HESLA
Jak dobře jsou střeženy vaše cennosti?
O čem bude tato lekce?
Nepodceňujeme vás – víme, že běžný smrtelník si dávno nepíše PIN na druhou stranu kreditky a jeho heslo je promyšlenější než Jméno123. Jenže doba se mění a tohle už bohužel není know-how, se kterým v kyberprostředí plném nástrah vystačíte.
Lekce obsahuje čtyři části. Připomenete si, proč jsou hesla jedním z nejdůležitějších prvků kyberprostředí, jak si vytvořit unikátní bezpečné heslo (a nepřijít o něj) a jakým způsobem se k heslům chovat tak, aby zůstala doopravdy v bezpečí. Volíme zlatou střední cestu – jen to, co opravdu využijete.
EXTRA 15 MIN
1 VÝZVA
1 návod
Proč (znovu) přemýšlet nad hesly?
Heslo odemyká všechna skrytá tajemství. Je vaší občankou, bankovním účtem, zprávou milence, zdravotní diagnózou, nápadem na nový byznys, nákupním seznamem, fotkou před třicetidenní hubnoucí výzvou.
Heslem prokazujete svou identitu a jakmile jej získá kdokoliv další, otevírá se mu přístup do vašich nejniternějších zákoutí a stává se vámi. Všichni útočníci nesedí v mikině s kapucí za stolem a nelámou si hlavu nad tím, jak by zjistili jméno vašeho domácího mazlíčka a konečně se tak dostali k ubytovacímu stipendiu nebo prémiím (ačkoliv i takovou cestou se lze hesla dopídit). Internetoví boti a algoritmy zkoušejí tisíce kombinací hesel za jednu každou minutu. Takové technologie nevidí vás jako konkrétního člověka, neznají empatii, nepřimhouří oči. Jediným cílem je dostat se k vašim cennostem, tajemstvím nebo vzpomínkám.
Co znamená to „bezpečné heslo“?
Umění tvořit bezpečná (silná) hesla nespočívá ve využití desítek speciálních znaků a symbolů, ze kterých se vám motá hlava i jazyk. Jak to?
Tajemství silných hesel totiž tkví v kombinaci pro vás zapamatovatelných slov. Taková hesla označujeme jako frázová (například trhatfialkyB00Mdynamitem) a prolomit je by trvalo několik miliónů let. Naproti tomu nabourat se do účtu s heslem se zástupnými znaky na očekávatelných místech (@ místo a, $ místo S, ! místo i, tečka na konci atp.) zabere zhruba 4 týdny. Frázové heslo využijete i pro správce hesel. Perlička z praxe: ti, kteří přecházejí z jednoduchého hesla identického pro všechny účty na nové, frázové, mají tendenci si jej vytvořit velmi kreativně komplikované, a proto jej zapomenou za pár dní. Nové frázové heslo si raději ze začátku často opakujte, než se spolu sžijete.
Další příklady frázových hesel: H0OPskočilzajícpřes2pole, 3karatovýprstenodM., 10%šancevsázcesPetrem, 8_polibšosKosům, třistaTřicet3stříbrných...
Vytvořte si frázové heslo
Část básně, scenerie cestou do práce, vzpomínka z dětství – to všechno může být základ frázového hesla. Tři až čtyři slova postačí. Pokud chcete heslo dovést k dokonalosti, přidejte na náhodná místa zástupné znaky (mezera, čísla, interpunkce, symboly). V našem příkladě trhatfialkyB00Mdynamitem jsme díky citoslovci "B00M" dostali do hesla číslice i velká písmena, a to na netradiční místo.
Zapomeňte na hesla, pořiďte si správce hesel – neomylný online trezor vašich hesel (střežený osmihlavým baziliškem na neviditelném hradu za příkopem s žíravinou). Většinou se jedná o cloudové řešení, a tak se s pomocí vlastního frázového hesla dostanete dovnitř odkudkoliv (jako do ISu).
Většina lidí není na správce hesel zvyklá: svěřit všechna hesla jednomu produktu? To zní přece tak riskantně! Chápeme tyto obavy. Přesto je správce hesel odborníky i výzkumy považován za nejspolehlivější metodu. Proč? Každý člověk spravuje desítky účtů (zkuste si je spočítat!) a pro každý by měl mít odlišné a silné heslo. Udržet všechna v hlavě? Utopie, proto většina lidí hesla opakuje a variuje. Nakonec se heslo do banky záhadně stane také heslem na sociální sítě – a problém je na světě. Kompromisem je do správce ukládat hesla středně a méně důležitých účtů, čímž si v hlavě zajistíte prostor pro zapamatování jen pár opravdu nejdůležitějších (bankovnictví, pracovní e-mail).
Ano: nehledejte v kyberbezpečnosti složitosti. Základ je mít správce hesel a používat bezpečná frázová hesla. Pomůže ale i třeba dvoufaktorová autentizace neboli dvoufázové ověřování. Terminologie se napříč službami liší, ale vždy se jedná o doplnění klasického hesla dalším identifikátorem.
Mezi takové identifikátory patří gesto, biometrický zámek – otisk prstu nebo rozpoznání obličeje, PIN kód, SMS zpráva, ověřování přes aplikaci, OTP autentizace, tedy one time password – heslo na jedno použití. Identifikátor zvolte podle možností služby. Co si budeme nalhávat, většina lidí má přinejmenším jeden nešťastný zvyk, který je dříve, či později stojí ztrátu účtu. Mezi takové nešvary patří třeba domluvit se v práci na společném hesle pro sdílený účet, nalepit heslo na nástěnku, používat stejné heslo do banky a na Instagram. Tak s jakým nešťastným zlozvykem zatočíte vy hned teď?
Už nikdy
Nepřidělávejte si práci psaním hesel na papírek
Papírek se zatoulá, ztratí, poleje kávou, uvidí ho procházející návštěvník. Nikdy nevíte.
Nesdílejte hesla (ne, ani s partnerem)
Každý si zaslouží vlastní soukromí. Vztahy dokáží být komplikované i bez sdílených účtů.
Neopakujte stejná hesla pro různé účty
Prolomit jedno heslo a získat přístup ke čtyřem účtům? Jackpot! Ale pro útočníka.
Pamatujte, že heslo odemyká nejen váš intimní svět, ale také rodinný, pracovní, finanční – a život na MUNI. Přesto může být správa hesel poměrně jednoduchá: jejich bezpečnost stojí na tom, co dělat nemusíte, či dokonce nesmíte. Jakmile si nainstalujete správce hesel a vytvoříte mu silné frázové heslo, vaše práce víceméně končí: stačí se do něj jen vždy přihlásit.
Bonusy pro zvídavé uživatele
Dvojaké přihlašování: jak se v tom vyznat
Dvoufaktorová autentizace nebo dvoufázové ověřování už jsme probrali. Vybrali jsme na ukázku aspoň návody pro nastavení některých populárních služeb: Google, Instagram, Facebook, Seznam (návod, screenshot z nastavení). Jak si poradit u dalších služeb?
Jak dlouho odolá vaše heslo proti útoku?
Za celou lekci jsme vás nepřesvědčili a petr1984 pořád považujete za obstojné heslo? Vyzkoušejte si sílu vašeho hesla na LastPass kontrolní stránce (doporučujeme zadat pouze typově podobné, namísto petr1984 by to byla třeba monika1876 ). Neuškodí si také udržovat přehled: po bezplatné registraci (Jak na to?) ve službě HaveIbeenPwned.com vám při narušení bezpečnosti účtů spojených s vaší e-mailovou adresou odešle služba upozornění a zavčasu tak obměníte problémová hesla.
Icons made by Smashicons from www.flaticon.com.