Zabezpečenia

Ako si zvoliť silné heslo, ktoré si ľahko zapamätáte

Ak útočník uhádne kombinácii nášho prihlasovacieho mena a hesla, máme po srande. Niekedy existujú spôsoby, ako sa aj z tejto situácie dostať, treba obnovou heslá, ale pokiaľ ide o zásadnú službu, akou môže byť napríklad naše e-mailová adresa, môžeme si zamaskovať na problém. Pozrieme sa, ako by malo vyzerať naše heslo a aké sú najčastejšie útoky, ktoré hackeri podnikajú na naše účty.

Tá najlepšia heslá zmarí útoky hrubou silou aj tie slovníkové, ale mali by sme si ich tiež pomerne ľahko zapamätať. Pozrieme sa, ako tieto útoky vyzerajú, a ako vzhľadom k ich spôsobe voliť heslo tak, aby útočníci nemali šancu.

Heslá sú bežnou súčasťou našich životov

Heslá umožňujú prístup k obrovskému množstvu služieb od e-mailových adries, po sociálne siete alebo napríklad aj internetové bankovníctvo. Ak si kladiete otázku, ako si vytvoriť čo najlepšie a najsilnejšie heslo, ste na správnom mieste. Je to úplný základ toho, aby vaše účty boli v bezpečí. Je pravda, že aj so silným heslom je možné zabezpečenie prelomiť, ale so slabým heslom budú vaše účty úplne vždy v ohrození.

Aké je teda riešenie? Neprekonateľná heslá. Ale než sa pozrieme na to, ako si také heslo vytvoriť, poďme sa najprv pozrieť na rôzne spôsoby hackovanie hesiel, aby sme pochopili najbežnejšie metódy, ktoré sa dnes používajú.

Ako dôjde k hacknutie hesla?

Kyberzločinci majú k dispozícii niekoľko taktík hackovanie hesiel, ale najjednoduchšie je jednoducho kúpiť si heslá z dark webu, teda akéhosi podsvetia internetu. Heslá používame na prihlasovanie do radu služieb a niekedy používame heslo rovnaké. Tieto služby, čo môžu byť potrebné rôzne nie práve dobre zabezpečená fóra alebo napríklad filmové fanúšikovské stránky, sa môžu stať ľahkým terčom útoku, kedy útočníkom ide o zoznamy užívateľov s ich heslami. Tie sa potom môžu predávať za veľké peniaze na čiernom trhu. Je potom vlastne jedno, ako silné máme heslo, keď ho útočník proste pozná

Jednoducho povedané to znamená, že ak používate jedno heslo na mnohých službách a po niekoľko rokov, je na čase minimálne u tých najdôležitejších služieb heslo zmeniť.

Ak používate rôzne heslá a u dôležitých prístupov je isté, že sa heslá nedostala na agregovanej zoznamy čiernych trhov, musí ich útočníci prelomiť iným spôsobom, o ktorých si tiež povieme.

Útok hrubou silou (Brute force attack)

Tento typ útoku sa snaží uhádnuť každú kombináciu znakov, ktorá existuje, kým nenarazí na vaše heslo. Útočník disponuje softvérom, ktorý v čo najkratšom čase vyskúša čo najviac kombinácií. Vďaka rýchlosti počítačov sú útoky hrubou silou stále efektívnejšie a hlavne krátka hesla môžu byť prelomená pokojne aj počas sekúnd. Útočníci môžu vyskúšať pokojne stovky miliárd kombinácií za sekundu, kedy ani kombinácia veľkých a malých písmen, číslic a špeciálnych znakov jednoducho nepomôže.

Proti útokom hrubou silou sa všeobecne bojuje tak, že používame dlhé heslo. Všeobecne čokoľvek pod 12 znakov je veľmi náchylné k prelomeniu. Každý znak navyše, ktorý v hesle používame, výrazne predlžuje dobu na vykonanie úspešného útoku hrubou silou.

Proti podobným útokom sú služby zabezpečené potrebné obmedzeným počtom pokusov o prihlásenie, ale aj tak platí, že čím dlhšie heslo, tým lepšie je váš účet chránený.

Slovníkový útok

Tento útok je presne to, ako znie – hacker na vás v podstate útočí pomocou slovníka. Kým útok hrubou silou skúša každú kombináciu symbolov, čísel a písmen, slovníkový útok skúša vopred pripravený zoznam slov, ktoré nájdete v slovníku alebo z informácií, ktoré o nás útočník zistí.

Ak je vaša heslo bežne používané slovo, tak ho slovníkový útok pomerne ľahko odhalí. Slov jednoducho nie je toľko a vyskúšať všetky kombinácie vrátane alternatív znakov číslami alebo používanie veľkých písmen, je jednoducho obrovsky rýchle. Heslo typu „Hesl0“ bude odhalené prakticky okamžite.

Aby ste prežili slovníkový útok, tak vaše heslo nesmie byť bežné slovo, ale spleť znakov, alebo musíte bežné slová poskladať za seba a vytvoriť tak viacslovné frázy typu „PradloOrangutanPomerancBeatles“. Čím viac slov vo frázu, tým horšie sa tieto heslá prelamujú. Navyše je potrebné zvoliť aj také slová, ktoré nie sú úplne zjavná – môže ísť o cudzie slová, slová ktoré nepoužívate, alebo napríklad meno obľúbenej kapely alebo filmu.

Veľmi pekne na túto tému pojednáva toto video (v angličtine):

Phishing

Najzákernejšie taktikou útočníkov je takzvaný phishing (čítame fišing, teda rovnako ako rybárčenie – fishing). Počas tohto útoku sa útočníci pokúša klamať, zastrašovať alebo na prostredníctvom sociálneho inžinierstva tlačiť, aby sme nevedomky robili, čo chcú.

Phishingový e-mail môže (falošne) oznámiť, že s vaším účtom na kreditnej karte nie je niečo v poriadku. Nasmeruje vás na kliknutie na odkaz, ktorý vás prenesie na falošný web vytvorený tak, aby pripomínal web banky. Pokiaľ na tomto podvodnom webe zadáte svoje heslo, útočníci ho okamžite majú a ihneď uplatnia.

Phishingové útoky predtým bývali veľmi priehľadné – v správach sa nachádzali preklepy, grafika bola rozbitá a podvodné weby neboli potrebné ani preložené. Dnes sú útočníci veľmi sofistikovaní a podvodný web môže byť úplne na nerozoznanie od webov oficiálneho, e-maily sú úplne bez chýb a naozaj všetko vyzerá veľmi dôveryhodne. Preto je phishing niečo, na čo je potrebné si dávať naozaj veľký pozor.

Phishing
Foto: Pixabay

Anatómia silného hesla

Teraz, keď vieme, ako sú heslá háčkovanie, môžeme vytvoriť silné heslá, ktorá prežijú (dúfajme) každý útok (aj keď spôsob, ako prežiť phishingový útok, je jednoducho sa nenechať nachytať). Vaše heslo je dostatočne silné, ak budeme dodržiavať tieto základné pravidlá:

Sedliacky rozum aneb nevoliť hlúpa a priehľadná hesla

Nikdy by sme nemali používať zjavná a zrejmá hesla. Nemali by sme používať poradové čísla, mená, a rozhodne nie heslá typu „heslo“, „password“ a podobná, a to aj napríklad za použitia tvare „p455w0rD“.

Vymyslite jedinečná heslá, ktoré neobsahujú žiadne osobné údaje, ako je vaše meno alebo dátum narodenia, teda údaje, ktoré možno pomerne ľahko dohľadať alebo zistiť. Ak sa na vás útočník zameria, pri odhadovaní hesiel sa pokúsi zneužiť všetko, čo o vás vie. Pozor teda aj na heslá, v ktorých je súčasť niečo, čo možno ľahko vyvodiť z vašich sociálnych sietí alebo všeobecne verejne dostupných informácií o vás.

Ak používate niektoré z podobných hesiel, alebo iné úplne zjavné varianty, odporúčame okamžite tieto heslá zmeniť, pretože si koledujete o hacknutie vašich účtov:

Najpoužívanejšie slabá heslá na internete
123456
123456789
qwerty
111111
password
12345678
abc123
1234567
password1
123123

Prelomí heslo hrubá sila?

S ohľadom na povahu útoku hrubou silou môžete podniknúť konkrétne kroky, aby ste útočníkmi odradili:

  • Heslo musí byť dlhé – Toto je najdôležitejší faktor. Heslo by malo mať aspoň 15 znakov
  • Použite kombináciu veľkých a malých písmen, číslic a špeciálnych znakov – Čím viac namiešate písmená, čísla a špeciálne znaky, tým silnejšie je vaša heslo a tým ťažšie je jeho prelomenie útokom hrubou silou
  • Vyhnite sa bežným substitucím – Hackeri skúša nahrádzať bežné znaky písmenami, ako v prípade spomínaného „password“ a „p455w0rD“. Pre útočníka nie je problém nastaviť, že sa budú aj tieto varianty skúšať. Naopak veľmi môže pomôcť vloženie úplne náhodného symbolu ideálne doprostred slova, respektíve séria slov.
  • Nepoužívajte radu na klávesnici – Nepoužívajte heslá ako qwertz, qwerty a podobné, ktoré sú ľahko viditeľná na prvom rade klávesnice a používajú sa jednoducho preto, že sa ľahko píšu.

Prelomí heslo slovníkový útok?

Kľúčom k zastaveniu tohto typu útoku je zabezpečiť, aby heslo nebolo len jediným slovom. Niekoľko slov v rade tento útok pomerne úspešne zmarí, zvlášť ak do hesla zakomponujeme rôzne ďalšie špeciálne znaky.

Príklady najlepších hesiel

Správne heslo by malo byť ľahko zapamätateľné pre vás, ale veľmi zložito uhádnuteľná pre počítače. Ak si sami heslo nezapamätáte, tak to nie je dobré heslo, ale heslo by tiež nemalo byť moc krátke, len aby bolo zapamätateľné. Pozrite sa na nasledujúce tipy.

Rad slov s niečím naviac

Vyššie sme uviedli príklad hesla „PradloOrangutanPomerancBeatles“, ale čo keby sme vykonali jednoduchú zmenu na „PradloOra&ngutanPomerancBeatles“? Pridali sme jeden symbol, ktorý je svojím spôsobom nezmyselne uprostred slova. Aby mohol útočník vykonať úspešný slovníkový útok, musel by doplniť podmienku, že začne takto dovnútra slov vkladať symboly. To jednak útočníka nemusí napadnúť, jednak aj keby túto podmienku do útoku doplnil, výrazne by sa predlžoval čas, než by na správne heslo prišiel.

Skvelé je tiež vkladať slová, ktoré nie sú bežné, sú v inom jazyku, môže ísť o netradičné mená spoločností alebo to treba ani nie sú slová, ale proste niečo, čo si vy a len vy pamätáte (napríklad nejaká veľa kreatívne prezývka, ktorú ste častovali spolužiaka na základnej škole).

Slová samozrejme môžete rôzne komoliť, pridávať substitúcia alebo aj viac špeciálnych znakov priamo do slov. Každý tento aspekt zvyšuje bezpečnosť heslá, ale zase by malo byť heslo stále zapamätateľné.

Metóda vety

Myšlienkou je vymyslieť náhodnou vetu a pomocou pravidla ju previesť na heslo. Môžete treba z každého slova odobrať druhé písmeno, ale vetu a pravidlo si vymyslite úplne sami.

Príklad: Veta „Najradšej chodim do krčmy Na čistinke“ by mohlo byť podľa pravidla odstránenie každého druhého znaku v každom slove heslo „NjradšejcodimdkčmyNčstinke“.

Pre kohokoľvek iného je toto heslo absolútne nezmyselné, ale vďaka tomu, že poznáte pôvodný vetu a pravidlo, ako z vety odoberať písmená, na heslo vždy ľahko prídete. Heslo je ale dlhé a nemožno naň prísť slovníkovým útokom, pretože vlastne ani nepoužívate slová.

Použite multifaktorovej overovanie

Všetky heslá sa môžu dostať von, alebo byť prelomená. Môže ísť o phishingový útok alebo naozaj zdatného hackera. Preto by ste mali hlavne vaše najdôležitejšie účty chrániť aj inak, než len heslom.

Multifaktorovej overovania (niekedy tiež viacfázové overenie, v angličtine Multi-factor authentication – niekedy tiež MFA alebo 2FA) pridáva ďalšiu vrstvu ochrany (ktorá sa stane vašou prvou vrstvou ochrany v prípade úniku podrobností vášho účtu).

Multifaktorovej overovania je ďalšie overenie, že ste to skutočne vy. Okrem hesla môže ísť trebárs o odtlačok prsta, overenie sietnice, alebo zadanie hesla z tokenu, prípadne treba overenie cez e-mail alebo SMS (aj keď je pravda, že overenie cez SMS sa dnes veľmi neodporúča). Heslo samotné sa tak stane len polovicou skladačky, ako sa dostať do účtu. Aj keď tak napríklad hacker heslo prelomí, tak mu môže zabrať ďalší čas, než prenikne druhou vrstvou vášho zabezpečenia.

Použite autentizačný aplikáciu pre chytrý telefón

Najlepšou metódou vícefaktorového overovania je použitie špecializované aplikácie pre váš chytrý telefón. Aplikácia ako Google Authenticator (pre iOS tu, pre Android tu) generuje jednorazový PIN, ktorý zadáte ako ďalší faktor počas procesu prihlásenia. PIN sa automaticky mení každých 30 sekúnd. Nastavenie vícefaktorového overovanie prebieha v jednotlivých službách, ale použitie je také, že keď sa prihlásite heslom, tak potom ešte zadáte PIN, čím je prihlásenie dokončené.

Ďalšie bezpečnostné tipy týkajúce sa hesiel

Chráňte svoje prihlasovacie údaje ďalej pomocou týchto tipov:

  • Na verejné Wi-Fi sieti používajte VPN. Týmto spôsobom je vaša komunikácia so servermi šifrované, takže sú aj vaše údaje vo väčšom bezpečí.
  • Nikdy nikomu nepíšte ani neposielajte svoje heslo e-mailom alebo cez rôzne chatovacie nástroje.
  • Pri výbere bezpečnostných otázok pre obnovu hesiel pri vytváraní účtu zvoľte ťažko uhádnuteľná odpovede, ktoré poznáte len vy, alebo ako odpoveď vyberte ďalšie silné heslo. Tieto bezpečnostné otázky sa môžu ľahko stať zraniteľným miestom vášho účtu, keď zvolíte také odpovede, ktoré možno dohľadať napríklad na sociálnych sieťach.
  • Používajte na počítači i mobilu bezpečnostný softvér.
  • Udržujte operačný systém aj softvér vždy aktuálne. Aktualizácia neslúži len kvôli pridávanie funkcií, ale aj k zacelenie bezpečnostných dier.

Podobné články

Back to top button