World Password Day – copak asi připomíná?

World Password Day – den připomínající všem důležitost silných hesel a odpovídající bezpečnostního chování. Jak dosáhnout zmíněného?

Pro Instaluj.cz SEO specialista a copywriter Daniel Beránek:

Jak si vzít k srdci Den bezpečných hesel?

5. května je World Password Day, tedy Mezinárodní den hesel, a vezmeme-li v potaz i intenci svátku, tak pak spíš Den bezpečných hesel. Máme-li si vzít k srdci jeho poselství, pak je to čas aktualizovat své znalosti vytváření bezpečných hesel a jejich používání, přehodnocení vlastních hesel a nakládání s nimi, případně vytvoření hesel novým a změny bezpečnostních návyků. Jak všechno toto ustát?:)

Den bezpečných hesel

World Password Day vznikl coby iniciativa bezpečnostních expertů a počítačových gigantů (vč. Microsoftu, Intelu, Aceru, Samsungu, Toshiby) reagující na stále se neměnící, ne-bezpečná hesla uživatelů. Jejím cílem je osvítit internetový národ, poukázat na slabiny vytvářených hesel, nabídnout inspiraci k vytváření hesel silnějších a ke změně nakládání s bezpečnostními údaji vůbec.

Opodstatnění takové iniciativy je nasnadě – stačí se podívat na statistiky nejčastějších hesel a jejich každoroční vítěze: 123456, password (v ČR heslo), 12345678, qwerty, internet… Možná, že i v rámci oslavy svátku v roce 2016 anonymní ruský cracker ukradl 1 170 000 000 přihlašovacích údajů ze služeb Gmail, Yahoo, Hotmail, Mail.ru – a dal o tom světu vědět prostřednictvím bezpečnostních expertů Hold Security, Ti je sice na jedné straně pročistili od duplicit a došli k 272 000 000 neduplicitních záznamů, na straně druhé ovšem konstatují: „Kupříkladu jen z přihlašovací záznamů začínajících písmenem a v počtu 80 000 000 jsme našli jen 19 000 000 unikátních dvojic. To znamená, že zcela běžnou praxí je opakované užívání stále těchtýž přihlašovacích údajů napříč mnohými služba. Nejenže je to závažná bezpečnostní chyba, ale také velmi rozšířená, když se vyskytuje v 75 % případů.“

Abychom se před důsledky obdobných nešvarů uchránili, iniciátoři World Password Day radí:

Vytvářejte silná hesla

„Heslo by mělo být alespoň 8 znaků dlouhé a těžko uhodnutelné. Vyhněte se užívání osobních informací, zvláště takových, které může kdokoliv odvodit z online informací dostupných prostřednictvím vyhledávání či sociálních sítí.“ K tomu lze jen dodat:

  • vybavte heslo kombinací malých a velkých písmen, mezer, čísel, interpunkčních znamének, speciálních znaků – a nikoliv sekvenčně řazených (typicky řádek na klávesnici) nebo
  • použijte velmi dlouhé heslo (32 a více znaků) – typicky snadno zapamatovatelný, třeba i rýmující se příběh.

Ještě lépe uděláte kombinací obou způsobů, nalezením možnosti smysluplného zařazení číslovky a leetspeakem – tj. nahrazením písmen podobnými, avšak nepísmennými znaky (v€s3l€ s3 s€l3 sm@zi).

Používejte pro každou službu unikátní heslo

Jakkoliv silné heslo vytvoříte, veškerá jeho síla končí s prozrazením. A v momentě, kdy je prozrazeno, je kompromitována služba – či úplně všechny služby – s ním spojené. Snadno tak může být nabourána vaše bezpečnost, aniž byste tušili, že jste se sami o to přičinili – stačí nakoupit v nezabezpečeném eshopu uchovávajícím přihlašovací údaje slabě zašifrované či nešifrované vůbec.

Samozřejmě si nezapamatujete hesla ke 128 nicotným službám, jichž jste uživatelem. V takových případech se vyplatí:

  • segmentovat – zbytečné služby chránit nicotně, lehce důležité chránit, důležité důsledně obrnit jedinečnými hesly;
  • zakomponovat okolnosti přístupu – experti sice tento postup příliš nedoporučují (neboť se dá zahrnout do útočných algoritmů), nicméně je lepší do heslové fráze včlenit prvky uživatelského jména, názvu služby, popisu službu, barvy služby či prostě čehokoliv – než nezačlenit;
  • používat správce hesel.

Používejte správce hesel

„Dobrý správce hesel bezpečně ukládá všechna hesla, často i nabízí generování velmi silných hesel. Díky tomu budete moci velmi snadno používat těžko zapamatovatelná hesla, unikátní pro každý jeden účet. Jediné, co musíte, je si zapamatovat heslo hlavní. Více zabezpečení – méně obtíží,“ popisuje stručně a výstižně fungování správce hesel web World Password Day. Správce hesel, také označovaný klíčenka, či anglickým password manager, nabývá různých podob: rozšíření prohlížeče, součást bezpečnostních balíků či samostatných aplikací. Z těch nejznámějších jmenujme 1password, KeePass, LastPass, Sticky Password či třeba český Gold! PassCage.

Rizikem správce hesel je ztráta hlavního hesla – klíče odemykajícího všechny ostatní přístupy všude jinam. Ovšem kvalitní utility se snaží i toto riziko minimalizovat spárováním konkrétní instance/uživatele a jeho zařízení s danou aplikací. Pokud pak zaznamená neoprávněný přístup, zablokuje ho a využije sekundárního ověření – jinými slovy vícefaktorového ověření.

Využívejte vícefaktorového ověření

Vícefaktorové ověření poskytuje extra vrstvu ochrany. Znají jej všichni uživatelé internetového bankovnictví – teda měli by. Služba, bez ohledu na ověření přihlášením, před provedením důležitých úkonů autentifikuje uživatele sekundární cestou – v případě netbankingu zasláním SMS. Po ověření autorizovaného spojení operaci provede.

Krom SMS lze autentizovat zasláním emailu, telefonickým hovorem, využitím biometrické autentizace (otisk prst, rozpoznávání tváře jaké nabízí Windows Hello, sejmutí behaviorální biometriky pomocí adaptivní autentizace) či třeba pomocí spárovaných zařízení jednoho uživatele jako v případě Windows Unlock.

Vícefaktorové ověření je snadno aplikovatelné a přitom vysoce přínosné z hlediska zabezpečení chráněných spojení. Proto se bezpodmínečně doporučuje u všech důležitých služeb.

A dále?

Typicky zjednodušený, amerikoidní seznam X-krát jak, lze dále rozšířit několika drobnými poznámkami téměř pod čarou:

  • používejte unikátní přihlašovací jména, nejen unikátní hesla. Přihlašovací jméno je součástí toho, jak je ověřeno spojení s autorizovaným uživatelem. Snadno odhadnutelné, data-miningem sebratelná přihlašovací jména typu hlavního emailu jsou z hlediska zabezpečení nejhorší. Dovolí vám to služba a mentální kapacita, zabezpečujte i takto;
  • vytvářejte zapamatovatelná hesla (sic) – veškerá hesla, která nedlí ve správci hesel a která jsou určená pouze pro vaši hlavu, si musíte zapamatovat. Pokud si je nezapamatujete, zcela určitě si je budete chtít někde napsat, přišpendlit a schraňovat. A to prostě nesmíte;
  • nesdílejte svá hesla;
  • nesdílejte své osobní údaje – respektive je s lidmi sdílejte na základě podobné segmentace té výše zmíněné. Blbosti – všem, podstatné – blízkému okruhu, citlivé – nikomu;
  • nekompromitujte svá zabezpečení na nezabezpečených spojeních. Na otevřených a nedůvěryhodných sítích nepřistupujte k důležitým službám, v případě nutnosti využijte spojení přes VPN pomocí VPN klientů, či třeba prohlížeče Opera, který již VPN klienta integruje;
  • šifrujte citlivá data – citlivá data můžete šifrovat nejen při přenosu, ale také při skladování, ať už lokálně či v cloudu. Využít k tomu můžete jak open source typu 7-zip, tak pokročilejší nástroje na šifrování celých disků (BitLocker, Tomb);
  • zacházejte obezřetně se svými hesly – můžete je vytvářet a ověřovat jejich sílu pomocí nejrůznějších nástrojů, optimálně ani jim ovšem nesvěřujte svá skutečná hesla, pouze jejich alternativy. Ostatně ani se nespoléhejte na uváděnou nezlomitelnost, ta je často specifikována na již zastarávající metriky a neustále klesá geometrickou řadou (PS: nezlomitelnost výše uvedeného hesla v€s3l€ s3 s€l3 sm@zi je uváděna na 6 kvintilionů let – tedy: 6 000 000 000 000 000 000 000 000 000 000 let:);
  • neukládejte své přihlašovací údaje do prohlížeče – alespoň ne u důležitých služeb;
  • a vůbec nejspolehlivější radou jest: učiňte útok na svá data nákladnější, než je hodnota těchto dat. Žádná jiná metoda není spolehlivá, vývoj technologií jde neustále dopředu, vždy však můžete svá data zabezpečit podle této maximy: buď použitím vysoce sofistikovaných postupů a nástrojů, nebo neuchováváním tak cenných dat.

Zdroje