Provozovatelé různých služeb po nás chtějí, abychom používali silná hesla, jenže jak je vlastně vytvořit a jak si je zapamatovat? Nejde to nějak zjednodušit?
Jediný správný postup
Hned z kraje je potřeba uvést, že jediné, co je opravdu bezpečné, je náhodná sada písmen, čísel a speciálních znaků. Ideálně o délce alespoň 10 znaků. Mimo to, byste měli pro každou registraci používat úplně jiná hesla. Nicméně je docela jasné, že je nemožné se této rady držet. Tedy snad až na výjimky, třeba u bankovnictví, emailů a Facebooku (víte přeci, že se dá do různých webů přihlašovat pomocí Facebooku, že …), kde bychom vám to rozhodně doporučovali mít opravdu unikátní a kvalitní hesla.
Jednoduchá super rada pro ty, kteří nechtějí číst celý článek. V heslech používejte vaše vlastní vymyšlená slova. Třeba vodňoprdník. Toto slovo má 11 znaků a když k němu přidáte číslo a speciální znak, máte docela dost silné heslo (1vodňo*pRdník). Heslo je zapamatovatelné, měnitelné, eliminuje slovníkové útoky a komplikuje útok hrubou silou.
Jak se hesla standardně uchovávají?
Hesla bývají v ideálním případě uložena pomocí tzv. hashe. Což je výsledek speciální matematické operace, ze které teoreticky nelze zpět odvodit data na vstupu, v našem případě heslo. Nicméně při opětovném hashování hesla se lze dobrat stejného hashe, který je uložený v databázi. Nejjednodušší pro hackery je, když neřeší způsob jakým byl hash vypočítán, ale vymýšlejí si hesla, která hashují a porovnávají je s daty v databázi.
Jak se vlastně hesla lámou?
V současné době se hesla lámou tak, že se buď používá hrubá síla, což znamená zkoušení všech možných kombinací (neefektivní), nebo se používají slovníky v kombinaci s heuristikou. To znamená, že se zkouší hesla obsahující slova v kombinaci se znalostmi o tvorbě hesel. Zkušenosti ukazují, že lidé hesla dělají nejčastěji tak, že jedno či více slov začínající velkým písmenem a nakonec dají číslo, které v případě nutnosti změny pouze inkrementují (přičtou nějaké konstantní číslo, nejčastěji +1).
Proč je potřeba mít u e-mailů silné heslo? Jednoduše proto, že si do emailu necháváte posílat resety hesel. Ten kdo má ke schránce přístup si může nechat posílat nová hesla. V neposlední řadě také určitě v emailové schránce máte z dřívějška již nějaké to heslo uloženo (nesmazaný email), případně informace o registracích, což se dá také docela zneužívat. Takže emaily a bankovnictví mějte určitě chráněno silným heslem a je-li to možné také dvou-faktorovou autentizací (posílání autorizačních SMS).
Ideální heslo by mělo pro splňovat následující
- Heslo by pro vás mělo být zapamatovatelné,
- dostatečně dlouhé,
- musí odolat slovníkovým útokům a útokům hrubou silou,
- také musí odolat útokům podpořeným heuristikou,
- mělo by obsahovat písmena, čísla a speciální znaky,
- nemělo by se na žádném webu opakovat,
- heslo by mělo být snadno upravitelné, abyste si ho mohli po čase měnit
Jak tedy na to?
Abychom splnili podmínku zapamatovatelnosti a odolnosti proti slovníkovým útokům je dobré si do hesla dát slova. Jenže ne jen tak nějaká. Musí to být taková slova, která se nenacházejí v žádném slovníku na světě, nebo když už, tak v nějakém hodně exotickém. Podobně, jako to bylo u kódu Navajo. Jako ideální se jeví vymyšlení si vlastních slov (pomeranč > pomrdanč), používání zastaralých výrazů (utřinosoplena), nebo dětských slov (autí). Hodně využívejte také diakritiku. S tou sice můžete mít třeba v zahraničí problém, nicméně ten se dá většinou vyřešit pomocí softwarové klávesnice, instalace jazykové podpory, dočasnou změnou hesla, apod..
Podmínku délky splníte tak, že použijete vícero slov za sebou.
Podmínku odolnosti proti útokům hrubou silou splníte tak, že jednak splníte výše uvedenou podmínku délky a také do hesla použijete nějaký speciální znak, číslo a budete používat malá a velká písmena.
Abychom co nejvíce ochránili heslo před heuristikou, musíme do hesel vložit náhodné chování. To třeba znamená, že čísla nebudeme dávat jen na konec, ale třeba i na začátek, do prostředka apod. Také místo jedné mezery mezi slovy můžete dávat mezer více. Přeci nikdo vám nebrání použít heslo „uTřinosoplena *1“ obsahující 15 mezer. Takové heslo je dost silné a snadno zapamatovatelné. Na druhou stranu je to heslo, které se dá jednoduše odkoukat při jeho psaní, ale to nás aktuálně tolik nebolí. Mezery rozhodně nedávejte na začátek a konec hesla. Při zpracování formulářů se často dělá jejich ořez (trim).
Aby se heslo na žádném webu nemuselo opakovat, zkuste si zavést taková hesla, která budou mít část odvoditelnou třeba z názvu webu. Třeba použijí první a poslední dvě písmena z jejich názvu. U Seznamu by to třeba bylo „seam“. U krátkých názvů třeba „BBC“ si název rozšíříte na BBCBBC čímž vznikne „bbbc“
Podmínku snadné upravitelnosti splníte tak, že přestanete inkrementovat číslo o jedničku nahoru a budete ho inkrementovat třeba o den v měsíci. Dnes je 4 den v měsíci, tak přičtete číslo 4. Protože heslo měníme jen málokdy ve stejný den, je to docela dobré pravidlo. Místo čísel si můžete hrát s písmeny. Třeba s jejich velikostí. Velká písmena můžete posouvat, přidávat, míchat dle libosti.