Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy
Vážení partneři, vítejte na stránkách podpory GDPR pro obce a školy
Jak na bezpečné nakládání s hesly
Dodržujete zásady pro vytvoření dostatečně silného hesla k vašemu
účtu? Obezřetnosti není nikdy dost, a přitom ani bezpečné heslo vám někdy
nedokáže účet ochránit. Internet je plný hackerských útoků – a to jak přímo na
uživatele, tak i na jednotlivé služby.
Jak útočník získá vaše heslo? Než se dostaneme k samotným zásadám, bylo by dobré zmínit, jak se
vlastně může útočník k vašim heslům dostat? Útočník může vaše přihlašovací
údaje získat a prolomit různými způsoby, mezi ty nejčastější patří tyto čtyři
formy útoků:
Útok hrubou silou Je to nejprimitivnější způsob útoku, kdy útočník zkouší všechny možné
kombinace od těch nejkratších k těm delším. To je samozřejmě náročné na
čas. V případě, že je heslo možné zvolit z 96 znaků (všechny
tisknutelné znaky ASCII tabulky), existuje v případě hesla o délce 8 znaků
hned 968 (což je 7 biliard) různých kombinací.
V případě, že máte heslo o délce 12 znaků a minimální délka hesla je 8
znaků, musí útočník vyzkoušet nejdříve všechny hesla o osmi znacích, poté
všechny o devíti, desíti… a potrvá to déle, než se dostane k tomu vašemu, které
má 12 znaků. Útočník musí vyzkoušet až 968 + 969 + 9610 + 9611 + 9612 různých kombinací
(více než 619 triliard).
Dnešní počítače jsou velice rychlé a každým rokem se zrychlují, nicméně
zatím nejsou dost rychlé, aby všechny kombinace prošly během lidského života. V
roce 2019 by nejrychlejší počítač dokázal vyzkoušet 16 milionů hesel za
sekundu, takže vyzkoušet všechny kombinace by mu trvalo 1,2 miliardy let.
Pro srovnání, nejrychlejší počítač v roce 1982 dokázal vyzkoušet 8,3 tisíce
hesel za sekundu, takže jemu by trvalo vyzkoušet všechny tyto kombinace 2,365
bilionu let.
Slovníkový útok Slovníkový útok je vylepšená varianta útok hrubou silou. Také zkoušíte
velké množství různých kombinací – útočník má totiž k dispozici databázi
častých hesel (kterou získal již dříve) a tu postupně zkouší.
Oproti útoku hrubou silou je zde výhoda, že jde o databázi hesel, která
někdo v minulosti reálně použil (619 triliard výše zmíněných kombinací je
tak obrovské číslo, že je prakticky jisté, že část z nich nikdy nikdo jako
heslo nepoužil a je tak zbytečné je kontrolovat). Proto je možné, že stejné
heslo nevědomky používá i někdo jiný. Z čehož vyplývá i výhoda, že je tato
databáze mnohem menší a její zpracování tak trvá mnohem kratší čas.
Internetová databáze haveibeenpwned.com shromažďuje
uniklá hesla z předchozích známých útoků (ta dali hackeři volně na
internet, odkud je mohou získat jiní hackeři a odkud je získala i tato stránka)
a obsahuje 551 509 767 reálně použitých hesel. Nejrychlejší počítač
by tato hesla dokázal vyzkoušet (a najít v nich to vaše) za pouhých 34
sekund (pro srovnání – nejrychlejší počítač roku 1982 by si s tím lámal
hlavu 18 hodin)
Phishing Jedná se o útok, kdy se neprolamuje přímo heslo, ale útočník se snaží
získat vaše přihlašovací údaje nějakým podvodem, například podvodnou
přihlašovací stránkou, podvrženým emailem apod. Útočník nic neprolamuje, ale
přihlašovací údaje mu přímo sami sdělíte.
Útok přímo na konkrétní službu Můžete mít sebesložitější heslo, ale jakmile podcení bezpečnost samotná
poskytovatel služby, kam se s vaším heslem přihlašujete, může být prolomeno i
bezpečné heslo. V minulosti tak byly prolomeny hesla uživatelů takových
služeb jako je třeba LinkedIn, MySpace nebo Adobe. Útočník se dokázal prolomit
do jejich interních systémů a stáhl z nich stovky milionů přihlašovacích údajů
(e-mailových adres a hesel) jejich uživatelů. Ty pak může útočník použít i jako
databázi pro slovníkový útok na jinou databázi.
11 základních bezpečnostních zásad
1 Nepoužívejte stejné heslo pro všechny účty Tohle je asi nejčastější chyba, které se můžete dopustit. Z lenosti
uživatelé používají jedno heslo pro různé účty na různých službách. A jakmile
dojde k prolomení nebo úniku hesel u jedné služby, útočník má zároveň
přístup do všech vašich ostatních účtů. Tohoto pravidla je dobré se držet
zejména u internetového bankovnictví a e-mailu.
2 Vyhněte se používání krátkých a slabých hesel Krátká, snadno odhadnutelná, ale i příliš složitá hesla jsou ve finále
slabá hesla. Krátké heslo je snadno rychle prolomitelné hrubou silou, snadno
odhadnutelné heslo typu „heslo1234“ je v každé databázi pro slovníkový
útok, jména vašich dětí zase vyzkouší útočník, který vás zná. Prolomení
takového hesla trvá maximálně několik sekund.
Příliš složité heslo si pro změnu nezapamatujete, takže si jej někam
napíšete a útočníkovi vše zjednodušíte. To, že heslo by mělo mít alespoň 8
znaků a mělo by obsahovat malá a velká písmena, číslice a speciální znaky,
patří mezi ta úplně nejzákladnější doporučení, a i toto bude v dohledné
době přežitou radou.
Ideální je, když si jako heslo si zvolte něco dlouhého, ale zároveň snadno
zapamatovatelného. Například část textu z oblíbené knížky, hláška
z filmu atd.
Například hláška z filmu Dědictví aneb Kurvahošigutentag „Hoši,
tady sa bude hulit akorát z komína.“ Toto heslo má délku 42 znaků včetně
uvozovek a mezer. Je vysoce nepravděpodobné, že by mohlo být v nějaké
databází pro slovníkový útok. Současně je jednoduše zapamatovatelné a chrání
vás lépe než náhodná změť písmen a číslic. Prolomit takové heslo by trvalo
biliony let. Navíc používání české diakritiky ještě více znesnadňuje jeho
prolomení.
3 Používejte správce hesel Zapamatovat si velké množství odlišných hesel může být problém i při
použití metody s knihou, oblíbenou hláškou apod. K dispozici je hned
několik dobrých služeb, doporučit můžeme třeba on-line služby LastPass nebo 1Passwords, které jsou je
k dispozici jako doplněk do prohlížeče a uložená hesla šifrují. Pokud
nevěříte on-line aplikacím, můžete využít aplikaci KeePass a hesla mít
uložená třeba na flashdisku, který budete nosit všude s sebou. Můžete také
využít placený software např. Správce hesel (Password Manager), který je
součástí balíčku ESET Smart Security
Premium. Je to správce hesel, který chrání a ukládá hesla a osobní data. Obsahuje
také funkci dokončení formuláře, která šetří čas automatickým a přesným
vyplněním webových formulářů nebo další kvalitní software StickyPassword,
který je zdarma nebo v placené verzi Sticky Password Premium.
Tyto aplikace také obsahují generátor náhodných řetězců, čímž vytvoří silné
heslo za vás. Tím, že si bude aplikace hesla pamatovat za vás, je možné tento
nástroj jedině doporučit. Vy si pak pamatujete pouze jediné heslo do aplikace
správce hesel. Jediným rizikem pak je, že pokud zapomenete hlavní heslo
k aplikaci (nebo ztratíte flashdisk s hesly), tak ztratíte i uložená
hesla.
4 Nepoužívejte veřejné počítače Nikdy nevíte, co je na takovém počítači nainstalováno za software – zda
neobsahují například nějaký keylogger, což je aplikace, která
ukládá všechny údaje, které na něm napíšete. Útočník pak vaše heslo zjistí
přímo z této aplikace. Veřejným počítačům proto nikdy nedůvěřujte.
Musíte-li se už z takového počítače přihlásit, tak se nezapomeňte odhlásit
a smazat historii prohlížeče (pokud použijete anonymní režim prohlížeče, tak
tuto práci udělá za vás). Heslo si poté pro jistotu co nejdříve změňte.
5 Používejte zdravý rozumZejména zdravý rozum je pak nejspolehlivější obranou proti phishingu.
Přistupujte podezřívavě ke každé výzvě k zadání uživatelských údajů a
pokud vám stránka bude připadat jen trochu podezřele, tak se nepřihlašujte.
Stejně tak nereagujte na neznámé, nevyžádané nebo podezřelé emaily
s možnými podvrženými přílohami (některé mohou vypadat celkem věrohodně).
Hlavně si všímejte drobných detailů. V momentě, kdy otevřete takovou
přílohu (a může to být třeba i grafický soubor jpe, png, gif apod.),
může být již docela pozdě.
6 Udržujte počítač v dobré kondici Zavirovaný počítače může usnadnit odchycení hesla – škodlivý software může
plnit roli keyloggeru a odesílat všechny zaznamenané přihlašovací údaje
útočníkovi nebo vás může přesměrovat na podvodnou stránku. Možností je mnoho,
proto nikdy neinstalujte žádný software z pochybných zdrojů a udržujte váš
systém i váš antivirový program stále aktuální.
7 Používejte https:// Pokud služba nabízí možnost připojení pomocí https:// (což dnes nabízí
již spousta stránek), vždy jej využijte. Přenos veškerých dat (a tedy
i přihlašovacích údajů) je zašifrovaný, útočník tedy nemůže vaše data
odposlechnout (a zjistit) někde na cestě mezi vaší uživatelskou stanicí
a serverem. Pokud se přihlašujete přes klasické http://, vystavujete se sami
možnosti odposlechnutí a zneužití vašich přihlašovacích údajů. Https vás chrání přes phishingem, pouze při přenosu dat, protože případný
útočník nemůže změnit žádná data někde v průběhu trasy. Samozřejmě je
stále dobré používat zdravý rozum (pravidlo číslo 5!). Protokol https://
není sám o sobě absolutní ochranou před phishingem, chrání pouze přenášená
data. Samotná indikace protokolu https:// není ale zárukou ochrany proti
phishingu. Certifikát potřebný pro protokol https:// si totiž může pořídit
kdokoliv, tedy i hacker.
8 Používejte dvoufázové ověření Vždy, když to jde, používejte dvoufázové ověření. Výrazně tím snížíte
šanci, že se k vašim datům dostane někdo neoprávněný. Dvoufázové ověření vás
může ochránit v případě, když se útočníkům podaří získat vaše heslo.
Dvoufázové ověření funguje tak, že v případě úspěšného zadání jména a
hesla vám přijde požadavek na schválení přihlášení. Tím může být třeba SMS na
váš mobil, kontrolní ověřovací kód do emailu nebo nutnost schválit přihlášení
v mobilní aplikaci.
Ani dvoufázové ověření však není stoprocentní ochranou, nicméně útočník by
kromě zjištění vašich přihlašovacích údajů musel získat navíc i přístup na váš
mobilní telefon (nebo jiné zařízení, které ke dvoufázovému ověření
používáte).
9 Používejte hardwarový klíč Hardwarový klíč standardu U2F je ještě vyšší formou předchozího
dvoufázového ověření. Jedná se o speciální USB (nebo NFC) zařízení, které musí
být pro přihlášení připojeno k zařízení, ze kterého se snažíte přihlásit.
Oproti klasickému dvoufázovému ověření poskytuje vyšší formu zabezpečení
v tom smyslu, že hardwarový klíč nelze ani duplikovat ani hacknout (mobilní
telefon pro dvoufázové ověření hacknout lze a útočník pak může odposlouchávat
třeba vaše SMS zprávy).
Hardwarový klíč standardu U2F je možné využít třeba v prohlížečích
Chrome, Opera. Firefox a Edge. Dále jej podporuje Google a Facebook, Microsoft
na jeho podpoře pracuje.
10 Pravidelně kontrolujte, zda nedošlo k úniku hesla Své heslo si můžete zkontrolovat na stránce haveibeenpwned.com. Ta shromažďuje známá
uniklá hesla a příslušné e-mailové adresy. Můžete si tam jednoduše zkontrolovat,
zda vaše heslo nebo e-mail není mezi uniklými. Nemusíte se bát, že stránka zjistí vaše heslo – ověření
probíhá ve vašem počítači, při kontrole si totiž aplikace stáhne databázi
uniklých hesel a proti nim zkontroluje vaše heslo, se kterým navíc pracuje
pouze v zašifrované podobě. V případě kontroly e-mailu vám služba
vrátí seznam služeb, u kterých byly vaše přihlašovací údaje prolomeny.
11 Zapomeňte na bezpečnostní otázky Zapomenuté heslo, které může být obnovitelné pomocí bezpečnostních otázek,
je bezpečnostní díra. Odpovědi na bezpečnostní otázky totiž nemusí být nikterak
složité a může být jednoduché je odhadnout. Bezpečnostním otázkám se
proto raději vyhněte a pokud je služba vyžaduje, tak ji ideálně vůbec
nepoužívejte. Taková služba s největší pravděpodobností bude mít podobných
bezpečnostních děr více.