Nejlepší hesla jsou taková, která odolají útokům hrubou silou i slovníkovým útokům, ale zároveň jsou pro vás snadno zapamatovatelná. Přečtěte si, jak své účty zabezpečit neprolomitelným heslem.
Naši výzkumníci na tomto blogu každý týden zveřejňují své nejnovější poznatky v oblasti zabezpečení. Pokud jej sledujete, nejspíš vám neunikl obzvlášť škodlivý trend, kterému každou chvíli někdo padne za oběť – úniky dat.
Vaše hesla jsou vstupenkou do vašeho osobního království, takže byste měli přemýšlet nad tím, jaká hesla si pro vaše účty nastavit, aby si na nich kybernetičtí zločinci vylámali zuby. A pokud některé z vašich hesel uniklo na internet, měli byste ho neprodleně změnit.
Co vás ochrání nejlépe? Neprolomitelná hesla. Než se ale jimi začneme zabývat, nejprve vám vysvětlíme, jak jsou kybernetiční zločinci schopni vaše heslo prolomit.
Jak se heslo dostane do spárů hackerů?
Kybernetičtí zločinci používají hned několik taktik na hackování hesel, ale často se jim vyplatí, když si přihlašovací údaje pouze koupí na darkwebu. Na černém trhu s přihlašovacími údaji a hesly se točí velké peníze. Pokud dlouhé roky používáte heslo stejné, je dost možné, že už někdy uniklo na internet.
Když si však na úniky hesel dáváte pozor, kybernetickým zločincům nezbývá nic jiného, než se snažit vaše přihlašovací údaje prolomit. V takových případech používají některou z následujících metod. Jejich útoky mohou cílit na vaše konkrétní účty, případně na uniklou databázi s hashovanými hesly.
Útok hrubou silou
Tento útok zkouší všechny možné kombinace znaků, dokud nenajde tu správnou. Útočník používá automatický software, jenž v co nejkratším čase dokáže vyzkoušet co nejvíce možných kombinací. Podobné technologie jsou v poslední době bohužel čím dál dokonalejší. Třeba jeden zdatný hacker dokázal v roce 2012 naprogramovat skupinu 25 GPU, která umí prolomit jakékoli 8znakové heslo k Windows obsahující malá a velká písmena, číslice a symboly za méně než šest hodin. Dokáže hádat hesla rychlostí 350 miliard pokusů za sekundu.
Některé útoky hrubou silou omezují svůj rozsah pomocí takzvaných filtrů a masek, takže se k vašemu jedinečnému heslu dokážou dopracovat ještě rychleji. Vše, co má méně než 9–12 znaků, je snáze prolomitelné. Ponaučení z útoků hrubou silou tedy zní, že délka hesla je velmi důležitá. Čím je heslo delší, tím lépe.
Slovníkový útok
Tento typ útoku opravdu probíhá tak, jak nám napovídá jeho název. Hackeři k němu používají slovník. Zatímco útok hrubou silou zkouší všechny možné kombinace symbolů, číslic a písmen, slovníkový útok používá předem sestavený seznam slov, která byste našli ve slovníku.
Pokud jste si jako heslo nastavili běžné slovo, slovníkovému útoku odoláte jen v případě, že používáte výraz, který je hodně neobvyklý nebo ve kterém je slov hned několik (například AutobusZebraKladivoChlor. Hesla, která sestávají z několika slov, slovníkovému útoku odolají. Takový útok totiž používá k tipování jen všechna slova ze slovníku (kterých je méně než všech náhodných kombinací písmen). Pokud v hesle použijete víc slov, zvyšuje se počet možností exponenciálně podle toho, kolik slov použijete.
Phishing
Jednou z nejzákeřnějších praktik, které kybernetičtí zločinci používají, je phishing. Jde o postup, kdy se vás podvodníci pomocí sociálního inženýrství různě snaží přimět, abyste udělali, co chtějí. Phishingové e-maily vám například (lživě) oznamují, že máte nějaký problém s účtem k platební kartě. Obsahují odkaz, který vede na falešnou webovou stránku, jež napodobuje web vydavatele vaší karty. Podvodníci pak jen čekají, až se do jejich léčky někdo chytí a své přihlašovací údaje na této stránce zadá. Jakmile se tak stane, můžou se radovat.
Phishingový podvodníci vám také mohou telefonovat. Když vám ve sluchátku nějaký nahraný hlas oznámí, že vám volá ohledně účtu k vaší platební kartě, zbystřete. Všimněte si, že vůbec nezmiňuje, o kterou platební kartu se jedná. V podstatě jde o zkoušku, jestli rovnou zavěsíte, nebo jestli se chytíte na udičku. Daná osoba se z vás bude snažit vypáčit co nejvíce citlivých údajů včetně vašich hesel.
Jak vypadá silné heslo
Jak prolamování hesel probíhá, jsme si už vysvětlili, takže můžeme přejít k tomu, jak si nastavit hesla silná, která každému útoku odolají (ačkoli phishingovému útoku nejlépe odoláte, když se mu jednoduše nechytíte na vějičku). Když se budete řídit následujícími třemi základními pravidly, můžete si být jistí, že vaše hesla budou v bezpečí.
Neberte hesla na lehkou váhu
Neusnadňujte hackerům práci. Nikdy nepoužívejte řady po sobě jdoucích číslic či písmen a především: nikdy si jako heslo nenastavujte slovo heslo. Nastavujte si jedinečná hesla, která neobsahují žádné vaše osobní údaje, jako je jméno či datum narození. Pokud útok míří na vaše konkrétní heslo, hacker se snaží při svých pokusech využívat vše, co o vás ví.
Těmto 10 nejčastěji používaným slabým heslům se vyhýbejte
Je takové heslo prolomitelné hrubou silou?
Vezmeme-li v úvahu, jak útok hrubou silou probíhá, naskýtá se nám několik příležitostí, jak se před ním můžeme bránit.
- Heslo musí být dlouhé – Tato vlastnost je u hesla nejdůležitější. Pokud je to možné, nepoužívejte nic kratšího než 15 znaků.
- Používejte kombinaci znaků – Čím záludnější kombinaci velkých a malých písmen, číslic a symbolů zvolíte, tím bude heslo silnější a odolnější vůči útoku hrubou silou.
- Nepoužívejte běžné náhrady znaků – Nástroje na crackování hesel nahrazování písmen podobnými číslicemi a naopak dobře znají. Ať už si nastavíte heslo ZVONECEK, nebo 2V0N3C3K, útočník používající hrubou sílu jej prolomí stejně snadno. Dnes je náhodné nahrazování znaků mnohem účinnější než běžné nahrazování podobnými znaky neboli leetspeak*. (* Leetspeak je neformální způsob vyjadřování na internetu, ve kterém jsou normální písmena často nahrazována číslovkami či zvláštními znaky.)
- Nepoužívejte sekvence kláves na klávesnici – Řady po sobě jdoucích kláves na klávesnici (např. qwerty)) jsou stejně nebezpečné jako řady po sobě jdoucích písmen či číslic. Hackeři je obvykle zkoušejí mezi prvními.
Je takové heslo prolomitelné slovníkovým útokem?
Pokud se před podobnými útoky chceme chránit, je nutné především nepoužívat hesla tvořená jedním slovem. Používáním hesla tvořeného několika slovy útočníka ošálíte. Nezapomeňte, že takový útok používá k tipování jen všechna slova ze slovníku (kterých je méně než všech náhodných kombinací písmen). Pokud v hesle použijete víc slov, zvyšuje se počet možností exponenciálně podle toho, kolik slov použijete (jak je vysvětleno v populárním příspěvku na toto téma na serveru XKCD).
Nejlepší metody, jak si vybrat heslo (a pár příkladů skvělých hesel)
V Avastu máme kybernetickou bezpečnost v malíčku. Víme, jak solidní heslo vypadá, a známe pár vhodných postupů, jak si takové heslo vybrat. Podle následujících metod si dokážete vytvořit hesla, která jsou silná a zároveň zapamatovatelná. Když se budete našimi následujícími tipy řídit, budete na internetu ve větším bezpečí.
Metoda zvláštní fráze
Touto metodou si nastavíte heslo tvořené několika slovy, která nejsou v běžné mluvě příliš častá. Vybírejte různá jména, názvy místních podniků, historické osobnosti či výrazy z cizích jazyků. Slovo šlamastyka sice hacker znát může, ale jen sotva dokáže uhádnout něco jako:
KrutoprisnaSlamastykaCimrmanCucoriedka
Snažte se sestavit výraz, pod kterým si něco představíte a co vám pomůže se zapamatováním.
A pokud si ho chcete ještě víc zkomplikovat, doprostřed jednotlivých slov nebo mezi ně přidejte pár nahodilých znaků. Každopádně se vyhýbejte podtržítkům mezi slovy a běžným náhradám písmen za podobné znaky (takzvanému leetspeaku).
Metoda věty
Tato metoda je také známá jako „Metoda Bruce Schneiera“. V podstatě si vymyslíte náhodnou větu a podle určitého pravidla si z ní vytvoříte heslo. Když například vezmete první dvě písmena z každého slova ve větě „Mamut je moje oblíbené restaurační zařízení v Brně“, vyjde vám:
MajemoobrezavBr
Někdo jiný by podobný výraz považoval za náhodný shluk znaků, ale vy budete mít jasno. Je třeba zvolit větu, která je vám co nejbližší a zároveň maximálně neuhádnutelná.
Metoda svalové paměti
Tato metoda využívá paměti vašich prstů namísto vašeho mozku. Některým lidem vyhovuje víc než ostatní metody, takže pokud mezi ně také patříte, rozhodně ji vyzkoušejte. Nejprve doporučujeme použít nástroj, jako je náš generátor náhodných hesel, a zkoušet si v něm generovat hesla tak dlouho, dokud z něj nevypadne nějaké „čitelné“. Naučte se jej zpaměti (pokud možno foneticky) a pak jej opakovaně pište na klávesnici tak dlouho, dokud se vám neuloží do svalové paměti.
Také zkontrolujte svou e-mailovou adresu
Podívejte se na web Avast Hack Check a zkontrolujte si, zda už vaše přihlašovací údaje někdy neunikly na internet. Pokud ano, heslo ke svému e-mailovému účtu si neprodleně změňte.
Ukázkový test pomocí nástroje Avast Hack Check, který oznamuje, že heslo k e-mailu „test@gmail.com“ už někdy uniklo na internet
Dávejte pozor, komu důvěřujete
Webové stránky, které to se zabezpečením myslí vážně, hesla svých uživatelů hashují, takže když u nich dojde k úniku dat, uniklá hesla jsou zašifrovaná. Jiné webové stránky se ale s něčím takovým neobtěžují. Než si na nějaké stránce založíte účet, nastavíte heslo a svěříte jí své citlivé údaje, zkontrolujte, zda je bezpečná. Obsahuje její adresa https, což znamená, že používá zabezpečené připojení? Máte z ní pocit, že používá nejnovější standardy zabezpečení? Pokud ne, raději jí žádné své osobní údaje nesvěřujte.
Dvoustupňové ověřování
Dvoustupňové (2FA) a vícestupňové (MFA) ověřování představuje dodatečnou úroveň ochrany (která vás chrání v případě, že vaše přihlašovací údaje k účtu někdy uniknou na internet). Tyto nástroje se staly novým standardem účinného zabezpečení. Vedle vašich přihlašovacích údajů požadují i něco dalšího – například kód poslaný na váš telefon, biometrický údaj (otisk prstu, snímek sítnice atd.) nebo fyzické zařízení. To znamená, že samotné vaše heslo, ať už je jakkoli složité, vám k přihlášení nestačí.
Poznámka: Vzhledem k nedávnému hacku služby Reddit, při kterém útočník zneužil kódy ze zachycených ověřovacích zpráv, používání SMS při dvoustupňovém ověřování nedoporučujeme.
Bezpečnostní klíče a FIDO Alliance
Bezpečnostní klíče nabízí ještě vyšší úroveň zabezpečení. Bezpečnostní klíč, jako je YubiKey (podle anglického výrazu „ubiquitous key“), představuje nejlepší v současnosti dostupnou ochranu. Slouží k vícestupňovému ověřování a umožňuje přístup k souborům pouze v případě, že máte u sebe hardwarový klíč. Bezpečnostní klíče jsou k dispozici ve verzi USB, NFC nebo Bluetooth a obvykle mají velikost paměťové jednotky. Minulý rok přišel Google s požadavkem, že všichni jeho zaměstnanci musí začít používat hardwarové klíče. Firma tvrdí, že od té doby u žádného z jejích 85 000 zaměstnanců nedošlo k jedinému úniku dat. Posléze oznámila, že plánuje prodávat svůj vlastní produkt zvaný Titan Security Key, který slouží speciálně k ochraně před phishingovými útoky.
Chcete-li se o 2FA, MFA a bezpečnostních klíčích dozvědět více, podívejte se na web organizace FIDO Alliance, která se zabývá tvorbou silných ověřovacích standardů pro počítačové a mobilní aplikace. Pokud vám na vašem online bezpečí záleží stejně jako nám, měli byste používat pouze služby, které podporují standardy FIDO. Z těch nejvýznamnějších jmenujme třeba Microsoft, Google, PayPal, Bank of America, NTTDocomo nebo DropBox. Pokud nějaký bezpečnostní klíč, webová stránka či mobilní aplikace má certifikaci FIDO®, používá vysoké standardy ověřování a ochrany.
Kompatibilita se standardy FIDO je něco, čeho se u většiny aplikací ještě nějakou dobu nedočkáme, takže se mezitím musíme spoléhat na bezpečnostní klíč (pokud je podporován). V opačném případě doporučujeme používat dvoustupňové ověřování.
Používejte správce hesel
Správce hesel si všechna hesla zapamatuje za vás, takže vám postačí, když si budete pamatovat jen hlavní heslo, kterým se do něj dostanete. A příslušné hlavní heslo si nastavte podle našich rad v tomto článku.
Hesla k ostatním svým účtům svěřte správci hesel. Navíc dokáže generovat velmi složitá a dlouhá hesla, která se prolamují mnohem obtížněji než hesla vytvořená lidmi.
Vyzkoušejte si zdarma Avast Passwords nebo si jej pořiďte společně se sadou dalších skvělých bezpečnostních nástrojů, když si stáhnete Avast Free Antivirus.
Další bezpečnostní rady k heslům
Své přihlašovací údaje můžete chránit lépe, pokud se budete řídit zdravým rozumem a budete mít na paměti tyto rady:
- Na veřejných Wi-Fi sítích používejte VPN. Když se pak na nich budete přihlašovat ke svým účtům, vaše uživatelské jméno a heslo nikdo nepovolaný nedokáže zachytit.
- Své heslo nikdy nikomu neposílejte.
- Při výběru bezpečnostních otázek, když si někde zakládáte účet, volte otázky, na které nikdo jiný kromě vás nezná odpověď. Na řadu z nich lze totiž najít odpověď pouhým hledáním na sociálních sítích. Chce to tedy obezřetnost.
- To, co jste se zde dozvěděli, si nenechávejte pro sebe. Úniky dat jsou na denním pořádku, takže když tento příspěvek na blogu dáte přečíst kamarádům a rodině, pomůžete svým nejbližším se lépe chránit.
- Také si pořiďte antivirový program. Pokud se nějaké hrozbě náhodou povede překonat všechna vaše bezpečnostní opatření a dostat se vám do systému, dobrý antivirus ji odhalí a zablokuje.