Sledujte nás na Instagrame

@hospodarske_novinyFacebook
24.08.2017, 00:01

Nestaňte sa obeťou hackerov. Experti radia, aké heslá sú teraz najlepšie

Heslá hrajú nezastupiteľnú úlohu v oblasti počítačovej bezpečnosti. Bohužiaľ, veľa ľudí si vyberá náročné a ťažko zapamätateľné reťazce typu p0L3dn!ce.

Nestaňte sa obeťou hackerov. Experti radia, aké heslá sú teraz najlepšie
Zdroj: Pixabay

Jeden z autorov pôvodných odporúčaní, William Burr, uznáva, že šlo o chybu. Po novom by ste namiesto hesla plného čísel a písmen mali zvoliť väčší počet náhodne vybraných slov.

Najčastejším spôsobom, ako potvrdiť svoju totožnosť, je zadanie mena a hesla. Ako si takéto heslo zvoliť, to zvyčajne softvér alebo služba nechá na používateľovi. Ale to vedie k tragickým výsledkom: ľudia si príliš často vyberajú primitívne a preto ľahko uhádnuteľné heslo typu 12345, password123 alebo aaaaaa, uvádza iDNES.

Programátori preto zvyčajne uvalia na používateľov určité obmedzenia. Najčastejšie ide o kombináciu týchto pravidiel:

  • Dĺžka hesla minimálne 8 znakov
  • Heslo musí obsahovať aspoň jedno veľké písmeno, jedno malé písmeno, aspoň jednu číslicu a aspoň jeden "špeciálny znak"
  • Heslo nesmie obsahovať "populárne slovo" alebo užívateľské meno
  • Heslo je potrebné pravidelne meniť

Tieto podmienky boli súčasťou odporúčania amerického Národného inštitútu štandardov a technológie (NIST) z roku 2004. Práve tento dokument pomohol k tomu, aby sa "prototypom správneho hesla" stali príklady v štýle sUp3r.man alebo Jarmo! 1kA.

Jedným z autorov bol vtedajší manažér William Burr, ktorý je už na dôchodku. 72-ročný  Burr po rokoch pre The Wall Street Journal opísal, ako vtedy s kolegami dospel k radám, ktoré formovali pravidlá v USA aj po celom svete v nasledujúcich desiatich rokoch. Podľa neho existovalo málo dát ohľadom voľby hesiel a Burr spolu s kolegami občas vychádzali z dokumentov z 80.rokov 20. storočia. Napriek tomu robili, čo bolo v ich silách. "Výsledkom však bolo, že sme dokument napísali príliš komplikovane a mnohí ľudia mu nerozumeli. Poučovali sme na nesprávnom mieste, "uznáva Burr.

Ako ukázala prax, odporúčania NIST boli kontraproduktívne. Ich pravidlá totiž privádzali ľudí do šialenstva, uvedomuje si po rokoch Burr.  "A nedonútilo ich to vyberať si silné heslá."
Užívatelia sú lenivejší, než odborníci očakávali
Teoreticky dávajú samozrejme klasické pravidlá určujúce zložitosť (komplexnosť) hesla zmysel. Vychádzajú z princípu informačnej teórie zvanej entropia: nie každý znak hesla vnáša rovnakú mieru náhody a neistoty. Práve slovníkové útoky (keď útočník strojovo skúša rôzne slová zo slovníka alebo databázy) viedli Burra a jeho kolegov k vynúteniu špeciálnych znakov, čísel, veľkých / malých písmen a častej obmeny hesla.
Lenže ľudia si zvyčajne musia pamätať viac hesiel, nielen jedno, a ak majú v hlave žonglovať niekoľko hesiel zároveň, prídu s rôznymi nápadmi, ako si tvorbu zložitého hesla zjednodušiť. Číslom nahradia nejaké písmeno, ktoré sa tomuto číslu podobá (trojka vyzerá ako E, jednotka ako veľké i alebo malé L, nula ako písmeno O a pod.).
Alebo si vyberú jedno heslo a doplnia ho o názov služby, do ktorej sa práve prihlasujú. V prípade nútenej zmeny hesla sú populárne rôzne numerické rozšírenia.
A pretože sú tieto nápady celkom univerzálne, výsledkom je ich predvídateľnosť. Ako si všimol grafik komiksov Randal Munro: "Počas posledných dvadsiatich rokov sme boli schopní vyškoliť každého, aby vytvoril heslá, ktoré sa ťažko pamätajú, ale pritom sú počítačom ľahko prelomiteľné."
Namiesto toho Munroe odporúča kombinovať viac krátkych, ale zato úplne náhodných slov. Ako príklad uvádza heslo correct horse battery staple (správne kôň batéria svorka), čo je podľa neho heslo s vyššou entropiou, hoci neobsahuje žiadne čísla alebo špeciálne znaky. Naviac, ľudia si ho vedia ľahko predstaviť a teda aj zapamätať, zatiaľ čo pre počítač je ťažké uhádnuť. 
Čo je najdôležitejšie pri výbere hesla?
Silné heslo sa nepozná podľa počtu čísel alebo špeciálnych znakov. Je dôležité, aby bolo jedinečné, dostatočne dlhé a nedalo sa uhádnuť.

Teoreticky je najlepšie mať ako heslo dlhý, nezmyselný a náhodný reťazec znakov. Pre každú službu má mať používateľ jedinečné heslo, ktoré si nikam nezapisuje a iba si ho pamätá. V praxi to však zvyčajne nie je možné. Redakcia Technet.cz preto zostavila realistickejší návod, ako vyberať heslá, na základe odporúčaní expertov, reálnych skúseností s dostupnými službami a vzhľadom na schopnosti hackerov prelomiť heslá.

  • Vyberte si zložité dlhé heslo! Dôležitá je dĺžka hesla a jeho "náhodnosť". Príkladom dobrého, ale zapamätateľného hesla sú napríklad štyri alebo päť náhodne vybraných, nesúvisiacich slov: osolkvethumoristabatoh
  • Neopakujte heslá! Každé heslo by malo byť unikátne, inak hrozí, že ak sa útočník dostane na jeden z vašich účtov, môže sa dostať k viacerým ďalším.
  • Silné a jedinečné heslá tam, kde na tom záleží! Rozlišujte medzi dôležitými a menej dôležitými službami. Ak niekto "prelomí" vaše heslo k vernostnej karte do drogérie, nie je to taká dráma, ako keď prelomí heslo k vášmu súkromnému e-mailu. Uistite sa, že máte nastavené silné a jedinečné heslá pre dôležité služby (e-mail, sociálne siete, všetko, čo zahŕňa uloženie peňazí alebo dát ...).
  • Prihlasujte sa cez zabezpečené stránky! Vždy aspoň letmým pohľadom overte, že heslo zadávate na stránke, ktorá používa HTTPS (šifrované spojenie medzi vaším prehliadačom a vzdialeným serverom). Znemožníte tak útočníkom odpočúvať vaše heslo po ceste (alebo im to aspoň výrazne skomplikujete).
  • Využite dvojfaktorové zabezpečenie! Tam kde to služba umožňuje, nezabudnite zapnúť dvojstupňové overenie (tiež dvojfaktorová autentizácia, dvojfázové overenie). Napríklad Google, Facebook, Microsoft a väčšina poskytovateľov elektronického bankovníctva ponúka nejakú formu dodatočného overenia, či už cez SMS (neodporúča sa), špeciálnu aplikáciu alebo dokonca hardvérový token. Dvojfaktorové zabezpečenie síce je niekedy otravné, ale stále je najlepším zabezpečením proti množstvu útokov na diaľku, cielených aj plochých.
  • Využite prihlásenie cez platformu, ale opatrne: niektoré služby umožňujú prihlásenie skrz platformu tretej strany (najčastejšie Google, Twitter alebo Facebook). Tým odpadá starosť s výberom používateľského mena a hesla. Nezabudnite však skontrolovať, či tým nedávate nejakej službe prístup k súkromným údajom
Nové pravidlá počítajú s ľudskou psychikou
"Vedľa  z toho, čo som napísal v tej dobe, dnes ľutujem," hovorí William Burr.

Na jeho mieste v NIST dnes sedí Paul Grassi, ktorý tiež viedol prepracovanie pravidiel na tvorbu hesiel. Ten si nemyslí, že by mal byť Burr na seba taký prísny: "Napísal dokument, ktorý v mnohých ohľadoch vdržal platný desať až pätnásť rokov. Môžem len dúfať,aby môj dokument obstál tak dlho. "
Grassi pôvodne chcel so svojím tímom dokument len mierne aktualizovať. Konzultácie s odborníkmi z odvetvia ho však viedli k tomu, aby začali pracovať úplne od začiatku.
Nové odporúčania NIST z roku 2017 obsahujú oproti predchádzajúcim rokom množstvo zmien. Pokiaľ ide o heslá, reagujú práve na výsledky výskumov a pozorovaní. V závere časti o heslách autori zdôrazňujú: "Požiadavky na dĺžku a komplexnosť hesla výrazne zvyšujú náročnosť jeho zapamätania a narastá frustrácia užívateľov. Tí sa potom snažia rôzne obísť tieto požiadavky, čo je kontraproduktívne."