Hesla a přihla­šování (1/10)


Konečně použitelné rady pro péči o uživatelská hesla! Jak s hesly na internetu nakládat komfortně, ale bezpečně?

Přehrát celou kapitolu 

Stalo se?


Bohdanovi je 38 let a pracuje jako referent odboru školství blíže neurčeného magistrátu. Aby si zjednodušil práci, zapisoval si svá přihlašovací jména a hesla do excelové tabulky. Vytvářel si evidenci, aby si je nemusel pamatovat. A protože tuto evidenci navštěvoval často, měl ji uloženou přímo na ploše. Před zahájením školního roku posílal všem ředitelům škol v daném kraji nové pokyny pro tvorbu statistických výkazů. Pokyny posílal jako samostatné návody v příloze hromadného e-mailu. Když ho začali ředitelé upozorňovat na skutečnost, že jim v příloze odeslal i něco, co tam zjevně nepatří, orosil se. Měl štěstí, nikdo situace nezneužil. Excelové evidence se ale raději zbavil a začal hledat bezpečnější řešení.

Bezpečná hesla


On-line služby a portály v dnešní době vyžadují, aby si uživatel zvolil relativně bezpečné heslo. Hesla typu „jindrich38“ často není možné nastavit. Ochranné mechanismy dohlíží nad to, že má heslo určitý počet znaků, zpravidla alespoň 12, vyskytují se v něm velká i malá písmena, číslice a speciální symboly jako třeba +*?-. To bývá považováno za dobrý standard. Pozor by si uživatelé měli dát na před­vídatelné pozice. Když se velké písmeno umístí na začátek a číslice naopak na konec hesla, usnadní to útočníkovi práci. Před­vídatelné pozice snižují počet kombinací, kterými se musí prokousat. Je to jako zamknout a klíč dát pod rohožku. Je vhodné při tvorbě hesla projevit více kreativity. Za zmínku také stojí, že v současné době považují odborníci délku hesla za nejdůle­žitější faktor bezpečnosti.

Frázová hesla


Frázová hesla mají výhodu. Bývají lépe zapama­tovatelná, protože jsou kreativní. Heslo totiž nemusí být jen řetězec náhodných znaků. Může fungovat jako paměťová pomůcka, se kterou dokáže uživatel pracovat. Paměťovou pomůckou může být cokoliv, třeba kniha, kterou před sebou máte v knihovně. Pro příklad Nový epochální výlet pana Broučka, tentokrát do XV. století. Teď stačí určit a zapamatovat si klíč, podle kterého heslo skládáme. Frázové heslo může mít následující podobu: Nový epochální výlet pana Broučka, tentokrát do XV. století, tedy NevpB,td15.s. Níže se můžete podívat, jak dlouho by prolomení tohoto hesla trvalo. V žádném případě však nedoporu­čujeme zadávat do podobných webů opravdová a aktuální hesla k orientačnímu otestování. V případě zájmu vždy zadávejte jen charakterem obdobná hesla.

Ilustrační ukázka orientačního výpočtu. Výpočet ukazuje dobu potřebnou pro prolomení modelového frázového hesla.

Ilustrační obrázek ukazuje orientační výpočet doby potřebné pro prolomení modelového frázového hesla. V tomto případě by to trvalo až 63 000 let. Záleží však na výpočetním výkonu útoku. Zdroj: security.org/how-secure-is-my-password/

Správce hesel


Správci hesel jsou počítačové programy, které dokážou hlavě uživatele ulevit na maximum. Způsobů, jak mohou uživatelé se správci hesel pracovat, je více. Obvykle správce hesel umí hesla vymýšlet, ukládá je na bezpečném šifrovaném místě a v případě potřeby hesla vydává uživateli. Někteří uživatelé do správce hesel neukládají hesla, ale jen paměťové pomůcky a klíče k frázovým heslům. Uživatel si pamatuje pouze „superheslo“, kterým se správce hesel spouští. Říká se, že jsou jen dvě hesla, která do správce hesel nepatří. Heslo od e-mailu a od inter­netového bankovnictví.

Můžete mi nějakého správce hesel doporučit?

Doporučení si zaslouží správce hesel KeePass. Není to fešák, ale má své výhody. Je to open-source, což znamená, že programový kód KeePassu vyvíjí celosvětová komunita programátorů. Jeho kód je veřejně známý a průhledný. Aby do programového kódu nemohl nikdo přidat škodlivou část, existuje řada ochranných mechanismů a schvalovacích procesů. Proto odborníci na kybernetickou bezpečnost open-source řešením zpravidla více důvěřují. KeePass se spouští jako off-line soubor bez přístupu k internetu, což je také jeho plus. Tento soubor je však vhodné zduplikovat a uložit jeho kopii na bezpečné místo, například pro případ poškození původního souboru s hesly. Má i českou verzi. Není komerční, je zdarma.

Co funkce „zapamatovat heslo“, kterou nabízí webové prohlížeče?

Technické řešení této funkce se u webových prohlížečů liší. Obecně však platí, že se nejedná o příliš bezpečnou funkci, protože existuje několik postupů, jak uložená hesla vzdáleně odcizit. Za relativně bezpečné lze považovat řešení webového prohlížeče Safari. Také řešení webového prohlížeče Mozilla Firefox patří k těm bezpečnějším, pokud si uživatel nastaví tzv. hlavní heslo pro ochranu všech ostatních hesel. Všimněte si ale, že i v oficiálních návodech, které najdete v odkazech výše, jsou jmenována rizika s tímto řešením spojená.

Úniky přihlašo­vacích údajů


Hesla uživatelů mohou uniknout přímo on-line službě. Ta by neměla hesla uchovávat v prosté podobě, tedy v podobě, jakou zná uživatel. Neměla by vědět, že uživatel má heslo NevpB,td15.s. Řada služeb to však nerespektuje, čímž uživatele ohrožují. Správně má on-line služba znát jen zástupný řetězec hesla vytvořený pomocí matematické funkce. Takovému řetězci se říká hash a vypadá třeba takhle: 034f7999­5f34f8529e68­a97b4873de­aadf1350ab. Heslo a jeho hash jsou jako jedno­vaječná dvojčata. Jsou stejná, ale přesto rozdílná. V případě úniku údajů by tedy měly unikat „jen“ hashe. Jenže pokud daná služba používá zastaralé hashovací funkce, zase máme malér. Existují totiž nástroje, které takové hashe umí prolomit. I proto je důležité dát si s tvorbou hesla trošku práce, a také ho průběžně obměňovat.

Ilustrační obrázek, který ukazuje prolomení hashe na heslo v prostém textu.

Ilustrační obrázek ukazuje nástroj k prolomení hashe na heslo v prostém textu. Například hash 034f79995f34f8529e68a97b4873deaadf1350ab představuje heslo open-door. Nelze však tvrdit, že tímto způsobem je možné prolomit každý hash. Zdroj: crackstation.net

Dvou­faktorové ověřování


Dvou­faktorové ověřování je záchranná brzda, pokud se k heslu uživatele dostane někdo cizí. Doporu­čujeme ho nastavit všude, kde je to možné. Nejčastěji má podobu SMS kódu s časově omezenou platností, nebo výzvy v příslušné mobilní aplikaci. Při přihlašování do on-line služby zadá uživatel přihlašovací jméno, heslo a ještě musí opsat SMS kód, nebo potvrdit výzvu v aplikaci. To je ten druhý faktor. Od ověřování pomocí SMS kódů se pomalu upouští, protože SMS nejsou šifrované a není složité je odposlouchávat. Výzvy v mobilní aplikaci bývají důvěry­hodnější. Zpravidla využívají šifrování a stále častěji využívají biometrické údaje, jako otisk prstu uživatele. Pokud můžete, zvolte ověřování mobilní aplikací.

Má dvou­faktorové ověřování nějakou slabinu?

Účinnost tohoto ověření snižuje poměrně nenápadná věc v nastavení telefonu. Náhledy SMS zpráv. Pokud uživatel využívá jako druhý faktor SMS kód, měl by v nastavení zakázat náhled zpráv na uzamčeném zařízení. Pokud to zakázáno není, k SMS kódu se může dostat kdokoliv, kdo má k telefonu přístup, aniž by ho musel odemykat.

Co když mám dvou­faktorové ověřování aktivní a ztratím telefon?

Pro tyto případy bývají uživateli vystaveny tzv. záložní kódy. Mohou mít podobu číselného kódu, QR kódu atp. Je dobré si tyto záložní kódy bezpečně uložit, ideálně off-line. Problém totiž může vyvstat, pokud se útočník těchto kódů zmocní. To se může stát, pokud je má uživatel ledabyle uložené někde ve svém zařízení. Pokud útočník kódy získá, služba ho bude považovat za ověřeného uživatele, který ku­příkladu ztratil telefon.