Heslo

Heslo je pro uživatele informačních a komunikačních technologií prvotní a základní ochrannou hradbou proti případným útočníkům, a proto je třeba heslu věnovat nemalou pozornost.

Vzhledem k tomu, že v dnešní době je na uživatele vytvářen tlak mít ke každé aplikaci a webové službě heslo, není pak prakticky v lidských silách zapamatovat si do každé takové služby jiné heslo. Často se pak stává, že uživatel rezignuje a u většiny webových služeb užívá stejné heslo. Toto je však jedna z nejhrubších chyb, které se může dopustit. Jednou ze zavedených praxí útočníků je prolomit a zjistit heslo u méně zabezpečených služeb, a toto následně užít u těch lépe zabezpečených, např. zjistit heslo u diskusního fóra, kam se uživatel přihlásil, a toto poté použít např. u sociální sítě Facebook. Je-li heslo u obou služeb stejné, značně útočníkovi ulehčil práci.

Vzhledem k tomu, že volba hesla je často podceňována, věnujeme heslu celou jednu kapitolu, ve které ukážeme několik elegantních způsobů tvorby silného a lehce zapamatovatelného hesla.

Heslo – co to je?

Heslo je řetězec nesnadno zjistitelných a uhodnutelných znaků, který se užívá jako identifikační a ověřovací prvek.

Společně s uživatelským jménem často tvoří základní uživatelovu ochranu užívaných zařízení (telefon, počítač apod.) nebo k různým aplikacím, webovým službám, přístupu k počítačovým systémům, sítím apod.

Délka a vlastnosti hesla

Určitě nepoužívat snadno uhodnutelná hesla:

běžná slova samostatně
jména blízkých osob
jméno domácího mazlíčka
datum narození
běžná posloupnost čísel (123456, 11111111 apod.)
očekávané náhrady znaků – např. A → 4, O → 0, S → $, I → 1 apod.

Síla hesla

Existuje mnoho programů specializovaných na prolomení hesla (passwordcrackery) užívajících různých metod prolomení (slovníkový útok, bruteforce útok atd.).

Slovníkový útok – program nejprve vyzkouší zadanou sadu nejužívanějších hesel, kterou připraví útočník. Úspěšnost útoku je tedy závislá na kvalitě zadané sady slov (slovníku). Seznamy nejpoužívanějších hesel jsou na internetu volně ke stažení. Slovníkový útok má velice vysokou úspěšnost!

Metoda brute-force – tedy metoda hrubou silou, využívá všechny možné kombinace znaků, a je tedy značně závislá na výkonu počítače.

Je třeba brát na zřetel, že výkon počítačů neustále stoupá a časy uvedené v tabulce se tím budou zkracovat. Rovněž i užití více počítačů užitých paralelně k prolomení hesla tuto dobu značně zkrátí.

Vytvoření hesla

Vytvořit tedy velmi silné heslo, ale lehce zapamatovatelné pro člověka, jsou naprosto protichůdné požadavky, avšak správným kompromisem lze bezesporu i toto splnit.

Svá hesla rozdělíme do tří základních okruhů:

okruh (vstup do zařízení)

heslo do routeru, do počítače, do tabletu, mobilního telefonu apod.

okruh (vstup do soukromí)

heslo do aplikací, mailového účtu, Facebooku, cloudových úložišť apod.

okruh (ostatní)

heslo do internetových obchodů, diskuzních fór, chatů, online her apod.

Heslo je možné dále modifikovat pro různé služby:

Ml01_MpM4Na1o – přihlášení do mailové schránky

MpM4Na1o_fc02 – přihlášení do facebooku

MpM4Na1o_Drp3 – přihlášení do cloudového uložiště (Dropbox)

Původní heslo doplníme námi vymyšlenou zkratkou služby, ke které se přihlašujeme, a toto oddělíme speciálním znakem, v tomto případě podtržítkem a doplníme číslovkou pořadí, v jakém byla služba v rámci časové osy zřízena.

Ochrana hesla

Své pracně vytvořené heslo je třeba dále ochraňovat – zejména tím, že jej nebudeme psát na papírek ležící u klávesnice, do poznámek v telefonu, a hlavně jej nebudeme nikomu sdělovat.

V rámci ochrany svého hesla musíme také zvažovat, na jakém zařízení a při jakém připojení k internetu jej budeme k přihlášení zadávat. Měli bychom pamatovat na to, že pokud se takto budeme připojovat např. v internetové kavárně, mohou zde být počítače vybaveny monitorovacím programem – např. keyloggerem (program zaznamenávající každou stisknutou klávesu) – a provozovatel takové internetové kavárny může získat obsah veškeré komunikace – tedy včetně hesla. Stejně tak může být vybaveno monitorovacím programem veřejné připojení k internetu, např. v nákupním centru.

Nejhorší hesla

Představme si seznam 25 nejhorších mezinárodních hesel pro rok 2016 dle společnosti SplashData (www.splashdata.com), který může být užit k prolomení hesla útočníkem metodou slovníkového útoku.

Zdroje:
KOHOUT, Roman a Radek KARCHŇÁK. Bezpečnost v online prostředí. Karlovy Vary: Biblio Karlovy Vary, 2016. ISBN 978-80-260-9543-9.