Vybrať si silné heslo, ktoré si spoľahlivo zapamätáte, môže byť utrpením. Existuje množstvo polí na vytváranie hesiel, ktoré majú svoje vlastné požiadavky – musia mať sedem písmen, musia obsahovať číslo atď. Dodržiavanie týchto pokynov nezaručuje bezpečné heslo – vôbec nie. Existuje však niekoľko pravidiel, ktoré je potrebné dodržiavať, a tipy, ako zabezpečiť, aby ste mali čo najlepšie heslo... a zároveň si ho zapamätali.
Prvým pravidlom testovania sily hesla je byť mimoriadne opatrný pri používaní online nástrojov na testovanie hesiel. Webové stránky alebo softvér na stiahnutie môžu prevziať heslo, ktoré sa pokúšate otestovať, a pridať ho do zoznamu slov. Zoznam slov je zoznam známych a všeobecne bežných hesiel. Zoznamy slov môžu obsahovať milióny záznamov a hackeri ich používajú na kvalifikované hádanie hesiel, a nie na pomalšiu metódu skúšania všetkých možných kombinácií počínajúc „aaaaaa“.
Inými slovami, zoznam slov obsahuje heslá ako „Susie1202“ a „Password12“. Hackeri spustia zoznam hesiel na stránkach v nádeji, že sa im podarí nájsť zhodu. Je dôležité mať heslo, ktoré nie je na žiadnom takomto zozname. Tieto zoznamy slov sú prekvapivo efektívne, pretože veľa ľudí používa všeobecné alebo bežné heslá. Našťastie v tom nie ste sami – existuje niekoľko nástrojov, ktoré vám pomôžu: Kontrola zabezpečenia hesiel.
Tieto kontrolóry vo všeobecnosti prevádzkujú spoľahlivé spoločnosti zaoberajúce sa kybernetickou bezpečnosťou. Pri používaní tohto typu náradia však buďte vždy opatrní – vždy existuje určité riziko. Nemali by ste dôverovať žiadnej webovej stránke alebo programu, ktorý ponúka meranie sily vašich hesiel bez toho, aby ste si boli úplne istí, že sú bezpečné – v skutočnosti dokonca aj niektoré Spoločnosti zaoberajúce sa kybernetickou bezpečnosťou, ktoré tieto nástroje samy ponúkajú, odporúčajú nepoužívať vaše skutočné heslá a iba testovať potenciálne alebo podobné heslá pomocou ich nástrojov – keby niečo.
Ako teda máte vedieť, aké silné je vaše heslo bez toho, aby ste ho skontrolovali pomocou webovej stránky alebo aplikácie?
Odpoveď je prekvapivo jednoduchá: Dozviete sa viac o tom, čo robí heslo bezpečným, a podľa toho ho navrhnete.
Typy útokov
Keď sa pokúšate navrhnúť bezpečné heslo, pomôže vám pochopiť, ako sa hackeri pokúšajú útočiť. Existujú dva hlavné typy útoku; hrubá sila a slovník.
Útoky hrubou silou skúšajú všetky možné kombinácie postáv. Pri dostatku času by táto metóda nakoniec prelomila každé možné heslo. Hlavnou nevýhodou tohto typu útoku je, že si vyžaduje čas a čím viac kombinácií je potrebné vyskúšať, tým viac času to trvá. Potrebný čas môže byť astronomický – aj keď program dokáže spustiť desaťtisíce možností za minútu, existujú milióny možných kombinácií, vďaka čomu sú tieto útoky neúčinné. Je veľmi nepravdepodobné, že by sa pomocou tejto metódy prelomili dlhé heslá, pretože spustenie všetkých možností a ich nájdenie môže trvať desaťročia.
Slovníkové útoky používajú vyššie uvedené zoznamy slov na kvalifikované odhady, aké by to mohli byť heslá. Táto technika dramaticky znižuje počet odhadov v porovnaní s útokmi hrubou silou, čím sa proces výrazne zrýchľuje. Zoznamy slov sú vo všeobecnosti založené na známych uniknutých heslách. Softvér navrhnutý na vykonanie tohto druhu útoku môže zahŕňať aj pravidlá „mangľovania slov“, ktoré môžu zmeniť slová, aby sa vyskúšali aj bežné variácie. Napríklad pravidlo prelínania slov sa môže pokúsiť nahradiť „o“ „0“ alebo pridať „!“ do konca slova. Tieto pravidlá sú vo všeobecnosti založené na bežných náhradách alebo doplnkoch, ktoré ľudia vytvoria – netreba dodávať, že to nie je príliš bezpečné. Hlavnou nevýhodou tohto typu útoku je, že útočník musí mať heslo už vo svojom zozname slov a útok je len taký dobrý ako zoznam slov.
Ako vytvoriť silné heslo
Existujú tri dôležité faktory sily hesla: dĺžka, jedinečnosť a zložitosť.
Tip: NEPOUŽÍVAJTE žiadne heslá ani časti hesiel uvedených v tomto článku, pretože nie sú bezpečné.
Ako dĺžka ovplyvňuje silu hesla, je celkom jednoduché pochopiť. Čím viac znakov heslo obsahuje, tým viac kombinácií písmen treba vyskúšať, kým hacker štatisticky pravdepodobne uhádne správne. Napríklad šesťpísmenových slov je oveľa viac ako štvorpísmenových. V skutočnosti sa s každou pridanou postavou počet celkových možných kombinácií zvyšuje exponenciálne.
Dĺžka je najlepšou ochranou proti útokom hrubou silou, ale zapamätať si napríklad 64-miestne heslo nie je úplne jednoduché. Tiež to nie je potrebné. Ideálnym stavom je vytvoriť heslo tak dlhé, že je nemožné vynaložiť čas a energiu na jeho prelomenie. Ideálne je 10 a viac znakov – takmer vo všetkých prípadoch to bude stačiť.
Niektorí ľudia môžu prísť s plánom použiť šialene dlhé heslo, také dlhé, že by bolo nemožné ho niekedy vynútiť hrubou silou. Napríklad báseň, texty piesní alebo kompletné diela Shakespeara. Za predpokladu, že to webová stránka umožňuje, by to fungovalo, ale v určitom bode môže hacker pridať tieto známe príklady do svojho zoznamu slov „pre každý prípad“ a potom sa myšlienka rozpadne. Tu vstupuje do hry jedinečnosť.
Jedinečnosť je ťažké posúdiť. Z viac ako siedmich miliárd ľudí na Zemi môže byť ťažké prísť s niečím úplne jedinečným, ale stále to stojí za to vyskúšať. Niektoré z najbežnejších hesiel, ktoré sa stále používajú, sú: „admin“, „password“, „123qwe“ a „qwerty“. Sú to hrozné heslá, nielen preto, že sú krátke, ale aj preto, že sú dobre známe, takže budú v každom zozname slov, pravdepodobne ako jeden z prvých odhadov. Niektorí ľudia sa snažia tieto heslá trochu skomplikovať pomocou „Heslo1!“ ale to je príliš predvídateľné a je to aj vo väčšine zoznamov slov.
Aby ste porazili útok založený na zozname slov, musíte navrhnúť heslo, ktoré nebudete poznať ani naň nemyslieť. Najlepším prípadom je použiť úplne náhodný výber postáv, ale to je pravdepodobne príliš ťažké na zapamätanie.
„UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO“ by bolo BEZPEČNÉ heslo, ale nebude praktické.
Slušným riešením je použiť výber slov, ktoré spolu nič neznamenajú. Jeden príklad, popularizovaný webcomic XKCD, je „Correct HorseBatteryStaple“. Tento koncept je dosť silný, podporuje dĺžku aj náhodnosť a výsledok by mal byť ľahšie zapamätateľný ako náhodný reťazec znakov a symbolov. Môžete si vybrať akékoľvek slová, ktoré sa vám páčia – zvieratá, ktoré sa vám páčia, kvety, dokonca aj meno obľúbeného herca, pokiaľ si budete pamätať niekoľko vecí. Dokonca aj päť vecí, ktoré máte práve teraz na stole, by fungovalo!
Čo sa týka zložitosti: Je to nevyhnutné – je to určite jeden z najdôležitejších aspektov vytvárania hesla. Zmena písmen na čísla a pridávanie symbolov môže zvýšiť zložitosť vašich hesiel. Desaťznakový reťazec náhodných písmen, čísel a symbolov je lepšie heslo a je menej pravdepodobné uhádol, než písmeno „a“ stokrát za sebou, čo je zasa stále lepšie heslo ako "Heslo 12!".
Zložitosť je dobrý spôsob, ako sťažiť uhádnutie hesiel, no zároveň si ich zapamätať. Všetko je to o nájdení zdravej rovnováhy. Vo všeobecnosti je pridanie malého množstva zložitosti zahrnutím čísla a symbolu niekde dostatočným zlepšením na to, aby skutočne zmenilo silu vášho hesla. V skutočnosti nie je potrebné meniť čo najviac znakov na čísla alebo symboly – to len sťažuje zapamätanie.
Závery
Aby sme zhrnuli tri požiadavky, niektoré dobré pravidlá, ktoré si treba zapamätať pre heslá, sú:
- Heslá by mali mať 10 znakov ako primeranú minimálnu dĺžku, ale čím viac, tým lepšie.
- Heslá by nemali byť jednoduché alebo bežné kombinácie slov; mali by byť jedinečné.
- Heslá by mali obsahovať rôzne typy znakov vrátane čísel a symbolov
Tip: Ak ste zvedaví a chcete živú vizuálnu ukážku toho, ako dĺžka a zložitosť ovplyvňuje celkovú silu hesla, použitie online testera sily hesla nie je hrozný nápad. Nasledujúce príklady sú dôveryhodné stránky. Vždy si dávajte pozor na to, kam zadávate svoje heslá a informácie – niektoré stránky sa môžu pokúšať ukradnúť vaše heslá. Stránky uvedené nižšie sú známe ako spoľahlivé:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php