Pravděpodobně všichni tušíme, že heslo „12345“ nebo „Honzik1“ není úplně ideální. Názory se ale pravděpodobně začnou lišit, jakmile se vás zeptám, které z těchto dvou hesel je bezpečnější?
1. qP(3Hdn1
2. mujpesmactyrihnedetlapky
Druhou a neméně důležitou otázkou je: Které z těchto hesel si spíš zapamatujete? Odpověď na obě otázky je varianta číslo 2. Přesto se většina lidí uchyluje k různým kódům a náhodným kombinacím znaků, obdobným první variantě.
Svádí nás k tomu hlavně nesmyslné registrační formuláře, které často vyžadují velké a malé písmeno, číslici, speciální znak... krev z jednorožce, však to znáte.
Internetová hesla jsou speciální a dost problematický obor internetového světa. Velká část lidí, zvláště ti, kteří nejsou nějak zběhlí ve výpočetní technice, používají hesla, která případný „hacker“ prolomí do dvou minut.
Nejhorší ze všeho jsou hesla slovníková – jména a reálná slova, která program s dostatečným datasetem „prolomí“ během pár vteřin. Nejspíš proto nás webové formuláře obvykle vyzývají k speciálním znakům, které mají uživatele odradit od nejhorší možné varianty.
Vynucené heslo
Front-end vývojáři, kteří stojí za validací zadaných dat, totiž stojí před nelehkým úkolem. Snaží se zajistit, aby účet nebyl lehce prolomitelný a manipulovatelný. To by totiž mohlo posloužit jako negativní reklama pro službu, která v tom bude zcela nevinně.
Zpravidla tedy vedou uživatele při registraci k heslu, které je alespoň 8 znaků dlouhé a obsahuje řadu specifických znaků. V tu chvíli začnete vymýšlet kombinace a varianty různých znaků, které splňují zadané parametry, aniž by byly nutně logické.
Z původního Honzik1 vznikne H0nZ!k69 – splnili jste požadované parametry a stojíte před heslem, které vypadá neprolomitelně. Pochopitelně byste si ho neměli nikam zapisovat a při příští registraci zvolit jinou variantu nebo úplně nové heslo, takže postupem času budete v paměti nosit 20 variant podobně nesmyslných kódů.
Váš postup při tvorbě hesla byl sice logický, ale heslo samotné je špatně.
Důvod je jednoduchý, jak si budete proboha takový nesmysl pamatovat? Předpokládejme, že máte 10 různých účtu s deseti variantami hesla a některé služby nevyužíváte denně, vzpomínáte si jak vypadala moje verze Honzikova hesla, kterou jste četli před 20 vteřinami?
Zkuste si vzpomenout za měsíc.
Takže se spíš budete snažit vymyslet jedno složité heslo, které si nadrtíte do paměti a potom ho používat úplně všude. Většina webů a databází ukládá hesla šifrovaně, takže i při jejich prolomení nehrozí únik vašich přihlašovacích údajů.
Jenže, co když jej zadáte zrovna do služby, která šifrovanou databázi nemá? Jakmile vám útočník prolomí jeden účet – získá přístup k dalším devíti, přičemž obvykle stačí přístup k hlavnímu emailu, který vám následně dovolí resetovat hesla u ostatních služeb.
Je tedy vysoce žádoucí, abyste měli pro každý účet heslo jiné... Teď si asi říkáte, jak si mám proboha pamatovat deset různých hesel? Samozřejmě můžete použít správce hesel, ale pokud nechcete své údaje svěřovat třetí straně nebo pokud nemáte tušení, jakým způsobem správce hesel funguje, můžete na to jít i jinak.
Na délce záleží!
Při snaze o prolomení hesla zkouší útočník nejdříve nejjednodušší verzi: slovníková hesla. Tam, kde s nimi neuspěje, existují dvě další varianty, útočník buď tuší s kým má tu čest a následně zapojí do prolomení hesla psychologii (odhadne, co byste zrovna vy mohli jako heslo použít.)
Nebo využije programu na principu tzv. brute force, tedy metody, ve které program vygeneruje všechny existující znaky na každém řádu tak dlouho, až náhodně narazí právě na vaši kombinaci znaků a tím prolomí heslo prolomí.
Co to znamená v praxi? Podívejme se na jednoduché heslo složené ze série náhodných písmen v doporučené délce osmi znaků, např: qpcehdni – Může se to zdát jako relativně bezpečné heslo, ale dnešní moderní počítače jej za pomocí brute force útoku prolomí v řádu pár minut.
Jakmile nahradíte některá písmena za čísla: qpc3hdn1 – stejný útok, na stejně výkonném počítači zabere tentokrát i několik hodin. Nyní to toho přidejme ještě velká písmena: qPc3Hdn1 – tady už se bavíme o několika dnech nonstop generování znaků. A při zařazení speciálního znaku: qP(3Hdn1 – bude program s vaším heslem bojovat klidně i měsíc v kuse.
Technicky vzato tedy můžeme říct, že „qP(3Hdn1“ je solidní heslo. Nikdo ho nebude schopný uhádnout, není v žádné databázi slovníkových hesel a generátory náhodných hesel by nad ním strávily tolik času, že se nikomu nevyplatí snažit se takové heslo prolomit.
Pořád ale stojíme před problémem, že takové heslo bude zbytečně složité na zapamatování a to úplně bezdůvodně.
Teď se pro porovnání podívejme na náš příklad ze začátku článku: mujpesmactyrihnedetlapky – (můj pes má čtyři hnědé tlapky.) To je 24 znaků, vše malým písmem a bez žádných nadbytečných znaků. Při použití stejné metody jako v prvním případě, na stejném počítači, by prolomení takového hesla trvalo tisíce let!
Důvod je prostý, s každým dalším znakem se umocňuje počet možných kombinací, i za předpokladu, že použijeme pouze základní znaky abecedy, stojíme před heslem, s 24 pozicemi o 26 znacích. Nikdo nemá šanci takové heslo uhádnout a v slovnících byste ho hledali těžko, přesto, že a je složeno z reálných slov.
A hlavně! Si ho naprosto bez problému zapamatujete.
Vdechněte svým heslům kontext!
Každá služba, účet nebo server, nabízí nějaké pozadí, ze kterého můžete vycházet. Chcete vytvořit silné heslo na Warengo? Co třeba: tastrankasezelenymgrafem (ta stránka se zeleným grafem?) Vizualizujte si to heslo, zapamatujte si, co přesně představuje. Čím více informací ukládáme do paměti, tím spíše si heslo znovu vybavíme.
Najdete-li unikátní systém (klíč, chcete-li) podle kterého budete přiřazovat každé stránce specifické heslo, můžete mít klidně deset různých hesel, které jsou neprolomitelné a zároveň snadno zapamatovatelné.
Mělo by to být ideálně něco, co nenapadne ani lidi, kteří vás dobře znají. „Mujpesmactyrihnedetlapky“ by pro mě bylo ideálním heslem, žádného psa totiž nemám, koho by napadlo, že si ho vymyslím jen kvůli heslu?
Čím bizarnější a nesmyslnější kombinace slov bude, tím lépe pro vás, pakliže si to dokážete vizualizovat: Viz třeba: navesakumammodrachapadla (na věšáku mám modrá chapadla.) Ani já sám nevím, jak mě ta věta napadla, jak by to mohlo napadnout kohokoliv z mého okolí?
Buďte klidně kreativní, popusťte uzdu fantazii, vizualizujte si vaše tajná přání a sny a promítněte je do registračního formuláře. Kreativní hesla prostě nemáte šanci zapomenout a i kdyby jste náhodou vážně trpěli špatnou pamětí, můžete si někde poznamenat nějakou nápovědu, pro chapadla třeba: Osm ramen.
Obejděte systém
Teď samozřejmě hrozí, že vaše kreativní, unikátní a jedinečné heslo neprojde registračním formulářem, který vyžaduje velké písmeno, číslo a speciální znak.
Většina systémů by neměla být omezena délkou, pokud ano, pak budete muset od své fantazie ustoupit a zůstat při zemi s nesmyslně složitým ale krátkým heslem.
V případě, že délka hesla není limitována, prostě na začátek každého hesla přidejte tři schodné znaky, např: A1! – Splnili jste podmínku velkého písmena, čísla, speciálního znaku a jelikož stejnou kombinaci využijete před každým unikátním heslem, snadno si ji zapamatujete.
Jako bonus jste navíc získali o dva řády složitější heslo, to už se můžeme pohybovat v řádech milionů let nutných k jeho rozluštění. A nemusíte se nutně držet 24 znaků dlouhého hesla, úplně postačí, bude-li mít třeba 16 dostatečně „náhodných“ znaků.
Důležité je, že nemusíte volit mezi hesly: qwertz, heslo1234 a nesmyslnou kombinací znaků: qP(3Hdn1.
Můžete využít jednoduché a dobře zapamatovatelné slovní spojení, které bude zároveň bezpečnější než zpovědní tajemství u němého faráře.
Chápu, že jste možná na své heslo: Alenka74 už zvyklí, ale věřte mi, internet je zrádné místo a je lepší mít své údaje pod kontrolou.
Máte zájem komentovat, lajkovat nebo přidat svůj vlastní článek? Registrujte se na Warengo teď hned!
#heslo #password #zabezpeceni #bruteforce #kombinatorika #hacker #hacking #cybersecurity #security #rady #zkusenosti #PC #pocitac #internet #databaze