Jak na bezpečné heslo? Nejčastější chyby, které (zřejmě) děláte také

02.09.2018
Štítky: 
Bezpečnost na internetu
,
Hesla
,
Bezpečná hesla
,
Hacking

Jméno manželky, 12345, „nevím“ nebo dokonce „heslo“. Jak ukazují průzkumy, právě tahle hesla mají čeští uživatelé dlouhodobě nejvíc v oblibě. Ano, čtete správně. I v roce 2018 existují desetitisíce lidí, kteří si se svou bezpečností na internetu hlavu příliš nelámou. A důsledky mohou být tragické. 

Jak doma, tak i v počítači

Umíte si představit, že byste odjeli na dovolenou a nechali své vchodové dveře dokořán? Pravděpodobně ne. Když ale dojde na bezpečnost na internetu, už tak opatrní nejsme.

Přitom jde o hodně. Stačí slabé heslo, pár kliků – a v lepším případě si kolega prohlédne vaše maily, v tom horším se na internetu objeví vaše lechtivé fotky a svůj bankovní účet najdete prázdný. Hackeři a kyberzločinci jsou zkrátka stále vynalézavější. A v bezpečí před nimi není nic: váš mail, úložiště fotek, sociální sítě ani internetové bankovnictví.
Největší chyby, které (pravděpodobně) taky děláte

K tomu, aby se někdo zmocnil vašeho hesla, přitom nepotřebuje žádnou sofistikovanou techniku. Jak upozorňují bezpečnostní experti, pokud někdo získá vaše heslo, ve většině případů si za to můžete sami. Děláte totiž některé z nejčastějších (a největších) chyb.

1. Používáte heslo, které je snadné uhodnout

Datum narození vás nebo vašich blízkých, jméno vašeho psa nebo třeba „12345“. Používáte-li jakékoliv z těchto hesel, je to, jako byste položili klíč od vchodových dveří na rohožku – tak, aby ho mohl použít kdokoliv, kdo jde zrovna kolem.

A že vaše datum narození znají jen vaši blízcí? Omyl. Kdokoliv ho může zjistit buď na vašich sociálních sítích, nebo třeba na stránkách Obchodního rejstříku.

2. Píšete si heslo na papírek

Ať už si heslo nalepíte na monitor, schováte do peněženky nebo napíšete do mobilu, vždy platí jedno: je to hodně hloupý nápad. 

3. Zadáváte heslo v přítomnosti cizích lidí

Přihlašujete-li se kdekoliv jinde než v bezpečí svého domova, dávejte pozor: jak na cizí lidi, tak na případné kamery. Sledování vaší klávesnice, zatímco píšete, je dodnes jedním z nejpoužívanějších způsobů, jak zjistit vaše heslo. Buďte opatrní.

4. Používáte stejné heslo na více místech

Ano, my víme. Je to tak jednodušší. A služeb, ke kterým potřebujete heslo, jsou desítky. Přesto vás varujeme – důsledně se držte hesla „co služba, to jiné heslo“.

Důvod je jednoduchý. Získá-li útočník vaše heslo k libovolné službě, hrozí, že získá přístup i na řadu dalších míst. Původní ztráta hesla přitom vůbec nemusí být vaše chyba: bohužel totiž stále ještě platí, že ne všichni poskytovatelé internetových služeb dbají na bezpečnost svých uživatelů tak, jak je třeba. 

Mimochodem, vzpomínáte na známé kauzy, během nichž velké služby LinkedIn a Dropbox přiznaly, že data milionů jejich uživatelů pronikla na veřejnost? Hesla, mezi kterými možná bylo i to vaše, se pak prodávala na černém trhu. Na začátku přitom bylo slabé zabezpečení serverů, na kterých služby hesla uživatelů ukládaly.

5. Registrujete se na podezřelých serverech

Opravdu víte, kam se přihlašujete? A kdo všechno vaše citlivá data na internetu „vidí“? I pokud jste přesvědčeni, že nikdo, buďte opatrní: své heslo a další údaje můžete, byť nevědomky, prozradit provozovateli, který s vámi nemá zrovna ty nejlepší úmysly. 
Jak se hackeři dostanou k vašemu heslu

Ve světě  bezpečnosti – a té internetové obzvlášť – bohužel nic není jednoduché. Protože i ve chvíli, kdy neuděláte žádnou chybu (nebo kdy si dovolíte jen tu nejmenší), můžete o své heslo (a o přístup k důležitým aplikacím) přijít. Hackeři totiž dobře vědí, jak na hesla. Obzvlášť na ta cizí.
Phishing: nahodit háček… a ulovit

Právě phishing – tedy podvodné e-maily – je dnes nejčastějším typem internetových útoků, které mají za cíl dostat se k vašim citlivým údajům. Jen za poslední dva roky se s tímto kyberzločinem setkala skoro polovina českých firem, které ohlásily kybernetický útok. A přibývá i útoků v mobilních sítích.

Slovo phishing vzniklo z anglického „fishing“, tedy „rybaření“. A činnost internetových podvodníků popisuje velmi výstižně. Ti totiž rozesílají na nejrůznější adresy e-mailové zprávy, na které se snaží „ulovit“ co nejvíc obětí.

Jak takový útok vypadá? Představte si, že otevřete svou mailovou schránku a kromě běžné pošty objevíte i nový mail od své banky. S alarmujícím obsahem: došlo k prolomení bezpečnosti vašeho hesla, a abyste zabránili ztrátě peněz, musíte heslo okamžitě změnit. Mail samozřejmě obsahuje i přímý link na stránku vašeho internetového bankovnictví.

S jedním velkým „ale“. I když totiž stránka, na kterou se po kliknutí dostanete, vypadá skoro stejně jako stránka vaší banky, podíváte-li se do adresního řádku, zjistíte, že se ve skutečnosti nacházíte na úplně jiném webu – byť s identickým designem.

Ano, chápete správně. Chybělo málo a právě jste své heslo k internetovému bankovnictví předali do rukou kyberzločinců. Stačí přitom používat zdravý rozum. Zamyslete se – opravdu by banka chtěla, abyste zadávali své citlivé údaje prostřednictvím e-mailu?

Sniffing: pozor, kdo všechno se dívá

Slovo sniffing pochází z anglického „to sniff“, tedy větřit, čenichat. A velmi dobře vyjadřuje, v čem vlastně sniffing spočívá. Zjednodušeně řečeno jde o specifickou techniku, díky které je možné „odposlouchávat“ tok datové komunikace – včetně hesel.

Pro vás jako uživatele to znamená jediné: nezadávejte svá hesla na veřejné, nezabezpečené wi-fi, a pokud možno, nepřihlašujte se do služeb, které nepoužívají zabezpečený protokol HTTPS. Jinak hrozí, že si vaše heslo „poslechne“ i někdo, kdo by neměl.

Slovníkový útok: projít všechny možnosti

Používáte jako heslo konkrétní slovo? Pak máte problém. Na délce vašeho hesla přitom příliš nezáleží. Hackeři totiž prostřednictvím takzvaného slovníkového útoku projdou postupně všechna slova (v pořadí od nejpoužívanějších k těm méně častým) a dříve nebo později narazí i na to vaše. (Pro představu: současné počítače jsou schopny pomocí slovníkového útoku odhalit jednoduché heslo, které tvoří konkrétní slovo, za několik milisekund!)

Mimochodem, vzpomínáte na rok 2013, kdy se internetem začaly šířit obrovské textové soubory se 152 miliony uživatelských jmen a hesel, které hackeři získali ze špatně zabezpečených serverů Adobe? I takto získaná hesla hackeři používají jako nový slovník. A 150 milionů hesel – to už je slušný vzorek.

Hrubá síla: náročná na výkon

Princip metody nazvané jednoduše „hrubá síla“ (neboli brute force) je jednoduchý. Prostřednictvím výkonného počítače se hackeři vaše heslo pokouší „vyřešit“ jako středoškolskou úlohu z kombinatoriky. Lidsky řečeno: postupně zkrátka vyzkouší všechny možnosti.

V souvislosti s tím pro vás máme jednu dobrou a jednu špatnou zprávu. Nejprve ta špatná: díky této metodě se hackeři dostanou k jakémukoliv heslu na světě. A ta dobrá? Pokud jste si se svým heslem dali práci, může jim to trvat stovky let. Vždy totiž platí jednoduchá úměra: čím složitější heslo, tím více času kyberzločinci k jeho prolomení potřebují. (Což je mimochodem důvod, proč po vás dnes většina služeb požaduje při zadávání hesla minimální délku a také použití speciálních znaků.) 

Což je pro vás jednoznačný vzkaz: čím více speciálních znaků, čísel a malých a velkých písmen ve svém heslu použijete, tím víc hackerům a kyberzločincům ztížíte život. A tím víc si můžete být jistí, že je vaše heslo (a vaše soukromí) v bezpečí.

Buďte na internetu v bezpečí. Tady je pár tipů

Máte po přečtení předchozích odstavců pocit, že boj o vaše soukromí na internetu je předem prohraný? Naštěstí to tak černé není. Přestože dnes hackeři disponují mnoha nástroji, kterými mohou prolomit vaše heslo, stačí dodržovat pár zásad, a budete v bezpečí.

1. Vytvořte si bezpečné heslo

Bezpečné heslo by mělo obsahovat minimálně osm znaků, malá i velká písmena a speciální znak nebo znaky (například zavináč, křížek a podobně). Slovo, které používáte jako heslo, by se nemělo nacházet v žádném slovníku. Vyhněte se také tomu, aby heslo obsahovalo vaše uživatelské jméno nebo název služby, ke které se přihlašujete. A důsledně dodržujte zásadu „co služba, to jiné heslo“.

2. Aktivujte dvoufaktorové zabezpečení

Umožňuje-li to služba, ke které se přihlašujete, aktivujte pro přihlášení i takzvanou dvoufázovou autentizaci.

Jak to funguje? Jednoduše: kdykoliv se pokusíte přihlásit k dané službě, budete kromě hesla vyzváni k zadání bezpečnostního kódu (ten vám většinou dorazí na mobil). Jaké to má výhody, je zřejmé: i pokud se případný útočník dostane k vašemu heslu, je velmi nepravděpodobné, že by se současně dostal i k vašemu mobilnímu telefonu.

3. Zapomeňte na bezpečnostní otázky

Jméno matky za svobodna, oblíbený film nebo jméno domácího mazlíčka. Pokud máte u některé ze služeb, kterou používáte, aktivované takzvané bezpečnostní otázky, okamžitě přestaňte číst a jděte je deaktivovat. Jedná se totiž o jeden z největších omylů v dějinách internetové bezpečnosti. A také o jednu z největších bezpečnostních děr vůbec.

Ptáte se proč? Představte si, že zapomenete heslo ke svému mailu. Žádný problém – stačí zadat jméno vaší matky za svobodna. O pár sekund později už opět prohlížíte doručenou poštu a posíláte e-maily kamarádům.

Až na to, že to nejste vy – ale hacker (nebo „jen“ člověk, který vás nemá příliš v lásce), kdo se právě takhle jednoduchým způsobem dostal do vaší mailové schránky. A nepotřeboval k tomu téměř nic: pouze za pomoci sociálního inženýrství zjistil, jak se jmenovala vaše matka. A to v době internetu není příliš obtížný úkol, že?

4. Dávejte pozor, kam se přihlašujete

Internetová bezpečnost je velkým tématem dnešní doby. Bohužel ne všichni provozovatelé webových stránek a služeb si toho stihli všimnout. A vašemu heslu (a heslům ostatních uživatelů) nevěnují ani zdaleka takovou péči, jakou si zaslouží.

Aby zajistili bezpečnost svých uživatelů, využívá dnes většina internetových provozovatelů pro ukládání hesel takzvané „zahashované“ databáze. Zjednodušeně řečeno: vaše heslo „nevidí“ ani oni sami, v databázi je totiž uložené v zakódované (zahashované) podobě. (I proto vám, snažíte-li se vzpomenout na zapomenuté heslo, do mailu nedorazí heslo, ale kód, jehož prostřednictvím si můžete vygenerovat nové. Provozovatel sám totiž vaše heslo nezná.)

Jiní provozovatelé bohužel tak zodpovědní nejsou. Jak je od těch prvních rozeznat? Jednoduše: ve chvíli, kdy kliknete na možnost „Zapomenuté heslo“, přijde vám mail s přesným zněním vašeho hesla. Pro vás jde o jasnou zprávu – daná služba si s bezpečností hesel hlavu neláme a ukládá je v nezabezpečených databázích. Od takové služby raději rychle pryč!

5. Neukládejte si hesla do prohlížeče

Ano, je to pohodlné. A jednotlivé prohlížeče vás k tomu vyzývají vlastně samy. Stačí jeden klik a své heslo už nebudete muset zadávat, prohlížeč si ho totiž zapamatuje za vás a při každé další návštěvě vás automaticky přihlásí.

Ukládat svá hesla přímo do prohlížeče je ale hodně špatný nápad, a to hned ze dvou důvodů. Některé útoky totiž necílí ani tak na vaše heslo jako na přístup k vašemu počítači. Ve chvíli, kdy se hackerovi zadaří, tak s přístupem k vašemu počítači získá i kompletní přístup ke všem službám, jejichž přihlašovací údaje jste do prohlížeče uložili.

Prolomit bezpečnost hesel uložených v prohlížeči je navíc pro hackery mnohem jednodušší než prolomit hesla, která jsou běžně uložená v různých cloudových službách. Nedávno na to upozornili bezpečnostní experti, kteří poukázali na skripty, které dokážou uložené údaje z prohlížečů tajně extrahovat.

6. Používejte správce hesel

Nejprve menší rekapitulace. Aby bylo vaše heslo skutečně bezpečné, musí být dostatečně dlouhé, skládat se z různých typů znaků a navíc být unikátní pro každou službu. Že se něco takového hůř řekne, než udělá? Máte pravdu. Není v lidských silách zapamatovat si takové množství nejrůznějších kombinací – i proto většina uživatelů nedbá na bezpečnost a svá hesla ukládá do mobilu nebo dokonce píše na papír přilepený k monitoru.

Naštěstí si to uvědomili i někteří vývojáři. A přišli s takzvanými „správci hesel“. Jde o aplikace, které si místo vás zapamatují všechna vaše hesla, a abyste to měli ještě jednodušší, pomůžou vám vaše heslo dokonce i vymyslet – tak, aby bylo skutečně bezpečné. Na vás už zbývá jen zapamatovat si hlavní heslo, kterým se ke svému správci hesel přihlásíte.

Mezi nejpopulárnější správce hesel patří LastPass, který kromě bezpečného uložení vašich hesel nabízí i synchronizaci napříč zařízeními a to včetně mobilních telefonů. Podobně funguje i další populární správce hesel 1Password, který vám navíc umožňuje nahrát si do služby své dokumenty (k dispozici máte 1 GB). Na rozdíl od LassPass ho ale nemůžete používat zcela zdarma.

Budoucnost bez hesel?

Odborníci se dlouhodobě shodují, že internetová bezpečnost je jedním z velkých témat následujících let. A není divu: naše práce i naše životy se přesouvají právě na internet a otázka bezpečnosti a našeho soukromí bude hrát stále větší roli.

Titíž odborníci zároveň přicházejí s průlomovým názorem: naše budoucnost by podle nich mohla být světem, ze kterého všechna hesla jednou pro vždy zmizí. Z jednoho důvodu: jde prý o technologii, která už do dnešního světa – do světa, v němž se stále více prosazuje biometrie – dávno nepatří. Právě v našich biometrických údajích je podle nich budoucnost. 

A popravdě, dává to smysl. Existuje snad bezpečnější přístupový údaj, než je váš hlas, otisk prstu nebo sken duhovky? I o tom dnes odborníci a především zástupci velkých technologických firem intenzivně diskutují. A výsledky svých úvah pomalu uvádějí do praxe. 

Už za pár let se tak možná ukáže, že Touch ID nebo Face ID, které jsme dnes zvyklí používat k odemykání svého telefonu, byly ve skutečnosti pouhým začátkem něčeho mnohem většího. 

Kromě pečlivě zvolených hesel vám bezpečnost na internetu zajistí také spolehlivé, chráněné připojení. Takové nabízí pro Středočeský kraj například UVT, Eurosignal nebo Ujezd.net.