Nikdy nepoužívejte stejná hesla
Neměli byste opakovaně používat hesla. To opravdu není příliš objevná rada.
Z nějakého záhadného důvodu je ale její uvedení do praxe pro všechny stále kamenem úrazu. Troy Hunt tuto situaci označil jako největší problém dnešní kybernetické bezpečnosti. Webová stránka Motherboard přisoudila předchozí úniky dat a útoky právě opakovanému používání hesel. A konzultant společnosti F-Secure Jan Wikholm v nedávném podcastu rychle vyvrátil jakýkoliv optimismus ohledně možného zlepšování situace.
„Mrzí mě, že jsem poslem špatných zpráv, ale musím říci, že ne,“ odpověděl moderátorovi pořadu Cyber Security Sauna Janne Kauhanenovi na otázku, zda se návyky týkající se ochrany hesel mění k lepšímu.
Podle Jana lidé hesla používají vícekrát, protože jich je k zapamatování přespříliš. Spousta lidí má stresující zaměstnání. Snaha udržet v hlavě velké množství řetězců náhodných znaků nebo dlouhých frází představuje jen další problém a málokomu ulehčuje práci. Lidé tedy dělají kompromisy v kvalitě hesel (volí si hesla snadno uhodnutelná), v množství (vyberou si jenom pár silných hesel) nebo v obojím (mají řadu účtů chráněných heslem snadno zapamatovatelným nebo snadno uhodnutelným).
Tak dojde k situaci, kdy existuje ohromující množství odhalených hesel, která jsou i nadále aktivní.
Dobrá rada, aby lidé hesla opakovaně nepoužívali, tedy není žádnou novinkou. Je ovšem natolik důležitá, že se vyplatí ji stále znovu a znovu připomínat. Pokud si pořídíte správce hesel, dá se toto doporučení uvést do praxe překvapivě snadno!
Správci hesel jsou jakýmisi trezory, v nichž si můžete uložit klíče ke své digitální identitě. Umí pro vás vytvářet silná a jedinečná hesla a ukládat je na bezpečné, snadno dostupné místo (lokálně nebo v cloudu), odkud mohou být rychle použita pro přihlášení k webovým stránkám, aplikacím apod. Škála služeb pro správu hesel – bezplatných i placených – je dostatečně pestrá, aby vyhověla potřebám téměř každého uživatele (bezpečnostní řešení společnosti F-Secure nabízejí možnosti správy hesel pro jednotlivce i firmy).
I Jan správce hesel používá. Popisuje ho jako „svatý grál“ online zabezpečení, a připouští, že potřebujete velmi silné heslo, abyste ho ochránili. Přestože je to další heslo, které si musíte pamatovat, budete díky němu moci zapomenout (téměř) všechna ostatní. Lehká hlava vám za to rozhodně stojí!
Nicméně i se správci hesel si budete muset vytvořit jedno či dvě silná, jedinečná hesla. Zde jsou tedy některá z Janových doporučení, jak na to.
- Pro každé heslo, které vytváříte, si zvolte jedinečnou strategii. Pro jedno si vyberte například text písničky (checkyourselfbeforeyouwreckyourself), pro další říkanku (fivelittlemonkeysjumpingonthebed) atd. Tím zabráníte útočníkům, aby přišli na opakující se vzorce. Nespojujte údaje jako měsíce a roky, jména a narozeniny apod. To vše se dá snadno uhodnout.
- Délka vítězí nad složitostí. Rozhodně je žádoucí, aby vaše heslo mělo minimálně 14 znaků. Kombinujte tedy dohromady slova (dokonce i běžná) a vytvářejte věty (checkyourselfbeforeyouwreckyourself). Neobtěžujte se s psaním velkého počátečního písmene. Útočníci už stejně vědí, že to děláte.
- Eliminujte používání slovníkových výrazů tím, že vynecháte nebo přidáte písmena, nahradíte písmena speciálními znaky nebo propojíte slova, aby nebyla strojově rozpoznatelná (chEkj00se£fB400rurse£f). Další návrhy a příklady naleznete zde (v anglickém jazyce).
- Nepoužívejte v jakékoliv variantě slovo heslo.
Nakonec byste také měli přistupovat skepticky k platformám, službám či čemukoliv dalšímu, co vám brání v dodržování dobrých návyků pro ochranu hesel. Neexistuje žádný důvod, proč by služba měla mít omezený počet znaků hesla nebo klást jiné překážky, které znemožňují uskutečňování bezpečnostních doporučení. A kdekoliv to půjde, používejte multifaktorovou autentizaci. Zásadní je to zejména u e-mailu (který pro většinu věcí funguje jako ověřovací mechanismus) a u dalších stěžejních účtů.
Rada na závěr
Používejte službu pro kybernetickou bezpečnost F-Secure TOTAL, která přidává prémiovou verzi služby F-Secure KEY – správce hesel, k zabezpečení internetu, virtuální privátní síti a ochraně propojené domácnosti.
Díky KEY je tvorba jedinečných, silných hesel na všech účtech hračka stejně jako uchovávání jejich aktuální verze napříč všemi zařízeními. Jako bonus vás KEY aktivně upozorní na závažné úniky dat, takže se nestane, že byste se o nich dozvěděli až někdy později, nebo vůbec.
Dokonce i v případě, že praktikujete nejlepší kybernetické zabezpečení na světě, při ochraně hesel stále spoléháte na jiné lidi. Během posledních pár let jsme zjistili, že na internet unikly miliardy přihlašovacích údajů, takže otázkou není, zda by nemohlo být nějaké z vašich hesel prozrazeno, ale kdy to bude.
Veškeré špatné návyky týkající se hesel nemůžeme napravit přes noc. Ale pokud již dnes začnete používat správce hesel, jako je KEY, už nikdy se nebudete muset cítit trapně, až zase uvidíte seznam nejpopulárnějších hesel na světě.