Ako si vytvoriť silné a ľahko zapamätateľné heslo? Je dobrý nápad využívať password manager a ako si vybrať ten správny?
Väčšina z nás sa denne potrebuje prihlásiť do množstva zariadení. Ráno odomykáme telefón, heslom sa dostávame do počítaču v práci, prihlasujeme sa na email či na sociálne siete alebo vykonávame platobnú transakciu. Heslá tvoria najdôležitejšiu bránu do nášho súkromia. Preto je prekvapivé, ako často podceňujeme tento faktor bezpečnosti.
Najčastejšie chyby robia ľudia pri vytváraní hesla, keď ich kvalita a sila nezodpovedá dôležitosti údajov, ktoré sa snažia ochrániť. Niektorí sa uspokoja s heslami ako 123456, password, používajú svoje meno alebo aktuálny mesiac a rok.
Potom sú takí, ktorí si pri vytváraní hesla síce dajú záležať, avšak používajú ho na každom účte, čo pri množstve platforiem, ktoré každodenne používame, stráca pointu. Keď raz útočník rozlúšti takéto heslo, sú všetky vaše účty ohrozené a vám nezostáva už nič iné, ako len okamžite zareagovať a dúfať, že o veľa neprídete.
A existujú aj prípady, keď si užívateľ spíše všetky svoje heslá od rôznych účtov do jedného dokumentu a uloží ho na cloude alebo v počítači na disku. Žiaľ, ani toto nie je v poriadku.
Ako sa však správať, aby ste si nemuseli zaťažovať vašu hlavu množstvom hesiel, ale aby boli vaše údaje ochránené? Na čo si pri heslách dávať pozor a ako k nim pristupovať? Odpovede na otázky sme hľadali o odborníkov na bezpečnosť, a to konkrétne Henricha Slezáka a Jána Kotradyho z vládnej kyberbezpečnostnej jednotky CSIRT a Mareka Zemana, vedúceho oddelenia pre bezpečnosť v Tatra banke.
Štandardné heslo, biometria alebo grafický prvok?
Pri prihlasovaní do firemných alebo osobných účtov máte niekoľko možností. Napríklad odtlačok prsta, snímka tváre, grafický prvok na obrazovke, PIN kód alebo klasické heslo. Pri výbere, akým spôsobom sa do svojho účtu chcete prihlásiť, musíte najskôr zvážiť, aké údaje vaše heslo chráni. „Vždy je podstatné premýšľať nad tým, aké mám svoje aktíva, čo chránim, ako sú pre mňa hodnotné a čo ich ohrozuje,“ dopĺňa Henrich Slezák.
Po analýze rizík a hodnoty vašich údajov, sa musíte zamyslieť nad tým, ako bezpečné sú jednotlivé formy prihlasovania. Henrich Slezák a Ján Kotrady to bližšie približujú na stupnici úrovne hesiel:
- Úroveň 0: Žiadne heslo – s touto ochranou sa stretávame najmä pri prihlasovaní do telefónov a počítačov. Veľa užívateľov je do firemných alebo osobných účtov prihlásených automaticky, preto je pre útočníka jednoduché kompromitovať vaše osobné údaje.
- Úroveň 1: Grafický prvok – obrázkové heslo ako forma zabezpečenia sa vyskytuje na telefónoch, ako pohyb prsta do určitých smerov. Na počítačoch ho nájdete vo forme pohybov s myškou po tapete na zamykacej obrazovke. Toto prihlasovanie nepredstavuje pre útočníka veľkú námahu, nakoľko mu stačí raz vidieť vzor, ktorý ste do zariadenia zadali a automaticky ho dokáže zreplikovať.
- Úroveň 2: 4-miestny PIN kód – ide o základný stupeň bezpečnosti. Využíva sa v rovnakej miere na telefónoch, či už pri odomykaní SIM karty alebo pri prihlasovaní do samotného zariadenia, ale aj pri počítačoch pri vstupe do systému. Samozrejme, závisí od počtu znakov. Pokiaľ sa počet navyšuje, tak automaticky rastie aj úroveň ochrany. „Keď máme číselné heslo tak každý jeden znak navyše má 10-násobne viac možností, takže je 10-násobne bezpečnejšie,“ približuje Ján Kotrady.
- Úroveň 3: Biometria – sem patrí napríklad odtlačok prsta či snímka tváre. Najčastejšie sa vyskytuje pri mobilných telefónoch, avšak v súčasnosti je v ponuke stále viac notebookov, ktoré podporujú túto formu prihlasovania do systému. Treba však podotknúť, že pri tejto úrovni je dôležitá aj technická vyspelosť daného zariadenia.
- Úroveň 4: Štandardné heslo – podľa bezpečnostných odborníkov z CSIRTu je klasické heslo zatiaľ nenahraditeľnou a spoľahlivou formou ochrany. Úroveň štandardného hesla narastá každým pridaným znakom, špeciálnym symbolom alebo číslovkou. V skratke - čím je heslo dlhšie a zložitejšie, tým je aj bezpečnejšie.
Dvojfaktorová autentifikácia
Na prihlasovanie do účtov sa využíva aj dvojfaktorová autentifikácia. Tento spôsob funguje na princípe prvého, hlavného faktoru autentifikácie, načo následne buď obdržíte kód alebo zadáte inú úroveň overenia. „Pokiaľ sú požiadavky na dvojfaktorovú autentifikácia, tak ako ďalší faktor je možné využiť niečo čo som, napríklad biometriu alebo iný faktor typu niečo čo mám, napríklad nejaká karta alebo token. Avšak heslo podľa mňa stále zostáva hlavným faktorom autentifikácie,“ vysvetľuje Henrich Slezák.
Ján Kotrady pri zabezpečení biometriou zostáva opatrný, nakoľko napríklad pri snímke tváre veľmi závisí od technológie, ktorá prihlásenie overuje. Odôvodňuje to najmä tým, že útočník môže na prihlásenie využiť vašu fotku, prípadne, ak sa vedľa vás postaví vaša dvojička, tak nie je isté, že systém vaše zariadenie neodomkne. Rovnako sú stále nebezpečné aj odtlačky prstov, pretože ich zanechávame kdekoľvek za sebou a môže sa stať, že po dopití nápoja útočník spracuje vaše odtlačky, vyrobí si kópiu a využije ich počas vašej nepozornosti.
„V minulosti jedna firma zaviedla tvárovú biometriu, hodnotila ju ako veľmi bezpečnú, no do dvoch dní bola prelomená. Otázne je, do akej miery vieme dôverovať tvárovej biometrii a do akej miery vieme povedať, že tento softvér pre nás funguje, je bezpečný a dostatočne dobrý,“ dodáva Kotrady.
Na druhej strane Marek Zeman nie je veľkým fanúšikom klasických hesiel a podľa neho je trend prechádzať práve na bezheslovú politiku a bezheslové riešenia. „V moderných firmách je to podľa mňa už nevyhnutnosť, pretože, kto si bude pamätať 10-znakové heslo so špeciálnymi znakmi?“
Cestou podľa neho je vytvárať riešenia, pri ktorých heslo nepotrebujete. „My teraz implementujeme aplikáciu, ktorá ma prihlási s pomocou mobilu a môjho odtlačku prsta. To znamená, že cez telefón si odfotíte QR kód a dokonca tam vidíte, kedy ste pripojený a rovnako sa na aplikácii dokážete aj odpojiť. Výhodou je, že vám na prihlasovanie stačí telefón a odtlačok prsta,“ dopĺňa Zeman.
Ako vytvoriť silné heslo?
Pri vytváraní hesla by ste mali myslieť na niekoľko faktorov, vďaka ktorým bude pre útočníka len veľmi namáhavé nabúrať sa do vášho účtu. Napríklad heslo by nemalo byť krátke, pretože čím kratšie heslo, tým ho dokáže útočník ľahšie rozlúštiť.
Predmetom hesla by ste mali zvoliť niečo, čo nesúvisí s vašim menom a priezviskom a rovnako jeho podstata by nemala obsahovať jednoduché slová ako heslo, admin, 12345 a podobne. “Heslo by malo byť dostatočne dlhé, 9-10 znakov. Malo by tam byť veľké písmeno, špeciálne znaky alebo čísla, aby sa ťažko rozbíjalo,“ vysvetľuje Marek Zeman.
Ako dlho trvá prelomiť heslo?
Príklad hesla | Čas na prelomenie | Poznámka |
---|---|---|
275986 | 3 hodiny | Heslo zložené iba z číslic |
g7bun6 | 8 mesiacov | Heslo zložené iba z číslic a malých písem abecedy |
G7buN6 | 18 rokov | Heslo zložené z číslic, malých a veľkých písmen abecedy |
g7*uN6 | 120 rokov | Heslo zložené z číslic, malých a veľkých písmen a špeciálnych znakov (@,*, %) |
Pri vytváraní väčšieho počtu účtov by ste mali vytvárať aj
rovnaký počet odlišných hesiel. Toto opatrenie sa odporúča pri zaistení
bezpečnosti vašich ostatných účtov, nakoľko tak predídete vzniknutiu problémov
pri odcudzení hesla.
Najdôležitejšie pravidlo pri práci s heslami je nikomu nedôverovať a nechať si vaše heslo pre seba. Heslo je osobná informácia, ktorej strata môže spôsobiť problémy vo vašom súkromnom živote (odcudzenie identity na soc. sieťach, vykonávanie platieb a i.) alebo v pracovnom živote (narušenie firemnej komunikácie, únik firemných údajov, odcudzenie peňazí a i.).
Zmena hesla – otrava či nevyhnutnosť?
Obmena hesiel je ďalší dôležitý faktor, ktorý pri pracovných, ale aj osobných účtoch je nevyhnutné brať na vedomie. Každá firma by si na základe analýzy mala presne určiť, akú heslovú politiku vo svojej inštitúcii nastaví. „Niekde stačí meniť heslo raz za pol roka, niekde raz za mesiac. Pokiaľ sa vo firme spracúvajú citlivé informácie, tak sa potom oplatí meniť heslá častejšie,“ dodáva Slezák.
Až príliš pravidelné menenie hesiel však môže v podniku pôsobiť kontraproduktívne. Napríklad pri každomesačnej obmene zamestnanci využívajú heslá ako april2019, maj2019 a podobne. Takéto prípady sú odmenou pre útočníkov, ktorým stačí prelomiť vaše heslo jedenkrát a potom už bude pre nich jednoduché prísť logicky na ďalšie.
Odporúčaná doba na zmenu hesla sa pri každej firme odlišuje, nakoľko spracúvajú rôzne údaje. „Vhodná doba pre výmenu hesla je 3-6 mesiacov,“ vysvetľuje Kotrady. Treba však prispôsobiť aj úroveň vášho heslo, ktoré by malo obsahovať veľké a malé písmená, číslice, znaky a podobne. Rovnako je dôležitá aj dĺžka hesla, kde platí pravidlo, čím dlhšie, tým bezpečnejšie.
Manažér hesiel - spôsob, ako si zapamätať všetky heslá
V ideálnom prípade používate na osobný email jedno heslo, na pracovný druhé, na sociálne siete využívate tretie a k tomu máte ešte mnoho ďalších účtov. Zapamätať si ich je veľakrát nemožné. Niektorí užívatelia si preto heslá zapisujú, či už niekde na papier alebo do úložiska v počítači. Papiere sa však zvyknú strácať a pokiaľ sa do vášho jedného účtu, kde máte zapísané heslá, niekto dostane, má voľný prístup na zvyšok vašich hesiel.
Pri veľkom počte účtov a častou obmenou hesiel môžete využiť nástroj, ktorý sa volá manažér hesiel (password manager). Ten na jednom mieste uschová v bezpečí vaše heslá. Vyhnete sa pritom riziku, že heslo stratíte alebo zabudnete. „Odporúčam používať manažér hesiel. Treba si stanoviť bezpečnostné požiadavky na heslo, napríklad, aby heslo malo 10-12 znakov, aby bolo zložené z rôznych veľkých a malých písmen, špeciálnych znakov a aby bolo pravidelne obmieňané,“ vysvetľuje Slezák.
Marek Zeman pritom upozorňuje aj na technickú stránku, pri ktorej by si mal užívateľ dávať pozor na aplikovanie tejto služby. „Dôležité je zabezpečiť, aby aj po implementácii bola služba bezpečná. Jedna vec je uchovať heslo, ale druhá vec je, aby bol password manager nainštalovaný tak, aby ho nebolo ľahké prelomiť,“ zdôrazňuje Zeman. Radí preto, aby sme sa obrátili na odborníka alebo známeho, ktorý tomu rozumie.
Pri výbere manažéra hesiel je rovnako dôležité dbať aj na aspekty, ktoré by mala táto služba spĺňať. „Manažér hesiel nemusí byť veľmi drahý. Heslá by mali byť zašifrované, ako aj komunikácia s nimi, mal by sa dať nejakým spôsobom zálohovať a mal by mať možnosť špeciálneho prístupu, v prípade že by sa zablokoval. Samotný manažér hesiel by sa mal vedieť aj resetnúť na diaľku v prípade, že o zariadenie prídete,“ dopĺňa Zeman.
Na správu hesiel existuje množstvo aplikácií, niektoré sú bezplatné, iné platené. Projekt O2 Chytrá škola spomína napríklad LastPass, 1Password, StickyPassword, RoboForm.