10 triků pro vaše hesla
Hesla patří k nejproblematičtějším oblastem počítačového zabezpečení. Jejich tvorba není vůbec jednoduchá – tedy pokud chcete, aby bylo heslo snadno zapamatovatelné a zároveň odolné vůči útokům hackerů.
GUNNAR TROITSCH, PETR KRATOCHVÍL
1 Jak si pamatovat různá a zároveň silná hesla
Existuje technologie, pomocí které si lze pro každou aplikaci zapamatovat rozdílné a velmi silné heslo. Potřebujete k tomu pouze základní heslo, které vždy kombinujete stejným způsobem s prvky příslušné (související) aplikace. Například: Vaše základní heslo je "pct-2j! HgX" a chcete si vytvořit nové heslo pro svůj e-mailový účet na Seznamu. URL on-line služby je Seznam.cz. Nyní změňte své základní heslo tak, že bude začínat počtem písmen v URL a končit druhým písmenem z URL. Budete mít tedy "8pct-2j! HgXe", což bude téměř neprolomitelné heslo k vašemu poštovnímu účtu. Další příklad: Heslo pro diskusní fórum Chipu www.chip.cz/forum založené na tomto "heslovém triku" bude vypadat takto "13pct-2j! HgXw".
2 I silná hesla mohou být odhalena
I u správně vytvořeného hesla existují při jeho nevhodném použití jistá rizika. Například zadáte-li heslo na neznámém počítači, který může být infikován keyloggerem, může tento malware heslo zaznamenat a později odeslat hackerovi. Tento nebezpečný nástroj však může být "přechytračen" pomocí jednoduchého programu z Windows – "Klávesnice na obrazovce". Příslušný nástroj najdete ve všech Windows od XP po 7: stačí jen zadat do vyhledávacího políčka "osk" a kliknutím na "OK" program spustit. Dalším důležitým pravidlem při zadávání hesla by mělo být nepoužívání tzv.cleartextového okna, aby heslo neprozradily hackerovi ani tajně pořízené screenshoty. Veškeré znaky, které reprezentují heslo, by měly být symbolizovány pouze tečkami nebo jinými zástupnými znaky. Poslední důležitou podmínkou je použití bezpečného spojení se serverem. Použití SSL šifrování (https webová adresa) pomáhá chránit vaše heslo před odhalením během přenosu po internetu.
3 Brute-force útoky závisí na délce hesla
Máte výkonný procesor a podceňujete význam grafické karty? Vaše chyba – tento hardware rozhodně zaslouží respekt, protože kromě toho, že zrychluje hry, dokáže hackerům nabídnout i nezanedbatelnou porci výkonu. Například ATI Radeon HD 5970 dokáže přezkoušet 103 000 hesel za sekundu! Skvělý nástroj pro slovníkové útoky, při kterých je odhalení hesel ze skutečných slov záležitostí několika sekund. Dokonce i bruteforce útoky (hrubou silou), při kterých jsou vyzkoušeny všechny kombinace ze sady znaků, dosáhnou rychle svého cíle – tedy pokud je heslo krátké. Počet možností roste exponenciálně s každým znakem, proto byste měli používat hesla s osmi nebo více znaky. Zmiňovaný Radeon HD 5970 stojí jen lehce přes deset tisíc korun, což je pro hackery opravdu zanedbatelná investice…
4 Generátor hesel pro bezpečnější heslo
Vaše heslo bylo vytvořeno pomocí prvních písmen slov ve větě, zároveň jste použili čísla a speciální znaky, přesto ho ale nelze označit za zcela bezpečné. Hackeři totiž dokážou urychlit brute-force útok tím, že vyřadí z "hádání" zvláštní znaky, které se v heslech nikdy nepoužívají. Pokud chcete riziko odhalení svého hesla "slovníkovou metodou" snížit, zkuste použít programy označené jako generátory hesel. Tyto nástroje rovnoměrně využívají všech možných znaků a tím značně ztěžují "prolomení" hesla.
5 Silné heslo vám vydrží na věky
Dobře vytvořené silné heslo není teoreticky vůbec nutné měnit. Dokonce i po několika letech je takovéto heslo pro aplikaci nebo pro přístup ke službě stejně silné, jako bylo v den vytvoření. Nicméně například banky, zaměstnavatelé nebo internetové služby často trvají na tom, abyste heslo v pravidelných intervalech měnili. Důvodem bývají rizika, kterým uživatelé čelí při každodenním používání hesla. Při špatně zvoleném hesle nebo při neopatrném zacházení s ním může skutečně jeho častější změna alespoň částečně pomoci. Pokud jste si však heslo připravili podle našich tipů a zároveň jste opatrní při jeho používání, provádějí vám administrátoři takovýchto služeb medvědí službu. Obvyklou reakcí uživatelů (nucených měnit heslo v krátkých časových intervalech) bývá trik, že k heslu připojí název měsíce nebo dne. Problémem ale je, že pokud je heslo odhaleno, dokáže hacker vydedukovat všechny jeho novější verze.
6 Exotické znaky uživatele zpomalí, hackera zastaví
Jak už jsme se zmínili v jednom z předchozích tipů – bezpečnější jsou taková hesla, která obsahují speciální znaky, které se často v textu nevyskytují. Existuje ale ještě jedna kategorie speciálních znaků s ještě větší úrovní "bezpečnosti" – znaky, které nemohou být vkládány jedním stisknutím klávesy na klávesnici. Aby totiž hackeři nelegální vyhledávání hesel urychlili, tyto znaky během útoku vyloučí. Vložení těchto zvláštních znaků je sice těžkopádné, pokud vám však na bezpečí hesla záleží, jde o jednu z neefektivnějších metod, jak zabránit hackerům v prolomení hesla slovníkovou metodou. Zajímavostí je, že hackera může "zmást" i počet úhozů, protože pro zadání speciálních znaků je potřeba více stisknutých kláves. Například podržením stisknuté klávesy [Alt] a zadáním 0174 na číselné klávesnici vytvoříme znak "®" – zde je nutné stisknout pět kláves pro jeden znak hesla. Některé vhodné znaky jsou uvedeny níže. Většina uživatelů určitě ví, že pomocí metody "Alt+kód" lze zadat kompletní sadu ASCII znaků. Jen málokoho ale napadne, že použití speciálních znaků komplikuje hackerům odhalení hesla.
Potenciální překážka: Vždy mějte na mysli, za jakých podmínek budete potřebovat heslo používat a zda je možné tyto exotické speciální znaky zapsat pomocí v příslušné chvíli dostupné klávesnice. Například sady znaků v mobilních telefonech či smartphonech jsou většinou omezeny a zadání komplikovaného hesla není proveditelné.
Znak ALT kód
® [Alt]+[0174]
Ś [Alt]+[0140]
™ [Alt]+[0153]
˝ [Alt]+[171]
Ř [Alt]+[155]
© [Alt]+[0169]
Ć [Alt]+[146]
ż [Alt]+[168]
[Alt]+[159]
† [Alt]+[0134]
•• [Alt]+[249]
ź [Alt]+[0159]
7 Trezory pro hesla jsou pohodlné, ale...
Na internetu je k dispozici velký počet programů nabízejících "trezor" pro vaše hesla, jeden takový nástroj pak najdete i na našem DVD (KeePass). Tyto nástroje v podstatě nabízejí velmi pohodlný způsob, jak udržet hesla v bezpečí a na jednom místě. I tato varianta práce s hesly však může přinášet celou řadu rizik. Obvykle totiž platí, že přístup k trezoru s vašimi hesly je zabezpečen pomocí jediného hesla. Pokud ho útočník odhalí, získá neomezený přístup ke všem heslem chráněným aplikacím, účtům a datům. Existuje ale jeden relativně bezpečný způsob, jak se "sejfem na hesla" pracovat: spustit ho na virtuálním počítači. Tímto způsobem může být k dispozici, pouze pokud se manipuluje s opravdu citlivými daty, v opačném případě je skryt na disku virtuálního počítače.
Nástroje pro práci s hesly, které jsou určené pro klasické počítače, mají ale ještě další omezení: nejsou k dispozici, pokud jste na cestách. Alternativou mohou být programy s podobnou funkcí pro mobilní telefony. Na obrázku jsou screenshoty Symbian nástrojů MobileKnox. Jejich výhodou je relativně příznivá cena: například v Nokia "OVI obchodě" stojí "sejf" pouze 3 eura. Podobné nástroje jsou pochopitelně k dispozici i pro ostatní operační systémy mobilních telefonů.
8 Jak dlouho vaše heslo odolá "brute-force" útokům
Chcete vědět, jak bezpečné je vaše aktuální heslo?
Nejprve je nutné určit, z jaké skupiny znaků se heslo skládá. Jako jednoduchý příklad si uvedeme čistě číselné heslo – například PIN. V úvahu přicházejí čísla od 0 do 9, tedy celkem 10 čísel. Pokud předpokládáme, že se heslo skládá ze šesti číslic, pak můžeme určit počet možných kombinací: 10 na 6 = 1 000 000. Existuje tedy milion různých kombinačních možností. V tipu číslo 3 jsme vám představili grafickou kartu pro hráče za přibližně deset tisíc korun, pomocí níž například specializovaný nástroj ElcomSoft ruského softwarového vývojáře otestuje přibližně 103 000 kombinací za sekundu. Výše uvedený milion vydělíme číslem 103 000 a dostaneme překvapivě rychlých 9,7 sekundy ve prospěch hackera…
9 Kdo zdědí vaše data a hesla?
Pokud jste vše udělali správně, jsou vaše účty a data v bezpečí. Co se ale stane v případě vaší smrti? Podle právních předpisů se dědí dokonce i webové stránky, e-mailové účty nebo bankovní účty. To zní na první pohled jednoduše, v praxi je ale opak pravdou. Může jít o velmi náročnou operaci jak z hlediska právního, tak i z hlediska technického, a to nemluvíme o internetových účtech a transakcích, o kterých dědic neví…
Na tento problém se zaměřují různí poskytovatelé a firmy a nabízejí řízené zpřístupnění digitálních dat a přístupových údajů v případě smrti. Například na webu DataInherit (www.datainherit.com) můžete zdarma uložit 50 hesel a 10 MB důležitých dat, která jsou v případě vaší smrti dodána osobě vámi předtím uvedené.
10 Skutečná slova jsou jako hesla extrémně nebezpečná
Již nějaký čas existuje software a hardware, který umožňuje hacknout jednoduchá hesla u Wi-Fi sítí, pro přístup k poštovním schránkám nebo k účtům na e-Bay, a to během několika minut. Například program ElcomSoft Wireless Security Auditor otestuje na počítači s procesorem Intel Core-i7 přibližně 4 000 hesel pro WPA za sekundu. Tento software je sice drahý (cca 1 200 eur), na internetu však již koluje velké množství cracknutých verzí, ke kterým jsou obvykle ještě přibaleny "slovníkové seznamy". Pokud tedy zvolíte jako heslo pro svou Wi-Fi jednoduché slovo, může být pro vašeho souseda jen otázkou minut, než pronikne do vaší Wi-Fi sítě. Před takovými útoky jste chráněni pouze v případě, že používáte složité řetězce znaků.
Foto: Obrázek ukazuje výběr nejvíce používaných hesel. Víte jaká hackeři odhalí téměř hned a jaká jsou relativně bezpečná?