Väčšina ľudí považuje heslo za nutné zlo, ktoré musia prekonať, aby si vytvorili účet na obľúbenej online službe. Napriek umelej inteligencií a moderným technológiám patria heslá stále k najčastejším a dostatočne efektívnym nástrojom na ochranu používateľov. Na to, aby fungovali spoľahlivo, však musia byť dostatočne silné. Na čo si dať pozor, čomu sa vyhnúť a ako si vytvoriť silné heslo? Tieto otázky sme sa spýtali Ondreja Kuboviča, odborníka na kybernetickú bezpečnosť spoločnosti ESET.
Prečo by mali ľudia venovať dostatočnú pozornosť vytváraniu hesiel? Pre mnohých je to otravná činnosť, ktorej nevenujú čas ani pozornosť.
Heslo by som prirovnal ku kľúčom od domu či bytu. Je to možno trochu staršia technológia, ale je to jedna z vecí, ktorá rozhoduje o tom, či sa niekto dostane do môjho konta alebo nie. Podobne ako kľúč rozhodne o tom, či sa niekto dostane do môjho bytu ak nezamykám dvere.
Odporúčame
Platí pravidlo, že slabé heslo znamená väčšiu pravdepodobnosť hacknutia?
Myslím si, že to v dnešnej dobe platí ešte viac ako kedykoľvek pred tým. Mnohí sa stali závislí od práce z domu a do systémov pristupujú vzdialene. Nejde len o sociálne siete, ale aj o prihlásenie do pracovného e-mailu, firemných systémov, máme prístup neraz k citlivým dátam a to všetko je zabezpečené jedným či viacerými heslami. Vďaka koronakríze výrazne vzrástla váha hesiel. Útočníci vedia, že všetko toto robíme na diaľku a preto vzrástlo aj riziko hecknutia.
V čom spočíva riziko toho, keď si zvolím úplne jednoduché heslo ako 1234?
Sú určité formáty hesiel, ktoré útočníci skúšajú automaticky. Spravidla sú to zoznamy najpoužívanejších hesiel, v angličtine je to napríklad „password“ alebo v slovenčine „heslo“, univerzálne je „123456“ a pre firemné systémy je to zase „admin“. Ďalej skúšajú bežné kombinácie ako napríklad dátum narodenia či meno, alebo mesiac a rok, pretože tieto veci si ľudia ľahko zapamätajú a preto ich používajú. Treťou oblasťou sú najpoužívanejšie frázy či slová, ide o tzv. slovníkové útoky, alebo populárne hlášky z filmov a seriálov. Útočníci si napíšu jednoduchý program, script, ktorý všetky tieto heslá skúša.
Aké najčastejšie chyby robia ľudia pri vytváraní hesiel?
V prvom rade nechávajú pôvodné prednastavené heslá. Tie odporúčame vždy zmeniť. Ďalej vytvárajú ľahko zapamätateľné heslá, pričom často vytvoria také, ktoré sa zároveň ľahko hádajú. Napríklad je to heslo krátke a obyčajne obsahuje údaje, ktoré sa o používateľovi dajú zistiť alebo sú zjavné. Problémom je aj používanie jedného hesla na viacerých účtoch, alebo jeho zmena iba v jednom znaku.
Získajte aktuálne informácie o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.
Na čo ďalšie by sme si mali dávať pozor?
Ideálne by bolo, ak by si používatelia vyberali služby, ktoré umožňujú aj ďalší faktor zabezpečenia, napríklad biometriu, alebo nejaký iný „kvalitnejší“ stupeň ochrany ako je klasické heslo. Facebook, Instagram, alebo Gmail napríklad pri vytváraní hesla dávajú používateľom rady, ako by malo heslo vyzerať a rovno ponúkajú aj dvojfaktorovú autentifikáciu cez aplikáciu na mobile.
Pozrime sa na to z opačnej strany. Ako by malo vyzerať dobré a silné heslo?
To je trochu komplikovaná otázka. V minulosti platil štandard, že by silné heslo malo mať aspoň šesť znakov, malo by byť komplexné, čiže by malo obsahovať malé aj veľké písmená, čísla, špeciálne znaky a malo by sa meniť každé tri mesiace. Tieto odporúčania sa však medzičasom dosť výrazne zmenili, pretože sa postupne ukazuje, čo z nich je efektívne a čo nie.
Napríklad sa ukázalo, že ľudia práve kvôli častým zmenám hesiel robia iba drobné úpravy oproti starému heslu, takže sa od toho upustilo. Stačí mať jedno silné heslo, ktoré ak nikde neuniklo, netreba ho meniť v princípe nikdy, alebo len raz za niekoľko rokov.
Rovnako sa zmenili aj požiadavky na komplexnosť hesla. Kým niekedy sa vyžadovalo rôzne typy znakov, dnes sa skôr odporúča vytvoriť si dlhé heslo. Ak má aspoň šestnásť znakov, nemusí tam byť žiadne číslo alebo špeciálny znak. Vhodné sú na to frázy, ako napríklad „to co zjes, to ti uz nikto nevezme“ – takéto heslo aj s medzerami je dosť dlhé na to, aby sa ho útočníkom neoplatilo hádať za pomoci skriptu , teda cez tzv. „brute force“ útok.
Čo by malo ďalej spĺňať silné heslo?
Heslo môže byť silné iba v prípade, keď si je používateľ istý, že ešte nikdy neuniklo. Napríklad, že ho nepoužíva v inej službe, odkiaľ mohlo uniknúť. To sa dá zistiť cez služby ako Have I been pwnd?. Tu si vie používateľ overiť, či danému kontu niekedy niečo neuniklo. Ak áno, tak je potrebné zmeniť si heslo a už ho nikde nepoužívať, pretože ho útočníci môžu skúšať a môže sa objaviť aj v slovníkoch.
Sú aj nejaké odporúčania, ktoré sa v čase nezmenili?
Stále platí, že heslo by malo byť tajné, nemal by ho teda poznať nik okrem majiteľa konta. Taktiež by malo byť unikátne pre každú službu. Práve unikátnosť je dnes náročná pri množstve online služieb, ktoré ľudia používajú. Sú viaceré možnosti, ako sa s tým vysporiadať. Prvou je password manažér, ktorý dokáže spravovať všetky heslá a stačí si zapamätať len heslo do password manažéra.
Druhou, povedzme horšou možnosťou, s ktorou sa však dá relatívne bezpečne pracovať, je rozdelenie služieb podľa toho, akým typom informácií disponujú. Pre kritické služby, ktoré disponujú mojimi citlivými a osobnými údajmi, si vytvorím unikátne a silné heslá. Pre služby, kde je mi to jedno, a ktorým neposkytujem osobné údaje, môžem používať jedno univerzálne heslo. V takom prípade však musí používateľ dávať pozor na to, aby v takejto službe neposkytol žiadne osobné alebo iné citlivé dáta.
Koľko znakov by malo mať silné heslo?
Všeobecne sa odporúča mať heslo zložené aspoň z ôsmych znakov, ja osobne však odporúčam vytvárať heslá aspoň s dvanástimi až šestnástimi znakmi. Ako rastie výpočtový výkon, skracuje sa čas na uhádnutie správneho hesla. Niekedy stačilo mať heslo so štyrmi znakmi, potom šiestimi a aktuálne je to osem. Ak si však heslo nechcem meniť pravidelne napríklad každé dva roky, vytvorím si heslo zo šestnástimi znakmi a mám na niekoľko najbližších rokov pokoj.
„Pre Slovákov je navyše užitočná rada, aby mali heslo určite v slovenčine. V spomínaných slovníkových útokoch ju útočníci stále nemajú dobre podchytenú, pretože Slovensko je zo svetového hľadiska príliš malý cieľ.“
Neviem si predstaviť, že by som mal šestnásťznakové heslo, ktoré by som si zapamätal.
Preto je dobré použiť frázu, ktorú si zapamätám. Frázu zloženú z viacerých slov môžem navyše používať aj v rôznych službách, pokiaľ v nej budem meniť napríklad celé slová, pričom formát zachovám. Ľahšie sa to človeku zapamätá a zároveň v hesle spraví zmenu vo viacerých znakoch.
Vieš dať aj nejaký príklad takejto frázy?
Tak napríklad pri hesle na Netflix by som si mohol dať heslo „rad pozeram filmy online“. Je to dostatočne dlhé, sú tam aj medzery a pokiaľ by si chcel byť používateľ istý, môže tam dať aj nejaký špeciálny znak – napríklad vymeniť písmeno za zavináč. Pri sociálnej sieti môžem túto frázu obmeniť, napríklad „rád komunikujem s ľuďmi cez sociálne siete“. Formát zostáva viac menej rovnaký, ale slová v hesle obmením. Ak si aj úplne nespomeniem na dané heslo, môžem si ho trošku aj dohádať.
Pre Slovákov je navyše užitočná rada, aby mali heslo určite v slovenčine. V spomínaných slovníkových útokoch ju útočníci stále nemajú dobre podchytenú, pretože Slovensko je zo svetového hľadiska príliš malý cieľ.
Medzi radami zaznelo aj využívanie dvojfaktorovej autentifikácie, pokiaľ online služba takúto možnosť ponúka. Prečo by ju mali ľudia využívať?
Dvojfaktorová autentifikácia zaručí, že ak aj náhodou nejakým zázrakom niekto uhádne moje šestnásť znakové heslo, stále mi príde do aplikácie alebo smsky dodatočný kód. Ak ho útočník nepozná a nevie zadať, nedostane sa do môjho konta ani pokiaľ pozná moje heslo.
Je bezpečné používať biometrické zabezpečenie?. Prečo sa táto možnosť preferuje napríklad pri platení mobilom?
Mnohé dnešné biometrické senzory sú naozaj kvalitné a napríklad nasimulovať odtlačok prsta stojí strašne veľa energie. Útočník by naozaj musel mať prístup k reálnemu otlačku prsta, odobrať ho napríklad cez fóliu a vytvoriť silikónový otlačok, ktorý by použil na skener. Je to komplikované, drahé a je s tým veľa roboty. To nikto robiť nebude, pokiaľ nehovoríme o extrémne sofistikovaných až nereálnych prípadoch, ktoré sa však bežného používateľa netýkajú.
Podobné je to aj s tvárovou biometriou. Napodobniť tvár človeka je strašne ťažké, samozrejme za predpokladu, že je algoritmus pre face recognition dobrý. Skúste si napríklad odblokovať iPhone cez face recognition ale tak, že sa na neho nepozeráte. Ich systém sleduje len v oku toľko bodov, že to vie rozlíšiť. Skúšali sa už rôzne útoky, no je to naozaj ťažké prelomiť. Treba si však dať pozor na konkrétnych výrobcov.
Napríklad niektoré lacné Android telefóny nemajú túto funkcionalitu až na takej úrovni a dajú sa oklamať aj obyčajnou fotografiou. Ak teda chce niekto využívať túto funkcionalitu, mal by si vybrať „high end“ zariadenie.