Vybrat si silné heslo, které si spolehlivě zapamatujete, může být utrpení. Existuje spousta polí pro vytváření hesel, která mají své vlastní požadavky – musí mít sedm písmen, musí obsahovat číslo a tak dále. Dodržování těchto pokynů nezaručuje bezpečné heslo – vůbec ne. Existuje však několik pravidel, která je třeba dodržovat, a tipy, jak zajistit, abyste měli co nejlepší heslo... a přitom si ho stále pamatovali.
Prvním pravidlem testování síly hesla je být extrémně opatrní při používání online nástrojů k testování hesel. Webové stránky nebo software ke stažení mohou vzít heslo, které se pokoušíte otestovat, a přidat je do seznamu slov. Seznam slov je seznam známých a obecně běžných hesel. Seznamy slov mohou obsahovat miliony záznamů a hackeři je používají k informovanému hádání hesel místo pomalejší metody zkoušení všech možných kombinací počínaje „aaaaaa“.
Jinými slovy, seznam slov uchovává hesla jako „Susie1202“ a „Password12“. Hackeři spustí seznam hesel na stránkách, které doufají, že se jim podaří najít shodu. Je důležité mít heslo, které není na žádném takovém seznamu. Tyto seznamy slov jsou překvapivě účinné, protože mnoho lidí používá obecná nebo běžná hesla. Naštěstí na to nejste sami – existuje několik nástrojů, které vám pomohou: Kontrola zabezpečení hesel.
Tyto kontroly obvykle provozují spolehlivé společnosti zabývající se kybernetickou bezpečností. Při používání tohoto typu nářadí však buďte vždy opatrní – vždy je s tím spojeno určité riziko. Neměli byste důvěřovat žádné webové stránce nebo programu, který nabízí měření síly vašich hesel, aniž byste si byli absolutně jisti, že je to bezpečné – ve skutečnosti dokonce Společnosti zabývající se kyberbezpečností, které tyto nástroje samy nabízejí, doporučují nepoužívat vaše skutečná hesla a pouze testovat potenciální nebo podobná hesla pomocí jejich nástrojů – jen pro případ.
Jak tedy máte vědět, jak silné je vaše heslo, aniž byste k jeho kontrole použili web nebo aplikaci?
Odpověď je překvapivě jednoduchá: Dozvíte se více o tom, co dělá heslo bezpečným, a podle toho si heslo navrhnete.
Typy útoků
Když se snažíte navrhnout bezpečné heslo, pomůže vám pochopit, jak se hackeři snaží útočit. Existují dva hlavní typy útoku; hrubá síla a slovník.
Útoky hrubou silou zkouší všechny možné kombinace postav. S dostatkem času by tato metoda nakonec prolomila všechna možná hesla. Hlavní nevýhodou tohoto typu útoku je, že to zabere čas a čím více kombinací se pokusíte, tím více času to zabere. Nezbytná doba může být astronomická – i když program může spustit desítky tisíc možností za minutu, existují miliony možných kombinací, takže tyto útoky jsou neúčinné. Je velmi nepravděpodobné, že by se pomocí této metody podařilo prolomit dlouhá hesla, protože spuštění všech možností a jejich nalezení může trvat desítky let.
Slovníkové útoky používají výše uvedené seznamy slov, aby kvalifikovaně odhadovaly, jaká hesla mohou být. Tato technika dramaticky snižuje počet odhadů, které je třeba provést, ve srovnání s útoky hrubou silou, což výrazně urychluje proces. Seznamy slov jsou obecně založeny na známých uniklých heslech. Software navržený k provedení tohoto druhu útoku může také obsahovat pravidla „manglování slov“, která mohou slova pozměnit a vyzkoušet také běžné varianty. Pravidlo pro mandlování slov může například zkusit nahradit „o“ „0“ nebo přidat „!“. do konce slova. Tato pravidla jsou obecně založena na běžných záměnách nebo doplňcích, které lidé provádějí – netřeba dodávat, že to není příliš bezpečné. Hlavní nevýhodou tohoto typu útoku je, že útočník potřebuje mít heslo již ve svém seznamu slov a útok je tak dobrý, jak dobrý je seznam slov.
Jak vytvořit silné heslo
Existují tři důležité faktory síly hesla: délka, jedinečnost a složitost.
Tip: NEPOUŽÍVEJTE žádné z hesel nebo částí hesel uvedených v tomto článku, protože nejsou bezpečná.
Jak délka ovlivňuje sílu hesla, je docela snadné pochopit. Čím více znaků heslo obsahuje, tím více kombinací písmen je třeba vyzkoušet, než je statisticky pravděpodobné, že hacker uhodne správně. Například existuje mnohem více šestipísmenných slov než čtyřpísmenných. Ve skutečnosti se s každou přidanou postavou počet celkových možných kombinací exponenciálně zvyšuje.
Délka je nejlepší ochranou proti útokům hrubou silou, ale zapamatovat si řekněme 64místné heslo není zrovna snadné. také to není nutné. Ideální stav je vytvořit heslo tak dlouhé, aby bylo nemožné věnovat čas a energii jeho případnému prolomení. Ideální je 10 a více znaků – téměř ve všech případech to bude stačit.
Někteří lidé mohou přijít s plánem použití šíleně dlouhého hesla, tak dlouhého, že by bylo nemožné ho kdy hrubou silou vynutit. Například báseň, texty písní nebo kompletní díla Shakespeara. Za předpokladu, že to web umožňuje, by to fungovalo, ale v určitém okamžiku může hacker přidat tyto známé příklady do svého seznamu slov „pro případ“ a pak se nápad rozpadne. Zde vstupuje do hry jedinečnost.
Jedinečnost je těžké posoudit. Z více než sedmi miliard lidí na Zemi může být těžké přijít s něčím zcela unikátním, ale přesto to stojí za to vyzkoušet. Některá z nejběžnějších hesel, která se stále používají, jsou: „admin“, „password“, „123qwe“ a „qwerty“. Jsou to hrozná hesla, nejen proto, že jsou krátká, ale protože jsou dobře známá, takže budou v každém seznamu slov, pravděpodobně jako jeden z prvních odhadů. Někteří lidé se snaží tato hesla trochu zkomplikovat pomocí „Password1!“ ale to je příliš předvídatelné a je to také ve většině seznamů slov.
Chcete-li porazit útok založený na seznamu slov, musíte navrhnout heslo, které nebude známé ani myšlené. Nejlepším případem je použít zcela náhodný výběr postav, ale to je pravděpodobně příliš těžké na zapamatování.
„UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO“ by bylo BEZPEČNÉ heslo, ale nebude praktické.
Slušným řešením je použít výběr slov, která dohromady nic neznamenají. Jeden příklad, popularizovaný webcomic XKCD, je „CorrectHorseBatteryStaple“. Tento koncept je docela silný, podporuje délku i náhodnost a výsledek by měl být snadněji zapamatovatelný než náhodný řetězec znaků a symbolů. Můžete si vybrat jakákoli slova, která se vám líbí – zvířata, která se vám líbí, květiny, dokonce i jméno oblíbeného herce, pokud si budete pamatovat několik věcí. Dokonce i pět věcí, které máte právě teď na stole, by fungovalo!
Pokud jde o složitost: Je to nutnost – je to rozhodně jeden z nejdůležitějších aspektů vytváření hesla. Změna písmen na čísla a přidávání symbolů může zvýšit složitost vašich hesel. Desetimístný řetězec náhodných písmen, čísel a symbolů je lepší heslo a je méně pravděpodobné uhodl, než písmeno „a“ stokrát za sebou, což je zase stále lepší heslo než "Heslo 12!".
Složitost je dobrý způsob, jak ztížit uhodnutí hesel, ale také si je hůře zapamatovat. Vše je o nalezení zdravé rovnováhy. Obecně platí, že přidání malého množství složitosti vložením čísla a symbolu někam je dostatečným vylepšením, které skutečně změní sílu vašeho hesla. Není opravdu nutné měnit co nejvíce znaků na čísla nebo symboly – to jen ztěžuje zapamatování.
Závěry
Abychom shrnuli tyto tři požadavky, některá dobrá pravidla, která je třeba pamatovat na hesla, jsou:
- Hesla by měla mít 10 znaků jako rozumnou minimální délku, ale více je lepší.
- Hesla by neměla být jednoduchá nebo běžná kombinace slov; měly by být jedinečné.
- Hesla by měla obsahovat řadu typů znaků včetně čísel a symbolů
Tip: Pokud jste zvědaví a chcete živou vizuální ukázku toho, jak délka a složitost ovlivňuje celkovou sílu hesla, není použití online testeru síly hesla hrozný nápad. Následující příklady jsou důvěryhodné stránky. Vždy buďte opatrní, kam zadáváte svá hesla a informace – některé weby se mohou pokoušet vaše hesla ukrást. Níže uvedené stránky jsou známé jako spolehlivé:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php