Ako často by ste si mali meniť heslá?

Cybernews, Digitálne hrozby 4. júla 2024
Ako často meniť heslá náhľadový obrázok obrázok ESET

Ako často meniť heslá? Odpoveď na túto otázku nie je taká jednoduchá, ako sa možno zdá. V tomto článku sa dozviete, čo všetko by ste mali zvážiť, pokiaľ ide o bezpečnosť vašich účtov.

V posledných rokoch sa veľa hovorilo o rastúcom potenciáli overovania bez hesla a prístupových fráz. Vďaka veľkej prevahe používania metódy rozpoznávania tváre na smartfónoch je dnes pre mnohých z nás možnosť prihlásiť sa do obľúbených aplikácií alebo iných služieb pohľadom na zariadenie (alebo iným typom biometrickej autentifikácie) jednoduchý a bezpečný spôsob. Stále to však nie je pravidlom, najmä vo svete počítačov, kde sa väčšinou stále spoliehame na staré dobré heslá.

Problém tkvie práve tu – heslá sú stále hlavným cieľom podvodníkov a ďalších útočníkov. Ako často by sme mali tieto údaje meniť, aby boli bezpečné? Odpoveď na túto otázku môže byť zložitejšia, ako si myslíte.

ODPORÚČANÝ ČLÁNOK
Iba silné heslo už nestačí. 6 tipov, ako sa obrniť pred hackermi

Prečo zmeny hesiel nie sú vždy najlepší nápad

Ešte nedávno sa odporúčalo pravidelne striedať heslá s cieľom znížiť riziko ich skrytej krádeže alebo prelomenia kybernetickými zločincami. Všeobecne sa hovorilo o rozmedzí 30 až 90 dní.

Časy sa však menia a výskumy naznačujú, že časté zmeny hesiel, najmä podľa stanoveného harmonogramu, nemusia nevyhnutne zvýšiť bezpečnosť účtu. Inými slovami, neexistuje univerzálna odpoveď na otázku, kedy by ste mali svoje heslá meniť. Mnohí z nás majú príliš veľa online účtov, aby sme o nich mali prehľad. Navyše žijeme vo svete správcov hesieldvojfaktorovej autentifikácie (2FA), ktoré sú dostupné už takmer všade.

Správca hesiel ukladá dlhé, silné a jedinečné heslá pre každý účet, bez toho, aby si ich používateľ musel pamätať. Dvojúrovňové overovanie zasa pridáva procesu prihlasovania pomocou hesla pomerne bezproblémovú dodatočnú úroveň zabezpečenia. Niektorí správcovia hesiel majú tiež zabudované monitorovanie dark webu, ktoré automaticky označí prípady možného zneužitia a šírenia prihlasovacích údajov na ilegálnych stránkach.

V každom prípade existujú presvedčivé dôvody, prečo bezpečnostní experti a celosvetovo uznávané autority, ako napríklad Národný inštitút USA pre štandardy a technológie (NIST) a britské Národné centrum kybernetickej bezpečnosti (NCSC), neodporúčajú, aby si ľudia nasilu menili heslá každých niekoľko mesiacov, pokiaľ nie sú splnené určité kritériá.

Dôvod je pomerne jednoduchý:

  • Podľa inštitútu NIST majú používatelia tendenciu vyberať si slabšie heslá, keď vedia, že ich budú musieť v blízkej budúcnosti zmeniť.
  • NIST dodáva, že keď dôjde k takýmto zmenám, ľudia si často zvolia heslo, ktoré je podobné ich starému zapamätanému heslu, a to použitím súboru bežných premien, ako je napríklad navýšenie čísla v hesle.
  • Tento postup poskytuje falošný pocit bezpečia, pretože ak bolo predchádzajúce heslo skompromitované a vy ho nenahradíte silným a jedinečným heslom, útočníci ho môžu ľahko prelomiť znova.
  • Podľa NCSC je tiež pravdepodobnejšie, že nové heslá, najmä ak ich vytvárate každých niekoľko mesiacov, si budete musieť zapisovať, prípadne ich zabudnete.

NCSC tvrdí, že ide akýsi kontraintuitívny scenár zabezpečenia; čím častejšie sú používatelia nútení meniť heslá, tým vyššia je šanca vystavenia útokom. Ukázalo sa, že to, čo sa zdalo byť úplne rozumnou a dlhodobo osvedčenou radou, neobstojí pri dôslednej analýze celého systému.

NCSC teraz organizáciám odporúča nevynucovať pravidelné menenie hesiel. Dôvodom je možné zníženie počtu zraniteľností spojené s pravidelnou zmenou hesiel a zároveň len nepravdepodobné navýšenie rizika dlhodobého zneužívania hesiel.

Kedy meniť heslá?

Existuje niekoľko situácií, ktoré si predsa len vyžadujú zmenu hesla, najmä ak ide o najdôležitejšie účty. Napríklad:

  • Vaše heslo bolo súčasťou úniku údajov tretej strany. Pravdepodobne vás o tom bude informovať samotný dodávateľ, prípadne služba, ako je  Have I Been Pwned, ak ste sa prihlásili na odber takýchto oznámení, alebo vás môže upozorniť poskytovateľ správcu hesiel, ktorý vykonáva automatické kontroly dark webu.
  • Vaše heslo je slabé a ľahko uhádnuteľné alebo prelomiteľné (mohlo sa objaviť na zozname najčastejších hesiel). Hackeri môžu používať špecializované nástroje určené na automatizáciu procesu skúšania rôznych hesiel v rôznych účtoch v nádeji, že jedno z nich bude fungovať – a často aj uspejú.
  • Heslo ste opakovane používali vo viacerých účtoch. Ak dôjde k narušeniu zabezpečenia niektorého z týchto účtov, útočníci môžu použiť automatizovaný softvér určený na tzv. sprejovanie hesiel s cieľom otvoriť váš účet na iných stránkach/aplikáciách.
  • Bezpečnostný softvér vás upozornil, že vaše zariadenie infikoval malvér.
  • Svoje heslo ste zdieľali s inou osobou.
  • Nedávno ste odstránili ľudí zo spoločného účtu (napr. bývalých spolubývajúcich).
  • Prihlásili ste sa na verejnom počítači (napr. v knižnici) alebo na zariadení/počítači inej osoby.
ESET HOME Security Essential 3d box článok banner

ESET HOME Security Essential

Komplexná digitálna ochrana. Bezstarostné platby a zabezpečenie súkromia vďaka funkciám, ako je anti-phishingová ochrana a ochrana Wi-Fi. 

Preskúmajte všetky funkcie

ESET HOME Security Premium

Zvýšte svoju ochranu pomocou nástroja Password Manager, šifrovania citlivých súborov a špičkovej detekcie hrozieb.

Preskúmajte všetky funkcie

ESET HOME Security Ultimate

Získajte najlepší dostupný plán zabezpečenia doplnený o VPN a funkciu Čistenia metadát a buďte bez obáv.

 Preskúmajte všetky funkcie

Osvedčené postupy týkajúce sa hesiel

Na to, aby ste minimalizovali pravdepodobnosť prevzatia kontroly nad účtami, zvážte nasledujúce kroky:

  • Vždy používajte silné, dlhé a jedinečné heslá.
  • Ukladajte heslá do správcu hesiel.
  • Dávajte si pozor na upozornenia týkajúce sa uniknutých hesiel a po ich prijatí podniknite okamžité kroky.
  • Aktivujte dvojfaktorovú autentifikáciu. všade, kde je dostupná. a pridajte tak svojmu účtu dodatočnú vrstvu ochrany.
  • Ak je to možné, zvážte povolenie prístupových kľúčov na jednoduchý a bezpečný prístup k svojim účtom pomocou telefónu.
  • Posúďte pravidelný audit hesiel: skontrolujte si heslá pre všetky účty a uistite sa, že nie sú duplicitné alebo ľahko uhádnuteľné. Zmeňte všetky, ktoré sú slabé alebo sa opakujú, prípadne tie, ktoré môžu obsahovať osobné informácie, ako sú dátumy narodenia alebo mená rodinných maznáčikov.
  • Heslá neukladajte do prehliadača, hoci sa to zdá ako dobrý nápad. Prehliadače sú totiž obľúbeným cieľom útočníkov, ktorí môžu prostredníctvom malvéru kradnúceho informácie získať vaše heslá. Takisto by sa vaše uložené heslá sprístupnili komukoľvek inému, kto používa vaše zariadenie či počítač.

Ak nepoužívate náhodné a silné heslá, ktoré vám navrhol správca hesiel (alebo generátor hesiel spoločnosti ESET), pozrite si tento zoznam tipov od americkej agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA). Jedným z tipov je používať čo najdlhšie heslo alebo prístupovú frázu (8 – 64 znakov) s malými a veľkými písmenami, číslami a špeciálnymi znakmi.

Do budúcnosti sa očakáva, že prístupové kľúče – s podporou spoločností Google, Apple, Microsoft a ďalších významných technologických hráčov – časom navždy ukončia éru hesiel. Dovtedy je však dôležité udržať si čo možno najvyššiu úroveň zabezpečenia účtov.

Spracoval: tím ESET
Zdroj: WeLiveSecurity – Phil Muncaster: How often should you change your passwords?

Odporúčané články

únik hesiel ilustračný obrázok ESET
Cybernews, Digitálne hrozby 2. septembra 2024
Ako odhaliť, či vaše heslá unikli na internet?
Aktuality, Cybernews 21. augusta 2024
ESET a Pellegrini lákajúci na zázračné zbohatnutie. Ako podvodníci zneužívajú pomocou AI známe osobnosti či firmy?