Posledné mesiace sa neustále objavujú informácie o úspešných prienikoch a to aj do organizácií, ktoré pre väčšinu predstavovali nedobytnú pevnosť. Napriek dlhodobým varovaniam odborníkov sa ukazuje, že väčšina populácie pristupuje k ochrane svojich informácií laxne.
K tomu samozrejme patrí aj nesprávny výber hesla, ako aj jeho zlá správa. Podľa nedávnej štúdie (pdf) až 73% užívateľov používa rovnaké heslo ako pre prístup do bankového konta na minimálne jednom ďalšom webe. Takmer polovica používa rovnaké prihlasovacie údaje aj pre iné portály.
Toto je dobre známa realita aj bez výskumov. Často dokážu útočníci využiť databázy z rôznych, na prvý pohľad nelukratívnych útokov. Vďaka funkčnému predpokladu, že približne polovica ľudí používa rovnaké prihlasovacie údaje aj inde (často je najzaujímavejší email), získa útočník prístup presne tam, kam potreboval. A napriek tomu, že v našich končinách banky využívajú pre prístup ďalšie verifikačné prvky, možností zneužitia každým dňom pribúda. Dobrým príkladom je systém PayPal, ktorý po prelinkovaní bankového konta (resp. platobnej karty) umožňuje získať prostriedky priamo z účtu a to bez dodatočnej autorizácie. Tento systém pre autentifikáciu využíva len email a heslo. Ak teda zvolíte heslo rovnaké ako pre email a k tomuto sa podarí dostať zlodejovi, môžete prísť o viac ako len súkromné informácie.
Štandardná “poučka” pre tvorbu hesla je:
Voľte si také heslo, ktoré nedokáže odhadnúť ani osoba, ktorá vás pozna najlepšie. Heslo by malo byť čo najdlhšie a nemalo dávať vôbec žiadny zmysel. Heslo by malo byť pre každý portál jedinečné, skladať sa s veľkých a malých písmen, znakov a čísel.
Drvivá väčšina ľudí však len potrasie hlavou. Naučiť sa desiatky, dnes už aj stovky hesiel, ktoré budú rozdielne a budú zároveň spĺňať aj spomenuté kritérium je takmer nemožné. Preto väčšina volí heslá, ktoré si dokážu zapamätať a ktoré si dokážu vybaviť vždy, keď ho potrebujú.
Tvorba hesla
Vytvoriť si zložité, na prvý pohľad nelogické heslo a zároveň si ho zapamätať nemusí byť žiadny problém. Stačí si vytvoriť postup, ktorý si pohodlne zapamätáte a budete sa ním riadiť pri každom vytváraní a vlastne aj prihlasovaní. Tu je jeden z príkladov:
- Na začiatok potrebujete vetu, ktorú si vždy vybavíte. Napríklad vaša obľúbená hláška z filmu, otázka, čokoľvek, čo si dokážete vybaviť kedykoľvek. Napíšte si ju bez diakritiky na kúsok papiera (ten budete musieť na konci ale zjesť, takže možno si ju len povedzte).
- budes princom vo vlastnom kralovstve
- Ak je aj vaša veta tak dlhá, ako moja, môžete ju skrátiť. Ak je ešte dlhšia, môžete si vybrať len prvé, druhé, či tretie písmená, atď.
- budes princom v kralovstve
- Teraz nahraďte niektoré znaky napríklad inými písmenami, číslami a inými znakmi. Vždy nahrádzajte ako prvé medzery.
- bIdes_pIincom_v_kIalovste
- Ako môžete vidieť, ja som nahradil každé druhé písmeno každého slova veľkým písmenom I a medzery znakom _. Dobré je pridať aj čísla, a možno aj iné znaky, napríklad !)(:. atď.
- bId3!_pI1nco!_v_kIa1ov5t!
- Znaky môžete prídavať aj iba na koniec, začiatok, atď. Heslo môžete začať používať už aj v tejto podobe, no problémom je, že je opäť len jedno a to isté. Takto by ste sa však rýchlo ocitli znova na tom istom. Pamätať si desiatky viet určite nebudete a preto je potrebné pridať “plávajúcu” zložku do hesla, resp. ňou nahradiť časť existujúceho hesla. Túto zložku pre vás môže predstavovať aktuálny web, na ktorom sa práve nachádzate.
- bId3!_pI1nco!_v_okIa1ov5t!syn
- Nič zložité vymýšľať netreba. Ja som na koniec pripísal len prvé tri písmena webu, teda syn. Ak by som podľa tejto logiky robil heslo pre facebook, vyzeralo by takto: bId3!_pI1nco!_v_okIa1ov5t!fac
Áno, aj tento systém vás nemusí ochrániť, ak sa útočníkovi podarí dostať sa k viacerým vašim heslám naprieč viacerými portálmi. Potom sa dá postup zmeny hesla odvodiť a opäť môže znamenať problém. Je len na vás, aký systém tvorby hesla si vytvoríte. Pamätajte si, že heslá by mali byť dlhé minimálne 10 znakov a mali by byť zložené z čísel, veľkých i malých písmen a špeciálnych znakov. Nie je podstatné, koľko bude ktorých, stačí ak bude celé heslo obsahovať po jedno veľké písmeno, jeden znak a jedno číslo. I tak sa heslo stane oveľa zložitejším a vám prinesie vyššiu bezpečnosť.
Správa hesiel
Ak však chcete zaručiť skutočnú bezpečnosť hesiel, je potrebné siahnuť po generátore hesiel a pseudo-náhodne si generovať heslá. Na tento účel si môžete vybrať z dnes už rozmanitej škály správcov, ja vymenujem len zopár z nich.
KeePass
Bezplatný správca hesiel, ktorý sa jednoducho používa, umožňuje synchronizovať heslá medzi viacerými počítačmi, ponúka šifrovanie hesiel na disku a prístup cez hlavné heslo. Je dostupný pre mnoho typov mobilov, i OS pre PC. Je samozrejme aj prenositeľný a použiteľný na USB kľúči.
RoboForm
Môj obľúbený, no platený správca hesiel. Ponúka synchronizáciu medzi kontami, online správu hesiel, šifrovanie hesiel na disku s prístupom cez hlavné heslo. Je dostupný pre všetky platformy a prehliadače. Práve prehliadače sú podstatné, keďže RoboForm na vás “vyskočí” vždy na tom webe, kde máte uložené heslo a zároveň sa potrebujete prihlásiť. Tým veľmi zjednodušuje prácu s heslami. Je samozrejme aj prenositeľný a použiteľný na USB kľúči. Jeho cena je 25 €.
Passpack
Ďalšou možnosťou je Passpack, ktorý som používal v jeho začiatkoch. Začínal ako online úložisko hesiel, dnes už ponúka aj aplikácie pre mobily i PC. Ani on nie je však zdarma, je obmedzený na množstvo hesiel, ktoré si môžete online uložiť a podľa toho sa odvíja aj jeho cena.
Na trhu existuje mnoho ďalších, tieto som však vyskúšal a mnohí z môjho okolia ich používajú s vysokou mierou spokojnosti. Je už len na vás, po ktorom produkte siahnete.
K správe hesiel neodmysliteľne patrí aj narábanie s heslami. Je potrebné držať sa niekoľkých pravidiel, aby sa heslo nedostalo do nepovolaných rúk, i keby pasovalo len na jediný portál, či službu.
- Heslá si nepíšte na papierik, do žiadnych textových súborov. Používajte správcov hesiel
- Snažte sa nezadávať heslá na cudzích počítačoch
- Nikdy neposielajte heslo emailom a ani neodpovedajte na žiadnu žiadosť o vaše heslo
- Nevyzrádzajte heslo rodine, priateľom či známym. Ak už musíte, nikdy neprezradte systém, ako ste si heslo vytvorili
Dúfam, že vám budú tieto odporúčania nápomocné a ak si ich osvojíte, vyhnete sa v budúcnosti skutočne nepekným problémom.
Zaujal vás článok? Sledujte ma na Twitteri.
Není špatné, ovšem daleko lepší mi přijde “moje metoda” začátečních písmen nebo jakýchkoliv mnemotechnických pomůcek, nemusíte si pamatovat heslo, ale to jak na něj přijít.
Kdo uhodne první, co je tohle, má u mě pivo :-))
Kdm,kdm?Vhpl,bšps,vsssjk,zrtnp!Atjtkz,zčdm,zčdm!
Jinak všude používám heslo Synopsi, protože to je záruka bezpečnosti :-DD
Na túto tému bol nedávno znovupostnutý článok u Radka Hulana, ktorý som dosť komentoval – http://myego.cz/item/kriticka-dulezitost-ruznych-hesel-na-ruzne-weby takže budem sám seba kopírovať.
Prvý spôsob čo píšeš má okrem toho problému (možnosť spätnej odvoditeľnosti) ešte jeden problém. Totiž neexistuje univerzálne heslo, ktoré by brali všetky systémy. Napríklad Microsoft u svojich LIVE služieb má iba 16 znakov, Tatrabanka (okrem toho že nerozlišuje malé a veľké písmená) nebere špeciálne znaky a tak ďalej.
Podľa mňa najlepším riešením je tvoriť si heslo cez hashovaciu funkciu prostredníctvom kľúčového slova “napríklad http://blog.synopsi.com ” a tajného master hesla, tak ako to kedysi popisoval DGX. Po zadaní potrebných parametrov (malé/veľké písmena, čísla, špeciálne znaky, dĺžka hesla) nám vypľuje pre danú doménu vždy rovnaké heslo, ale pritom pre každú doménu iné. Ak to človek skombinuje s viacnásobným použitím rôznych hashovacích funkcii (SHA-512 + MD5 + Whirpool) tak má zaručenú aj ochranu, keby sa niekedy náhodou našiel nejaký reverzný algoritmus voči jednej z daných funkcii, ale zároveň má istotu, že ak príde o databázu s heslami, tak si heslo poľahky opäť “obnoví”. Príklad takéhoto jednoduchšieho “generátoru” je tu http://dqd.cz/hash.php – tento neumožňuje generovať veľké písmená a špeciálne znaky, ale na ukážku stačí. Všetko sa počíta iba v prehliadači, heslo nikam neposielate.
Keďže už Radek to vtedy na prvýkrát nepobral, tak dopredu hovorím, že tento “môj” spôsob je založený na tom, že hashovacia funkcia je JEDNOSMERNÁ. Takže aj keby ste odniekiaľ mali 100 mojich plaintext hesiel, nebudete si schopný odvodiť žiadne ďalšie.
http://www.akordytexty.sk/index.php?id_skladby=bkpaopqv&act=detail
:)
Z akademického pohledu máš asi pravdu, myslím si ale, že článek nepříliš reflektuje realitu. Za prvé podle mě těžce přeceňuješ důležitost hesel, a to i těch do Paypalu a spol. ( http://www.pepak.net/bezpecnost/jsou-uzivatele-hloupi-a-lini/ ), a za druhé se moc soustředíš na jeden konkrétní typ útoku (prolomení zašifrovaného hesla na serveru) na úkor ostatních, IMHO pravděpodobnějších (keylogger na uživatelově počítači). Asi si na to časem sednu a napíšu něco o heslech ze svého pohledu.
@Accuphose Hymna? ;-)
#1 Accuphose: To bude asi nieco ako:
NTsb,hdb.NTsb,hdb.Zib,vsos,So.TSnpts,TSnpts.Abhvhkt,asp. ;)
Špeciálne znaky v hesle sú určite výborná vec. Ale osobne som mal trochu problém, keď som bol zvyknutý na “svoju” PC klávesnicu a potreboval zadať heslo na notebooku.
#1 Accuphose: hymna? :)
Taktiez vsade dodrziavam zasadu aspon jedno male a velke pismeno, cislica a specialny znak. Potom ma ale vedia nastvat systemy, ktore jednoducho specialne znaky nezoberu. V poslednom case som narazil na dva – mBank a Rackspace. Koli nim som si svoju metodu musel mierne upravit. Je to neprijemne, pamatat a spominat si len koli nim na iny postup.
#1 Accuphose: ceska hymna :)
Hymna! :-)
Problém se zapamatováním hesla je někdy složitější – systémy nutí ke změně např. co 3 měsíce a třeba i kontrolují, zda nějaká část hesla není výrazně podobná tomu přechozímu. To pak nutí lidi vymýšlet opravdu hodně jiná hesla a vlastně to má v reálném životě negativní dopad na bezpečnost, protože když nemohou používat svoje oblíbená (a třeba i relativně silná hesla), tak si nakonec vymýšlí jednoduché věcí.
A ještě – někdy jsou limity na samotná hesla. Maximální povolená délka, povolené znaky (0-9, A-Z), třeba proto, že bankovní systémy toto heslo sdílí mezi internet bankingem a phone bankingem a asi by to nebylo příliš veselé operátorce vysvětlovat, kde je na klávesnici obvykle levá hranatá závorka, podtržítko nebo to zamotané áčko z emailu.
Ano, takto sdílet hesla v bankovních systémech by se nemělo, ale třeba já na to u své banky narážím, heslo do internet bankingu holt nemám podle svých představ.
Podla mna nie je dolezite si pamatat vsetky hesla.
Na nezaujimave weby mam velmi komplikovane hesla ale su vsetky ulozene v browsery a su viazane na nepodstatny email – taktiez s heslom ulozenym v browsery.
Na dolezite weby v podstate nepoznam hesla no su viazane s bezpecnym emailom od ktoreho heslo viem a ked chcem pouzit nejaku sluzbu nechavam si poslat nove heslo na mail respektive ho zresetovat
Trochu prace naviac za paranoju : )
2Accuphose: Kde domov muj, ….. atd.
trivialne.
pivo nepijem.
;-)
taky bych byl se speciálními znaky a znaky s diakritikou či z jiných abeced opatrný, moc se tím bezpečnost nezdvihne, k únik hesla dochází většinou jiným způsobem než zkoušením kombinací a navíc u “neznámých” webů nemáte jistotu, že to bude fungovat, navíc můžete mít velké problémy, když se potřebujete přihlásit z cizího počítače
já používám systém, že mám hesla vytištěná u počítače, ale v kaně (i když na hesla používám romanji, popřípadě romanji + arabské číslice namísto některých písmen – v tomto případě rozložím písmena kany na “česká”, tj. z písmene no udělám n0, atd…), a na hesla použiji nějaké celkem běžné slovo spojené s webem nebo službou a jen jej přeložím do japonštiny…
to Accuphose:
hymna Ceske Republiky, jestli se nepletu…
… kdeze ma caka pohar chladeneho urquellu?
@Accuphose: Prve pismena a diakritika ceskej hymny. Mas stastie, ze som abstinent :)
@Milan Cermak: Presne tento problem stve aj mna. Vytvoril som si jednoduchy JavaScriptovy generator hesiel (password.darsain.net) a tesil som sa, ze mam tuto dilemu za sebou tym najidealnejsim, najcistsim a najzapametatelnejsim sposobom.
No nerobim si srandu, nemozem to heslo takmer nikde pouzivat. But dotycny system neakceptuje specialne znaky, alebo obmedzuje dlzku hesla. Nakoniec som skoncil s KeePass, kde som si vytvoril par layoutov na generovanie hesiel pre rozne druhy zabezpecenia systemov. Problem je ale v tom, ze ked sa mi tato *.kdbx dabaza nahodou niekedy strati (hypoteticky), tak som v prdely. Za to u svojho password generatora by mi stacilo rekonstruovat algoritmus a hesla by zaroven neboli nikdy nikde ulozene, zato stale na dosah.
Osobne pouzivam passpack s dvojitou autentifikaciou a musim povedat, ze spokojnost. Dlhsie som riesil dilemu ci tam ulozit aj hesla k internet bankingu a nakoniec som vyriesil dodatocnou keepass aplikaciou kde heslom ktore mam ulozene v passpack otvorim databazu v keepass a nasledne este dodatocnym spojenim hesiel v obidvoch systemoch zlozim heslo do IB :) samozrejme hesla o min 20 znakoch … zeby paranoja? :)
vedel som, ze sa ozve viacero ludi so svojimi skusenostami a za to vam pani dakujem. je jasne, ze tento navod nie je ziadnym genialnym vytvorom a odpovedou na vsetko. je to navod na inspiraciu pre beznych ludi a teda aj citatelov tohoto blogu, ktori dnes a denne vypisuju, aby som im poradil. vase komentare im snad pomozu sa inspirovat este viac a najst si ten svoj sposob.
ano, kazdy web je iny, kazdy ma svoje obmedzenia a vsade treba metodu trosku poupravit. preto je lepsie pouzivat manazera na hesla a vyhnut sa tymto problemom.
@pepak: neviem ci citas tento blog castejsie, alebo len tento jeden clanok. ja hesla nijakym sposobom neprecenujem. jednoducho, hraju svoju ulohu v kruhu bezpecnosti a preto je dobre o nich informovat. nic viac, nic menej. keylogery su fajn, ale su relativne zbytocne. dostat sa k udajom systemov sa da priamym utokom, ktore su sice casovo narocne ale utocnik sa dostane ku vsetkym datam naraz a nemusi postupne sniffovat a phishovat.
#1 Accuphose: ceska hymna, nebolo tazke ;-]
No ale zase to neprehanat. Mal som jedneho klienta, ktori mal vsade ine heslo, dokonca aj hesloval dokumenty v PC. No a mal to v jednom RARe v ktorom bolo heslo a v tom dalsi subor zaheslovany, v nom boli vsetky hesla. No a samozrejme zabudol obe tieto najdolezitejsie hesla. Uz druhy tyzden mi na jednom PC bezi pogram a snazi sa heslo uhadnut.
Pozitivne/negativne skusenosti s Lastpass? Vdaka.
Ja by som len doplnil k tym manazerom hesiel vyborny (plateny) program 1Password (http://agilewebsolutions.com/products/1Password) pre tych co pouzivaju Mac.
Prakticky ani jedno z uvedenych memo hesiel, by neakceptoval spomenuty PayPal, overene vlastnorucne a do dnesnych dni sa na tom nic nezmenilo – “Your password must contain between 8 and 20 characters. Please enter a shorter password.”.
Jeden z mojich sposob tvorby hesiel je transkripcia z nelatinkovych jazykov :-)
Prebrate z http://www.whatsmypass.com/stupid-joke a vynikajuco sa hodi k teme :-D
During a recent password audit, it was found that a blonde was using the following password:
“MickeyMinniePlutoHueyLouieDeweyDonaldGoofy”
When asked why such a big password, she said (wait for it)….
… that it had to be at least 8 characters long.
Dobry clanok, napisany tak, ze aj my, netechnicke typy, tomu porozumieme, dakujem.:)
Za najvacsi problem sofistikovanych hesiel povazujem samotnych uzivatelov – pretoze predstav si typicku kancelarsku krysu, okolnostami prinutenu pouzivat 12-znakove heslo obsahujuce male aj velke pismena, cisla a specialne znaky, a este ho menit kazde tri mesiace – no nenapise si ho mila krysa radsej na zlty papierik a nenalepi na monitor (v lepsom pripade pod klavesnicu)?
Ano, je to česká hymna, jsem rád, že to pro Vás nebylo těžké. Ono totižto to nemá být těžké, ale znaky samy o sobě musí být neidentifikovatelné brute force metodami a to takový typ hesla splňuje vrchovatě, nemusíte si to nikam psát a ukládat. Dokonce si zruční mohou vyrobit prográmek, co jim je bude generovat z textu podle požadavků….
Ad pivo, mám tu 5 litrový soudek budwaru, tak se můžete stavit po domluvě v Sokolově – pořadí dle čísla postu má přednost(pište mi na e-mail mujnickmalepocatecnipismeno@centrum.cz), nebo vás pozvu v Bratislavě u Mamuta na pivo, až tam budu mít cestu….
ja osobne používam viac základov pre heslá, pre rôzne druhy stránok(iné pre IB, maily, bežné kontá, fóra,…) a k týmto základom pridávam ešte určitý reťazec vytvorený z danej domény, na ktorej heslo používam.
základy obsahujú písmena a číslice(tie su povolené snád všade…) a snažím sa aby boli čo najdlhšie aspoň pre dôležité weby kde by odcudzenie malo fatálne následky…
nie je to určite ideálne, no dá sa tento systém ľahko zapamätať a to je pre mňa pohodlné a použiteľné snáď vyždy a všade…
do budúcnosti už dlhšie plánujem k tomuto pridať ešte danbossove riešenie hashovaním(to okrem iného može aj pomôcť aj pri portáloch, kde heslá ukladajú v plaintexte).
pluginy do prehliadačov existujú aj množstvo online hash generátorov, čiže určitá pohodlnosť a bezproblémová prenositelnosť by mohla byť zaručená… i keď ako už bolo spomínané dĺžka hesla može byť niekde obmedzená.
používať niektorý z manažérov hesiel a byť viazaný na vlastný comp, prehliadač či usb kľúč alebo iné médium, by mohlo byť pre mňa niekedy obmedzujúce, takže tomuto riešeniu sa zatiaľ vyhýbam…
i keď pár dôležitých hesiel, ktoré si nemám šancu zapamätať ani zmeniť držím v súbore, kt. je zaheslovaný pomocou truecrypt. heslá sú systematicky doplnené o pár znakov, čiže ak niekto zlomí master heslo do súboru, to čo v ňom nájde mu nepomôže. je to neprenosné a možno ani nie dosť bezpečné, takže rad si nechám poradiť;)
Hmmm, dlhe roky pouzivam KeePass a to hlavne preto ze ma aplikacie aj Windows Mobile aj Android takze mam vsetky hesla zo sebou kebyze sa nieco stane a potrebujem ich .. aj ked prepisovat potom z mobilu 30znakove sialene heslo nieje ziadna sranda.
Na margo dlzky hesiel .. tiez som sa stretol z webom ktory napisal ze maximalna dlzka hesla je 20 znakov ale stretol som sa s este horsou variantou a to tou ze som zadal 30 znakove heslo system pekne vsetko zobral dokonca poslal potvrdzovaci mail s danym heslom ale ked som sa odhlasil a chcel znovu prihlasit tak som mal problem pretoze web si evidentne urobil hash len z casti hesla .. takze som dalsich 5 minut skusal heslo skracovat az som nasiel spravnu dlzku .. dost to naserie :(
Jeden problem s heslami je ten, ze vacsina ludi pouziva hesla ako janko alebo 12345. Potom pride bezpecnostny expert a navrhne im heslo bId3!_pI1nco!_v_okIa1ov5t!fac. Takto to nepojde. Musia existovat aj nejake kompromisy, tj. hesla dost bezpecne a pritom jednoducho vytvoritelne. Ale taky navod som este necital.
@ag: v tom je ten problem. jedine, co sa da vseobecne urobit, je naucit ludi vytvorit si vlastny postup ako taketo heslo vytvorit. vsetko ostatne ma este nizsi ucinok
Už skoro 3 roky som mal na YouTube nick = password,
a čuduj sa svete, nik ho nezneužil :)
Iba http://www.youtube.com/ ma upozornilo,
že ak si nezmením password, zrušia mi účet ?!
#4 pepak: a podla teba vsetci uzivatelia pouzivaju ten otrepany windows? Windows je sver uzavretych kodov, nebezpecenstva, vyrov, cervov, zamrzania, nestability, (dalej uz radsej ani nechcem menovat [mozte mat nato iny nazor, aj ja som pouzival windows ale ked som sa rozhodol zskusit nieco ine tak som pocitil znacny rozdiel]) a aj tak myslis ze neexistuje nic proti keyloggeru? Je strasne vela programov pre windows bezpecnosti mne sa najviac osvedcil Spyware doctor with antivirus od PCTools s ktorym som velmi spokojny, aj ked ho uz nepouzivam co je pochopitelne ked som zmenil OS.
Keyloggere alebo ine cervi predstavuju potencionalne nebezpecenstvo a do uzivtelho pocitaca chodia prichadzaju 2-mi najrosirenejsimi sposobmi: mailom (priloha je len .exe niektory vyspelejsie mail clienty vas upozornia ze otvarat taketo subory je nebezpecne, a niektore cely mail kompletne zamietnu), a “zavirene subory” ( do binarneho suboru bol pridany bajt-kód keyloggera). Ale aj tak pokial ma uzivatel dobry spyware alebo firewall nehrozi mu prakticky nic.
Díky za článek. Zkusím některý program na správu hesel. Jako každý jich mám taky spoustu a metoda “všechna hesla na papíře” asi není úplně to pravé.