nechává v nich uživatele hledat. Zadáte e-mail a hned víte, odkud vaše hesla už unikla. Možná budete překvapeni, kolikrát už se vaše heslo dostalo na internet.
Právě proto, že nemůžeme ohlídat bezpečnost stovek námi používaných služeb, musíme zajistit co možná nejvyšší míru bezpečnosti u sebe. Musíme počítat s tím, že z některé naší oblíbené služby heslo unikne. Statistiky jsou neúprosné: dřív nebo později se to stane každému uživateli.
Jediným řešením je mít pro každou službu úplně jiné heslo, jehož únik neohrozí bezpečnost našich dalších účtů. Heslo má být spotřebním zbožím, které se dá kdykoliv vyměnit, pokud nastane problém. Ale tohle heslo mám od třetí třídy! Žádnou nostalgii, heslo je technický identifikátor. Není to dopis od naší první lásky. Nesmíme na něm lpět.
Pokud tedy chceme mít pro stovky služeb stovky různých hesel, musíme si je zapsat. Zapomeňte na to, že vám to dřív někdo zakazoval. Neměl pravdu. Nemáme mozek uzpůsobený tomu, abychom si zapamatovali byť desítky různých hesel. Natož stovky. Heslo musí být někde napsané, aby bylo dobré, a hlavně unikátní. Můžete použít notýsek, ale mnohem lepší je správce hesel.
Mýty o správcích hesel
Pod každým článkem o správcích hesel se objeví stejná diskuse, ve které se pořád dokolečka omílají stejné mýty a nesmysly o správcích hesel. Abychom si to odbyli, vysvětlíme si to rovnou v článku. Místo zbytečné diskuse se budete moci jít třeba projít ven.
Není nebezpečné mít hesla na jednom místě? Máte svá hesla na jednom místě, ať chcete, nebo ne. Procházejí v každém případě vaším počítačem. Buď je tam zadáváte stále dokola pomocí klávesnice, nebo je máte bezpečně uložené v šifrovaném správci. Z hlediska úspěšného útočníka v tom není rozdíl, pokud vám počítač napadne, stejně se k heslům dostane. V praxi je ale pořád lepší mít hesla na jednom počítači pod naší kontrolou než mít jedno superheslo, které krouží po stovkách služeb po celém internetu a má ho bůhvíkdo.
Nemůže se někdo k obsahu mého správce dostat? Správce hesel nemusí automaticky znamenat synchronizaci po internetu. Pravda je, že moderní nástroje to kvůli pohodlí uživatelů nabízejí. Zásadní je, že po internetu putují jen šifrovaná data, takže útočník se k obsahu komunikace nedostane. Je to stejně bezpečné jako komunikace od bankomatu směrem do banky. Pokud by se tohle šifrování někomu podařilo prolomit, měli bychom větší problém než vyzrazení hesel.
Co když ale někdo opravdu hackne službu na ukládání hesel? To se dokonce už stalo. Někomu se podařilo dostat do databáze služby LastPass a zkopírovat nějaké informace. Protože jsou ale hesla šifrovaná, nemá šanci se k nim útočník dostat. Získal jen e-mailové adresy uživatelů, ale ne jejich citlivá data. Vše je vymyšleno tak, že se na servery ukládají jen šifrované podoby, které jsou k ničemu. Musí se stáhnout do klienta a teprve ten je u sebe v bezpečném prostoru dešifruje a umožní je uživateli použít.
Dokáže mě správce hesel ochránit před všemi útoky? Správce hesel není kouzelný klobouk a neumí všechno. Dramaticky ale dokáže snížit riziko napadení uživatele. Nic není nikdy stoprocentní, ale celá bezpečnost se zabývá analýzou a snižováním rizik. Proti škodám způsobeným únikem hesla se dá bránit velmi účinně právě tím, že budeme mít unikátní heslo pro každou službu.
Není jednodušší si zapamatovat heslo než použít nějaký program? Můžete si zapamatovat jedno složité heslo nebo třeba tři, to ale rozhodně nestačí. Až se tohle heslo objeví na internetu, budete mít velmi vážný bezpečnostní problém. Nedělejte to, zacházejte s hesly bezpečně. Nastavit správce hesel je velmi jednoduché a můžete si do něj pak ukládat spoustu dalších podrobností, jako jsou čísla karet, rodná čísla, hesla k Wi-Fi a další citlivé informace. Je to užitečný pomocník.
Co se službou, která potřebuje konkrétní podobu hesla? Některé služby vyžadují, aby heslo mělo konkrétní parametry. Například osm písmen, tři číslice a dva speciální znaky uprostřed. Pro správce hesel to ale není problém, není nutné hesla vždy generovat úplně náhodně, ale lze ukládat i libovolná hesla, která odpovídají takovým požadavkům.
Proč je správce hesel užitečný
Úlohou správce je generovat za nás a udržovat velkou sadu náhodných hesel pro mnoho služeb, které používáme. Určitě to znáte: šmarijápanno, další heslo, co si musím vymyslet! Se správcem hesel je to hračka: vygenerovat, uložit, hotovo. Při úniku hesla jen pokrčíte rameny a v klidu zopakujete stejné kroky: vygenerovat, uložit, hotovo.
Je tu ale ještě další obrovská výhoda, kterou vám správce hesel přináší: odolnost proti phishingu. Pokud si útočník zaregistruje překlepovou doménu, která je velmi podobná skutečné doméně vaší banky, nemusíte si všimnout rozdílu. Pokud skutečně pokaždé podrobně adresu nezkoumáte, může vám útočník zobrazit svůj vlastní přihlašovací formulář. Pokud držíte heslo v hlavě, je velká pravděpodobnost, že ho do podvržené stránky zapíšete.
Správce hesel to ale neudělá. Ten si totiž pamatuje kombinaci adresy, uživatelského jména a hesla. Pokud narazí na neznámou stránku, heslo pro ni nenabídne. Nemá jaké, tenhle web přeci nezná. Vy tedy bezmyšlenkovitě heslo neodešlete někomu cizímu, protože vás před tím dobrý správce hesel ochrání.
Jakého správce hesel použít?
Správců hesel existuje celá řada a vy teď možná dumáte, jakého vlastně máte použít a jaké jsou v nich rozdíly. Řekneme si tedy o těch nejběžnějších, které můžete začít používat teď hned.
Webové prohlížeče: Všechny moderní webové prohlížeče (Chrome, Firefox, Safari a další) umožňují generovat a ukládat na webových stránkách hesla. Jejich výhodou je, že jsou rovnou po ruce a můžete je okamžitě začít používat. Nevýhodou zase je, že nejsou tak univerzální, nedovolují ukládání dalších informací a nenabízejí další pokročilejší funkce, jako třeba sdílení konkrétních hesel mezi uživateli. Pokud ale tyhle věci nepotřebujete, směle do nich.
1Password: Správce hesel, který prochází pravidelným bezpečnostním auditem kódu. Můžete si jej nainstalovat na počítač, do mobilu nebo jako rozšíření do prohlížeče. Má více než 15 milionů uživatelů a nabízí řadu pokročilých funkcí pro týmy a firmy. Jedná se o placenou službu, za základní variantu zaplatíte asi stokorunu měsíčně. Vyzkoušet si jej můžete na dva týdny zdarma. (web)
BitWarden: Svobodný otevřený správce hesel, který můžete používat úplně zadarmo. Také prochází bezpečnostními audity a certifikacemi, takže jde o velmi bezpečné řešení. Volitelně je možné zaplatit za službu, která nabízí synchronizaci mezi více zařízeními, sdílení hesel mezi uživateli nebo třeba varování před úniky hesel z různých služeb. Pokud máte svůj server, můžete si synchronizaci zařídit u sebe a neplatit nic navíc. (web)
KeePass: Svobodný správce hesel, který ukládá veškerá svá data do šifrovaného souboru na disku. Hodí se, pokud si chcete vše řídit sami a nechcete využívat žádnou připravenou synchronizační službu. Prošel také bezpečnostním auditem, který jej označil za stejně vhodný jako jiná srovnatelná řešení. Jde o otevřený nástroj, takže existuje celá řada alternativních implementací pro všechny možné platformy. (web)
Správců hesel existují desítky, jako rozcestník vám může pomoci velký přehled na Wikipedii. Liší se v nabízených službách, otevřenosti kódu, možnostech synchronizace a třeba také v podpoře operačních systémů. To hlavní mají ale vždy společné: umožňují pracovat s hesly mnohem bezpečněji, než jak to umí vaše hlava.
