Hesel se nezbavíme, říká bezpečnostní expert Špaček. K lepšímu zabezpečení pomůže i papírový notýsek

Úniky hesel se mohou při používání internetových služeb týkat každého. Nevyhnuly se ani poslancům nebo soudcům. Riziko je ale možné podstatně zmenšit. iROZHLAS.cz ve spolupráci s bezpečnostním expertem Michalem Špačkem přináší několik postřehů, jak na to.

Tento článek je více než rok starý.

Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

heslo (ilustrační foto)

Díky únikům máme co analyzovat, vidíme, jak lidé hesla vymýšlí. (ilustrační foto) | Foto: Fotobanka Profimedia

Únik informací o německých zákonodárcích, únik hesel z e-shopu Mall.cz, únik klientských dat T-Mobile, únik hesel českých poslanců a soudců. Informace z (nejen) internetových služeb unikají poměrně pravidelně, a pokud alespoň trochu fungujete na internetu, zkrátka se únikům nevyhnete.

Jedno heslo vážně nestačí

Pokud uživatel používá jedno heslo na více stránkách, útočníkovi stačí prolomit jen tu nejslabší z nich – získaným heslem se pak přihlásí do všech ostatních. Správce webu by sice měl vaše heslo ukládat tak, aby ho ani v případě úniku nešlo dešifrovat, ale na to se jednoduše nemůžete spoléhat.

Přehrát

00:00 / 00:00

O úniku hesel mluvil v Ranním interview Radiožurnálu také předseda bezpečnostního výboru sněmovny Radek Koten z SPD

Někdo to zdánlivě řeší tím, že má hesla dvě nebo tři, jedno je „bezpečné“ a používá ho třeba jen v internetovém bankovnictví, zbylá dvě pak různě střídá na e-shopech, e-mailech a pracovním či domácím počítači, na sociálních sítích, službách na sledování videa a tak podobně. A uklidňuje se tím, že pokud se hackeři dostanou k heslu od Facebooku, pořád mu nevyberou bankovní účet.

Jenže počet služeb, kam se dnes uživatelé internetu přihlašují, neustále roste. A nevyhnutelně se tak heslo, které bylo dřív určeno „jen na ty důležité věci“, dostane i do míst ne úplně bezpečných. Navíc není jasné, kde udělat hranici: mohu heslo od bankovnictví použít i u druhého bankovního účtu? Do firemního e-mailu? Na facebooku?

A i ze služeb, které máme tendenci považovat za bezpečné, hesla občas utečou. Stalo se to českému gigantu mezi e-shopy Mall.cz, stejně jako službě na sdílení dat Dropbox, sociální síti MySpace, profesionální síti LinkedIn či firmě Adobe. Uniklé přihlašovací údaje pak posloužily k celé řadě dalších útoků.

Přitom proti užití odcizených hesel je velmi těžké se bránit, protože hacker má stejné přihlašovací údaje jako oprávněný uživatel. A jelikož jde jen o zadání e-mailu a hesla, útok mohou provádět počítače a napadnout tak tisíce účtů najednou.

Na jedno použití

Podle experta na internetovou bezpečnost Michala Špačka je podstatné, aby uživatelé nepoužívali stejná hesla na různých webech. To je podle něj „mnohem důležitější, než jestli je v heslu speciální znak, velká písmena, číslice.“

Poslanec Farský k úniku svého hesla: Možná ještě někde zůstalo, čekal bych varování od úřadů

Číst článek

Obrana je zdánlivě prostá: nepoužívat jedno heslo ve více službách. Jenže těžko si zapamatovat desítky, nebo dokonce stovky hesel. Za tím účelem existují programy známé jako správci hesel. Jde o jakousi klíčenku, ve které má uživatel uložená všechna hesla. Ta jsou pak zabezpečená jedním silným heslem, které se nepoužívá nikde jinde.

Uživatel tímto „hlavním“ heslem klíčenku odemkne a ona za něj „vymyslí“ a vyplní unikátní heslo do příslušné služby, heslo si pak v budoucnu pamatuje. Podle Špačka takové řešení funguje dobře, jen může být pro některé uživatele komplikované. „Dobře by mohl fungovat i nějaký notýsek, dodává. Takové řešení by mohlo být vhodné i pro poslance či senátory, kteří někdy s novými technologiemi bojují. Takový sešit ale není zabezpečený proti krádeži, majitel ho tak musí důkladně hlídat.

„Vymýšlejte každé heslo jiné, nesouvisející, radí dál. Pokud někdo používá na jednom webu heslo franta1, na druhém franta2 a na třetím franta3, je to podobné, jako kdyby používal stále jen jedno. O tom, jak by mělo vypadat heslo, pojednává dnes již legendární komix.

Poslanci Farský a Zaorálek, soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun

Číst článek

Polopatě řečeno: čtyři náhodná a nesouvisející slova oddělená mezerou jsou lepší heslo, než třeba franta75 (jméno a ročník narození jeho majitele). Jak dlouho by trvalo vaše oblíbené heslo prolomit, vám naznačí stránka Random-ize: u franta75 by na to jednoduchému programu trvalo 16 minut. Heslo klika auto lopata pes by odolalo 121 905 479 356 575 610 000 let.

Z podstaty věci samozřejmě plyne, že pokud se někdo rozhodne používat správce hesel, měl by používat kvalitní a dobře zabezpečený program. Existuje řada komerčních služeb, ale i nástroje zdarma. Správci hesel jsou pak integrovaní do některých webových prohlížečů i operačních systémů.

Existují i služby, které kromě hesla vygenerují pro každý web unikátní falešnou identitu, od e-mailu přes adresu až po funkční telefonní číslo. Jejich používání ušetří horké chvíle například v případě, když unikne databáze seznamovací služby.

Druhý klíč

Řada webů umožní posílit zabezpečení druhým „klíčem“: při přihlašování kromě hesla musíte zadat i jednorázový kód, který vám vygeneruje aplikace v mobilu (nebo ho případně dostanete SMS zprávou). Většina větších služeb na internetu tohle případné zabezpečení podporuje, od Facebooku po české Datové schránky.

Jediné heslo i speciální sešítek. Jak se zákonodárci na internetu chrání proti útokům hackerů?

Číst článek

Není to úplně neprůstřelné řešení a rozhodně nejde o náhradu za dobré a unikátní heslo, klidně napsané v notýsku, který člověk nosí s sebou.

Zda váš e-mail figuroval v některém z dřívějších úniků informací, si můžete ověřit na specializovaném webu. Zde se i dozvíte, jak často někdo použil i to vaše „jedinečné a neuhodnutelné“ heslo. V případě hesla franta1 takových případů bylo alespoň 228.

Heslo? Není nic lepšího

A i když dochází k únikům hesel, při správném používání podle Špačka neexistuje nic lepšího. Heslo je nejbezpečnější věc, máme ho jenom v hlavě a z ní ho nikdo nezíská, vysvětluje. Tedy pokud ho někomu neřeknu nebo ho nevytvořím předvídatelně, třeba pepa123, dodává.

A bezpečnostní maléry podle něj mají i pozitivní dopad. „Díky únikům máme co analyzovat, vidíme, jak lidé hesla vymýšlí,“ říká Špaček s tím, že díky novým informacím mohou správci webů a programátoři navrhovat své systémy bezpečnější. I když k únikům bude čas od času docházet i nadále.

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme