Taky patříte mezi lidi, co si prostě nepamatují hesla? Možná kvůli tomu máte stejné heslo pro email, sociální sítě a dokonce třeba i banku. Tenhle přístup je ale nebezpečnější než si umíte představit.
V dnešní době, kdy má každý desítky účtů (emaily, instagram aj. sociální sítě, google, netflix, cloudové služby, e-shopy atd.), je velmi praktické pro své bezpečí i zpříjemnění života používat tzv. správce hesel.
V tomto článku popíšu některé z taktik hackerů a ukážeme si jak se jim jednoduše bránit.
Proč se věnovat zabezpečení?
Prolamování hesel není jen filmová záležitost
Ať se snažíte sebevíc, nemůžete zajistit, že neselže poskytovatel určité služby, kterou používáte. Nedávný příklad z reality je Mall.cz, kdy unikly přihlašovací údaje zákazníků, naštěstí ve formě hashe. (Zjednodušeně, vy při přihlašování neodesíláte své heslo, ale jeho hash, což si můžeme představit jako otisk prstu. I když někdo odhalí otisk, jako byl únik dat u Mallu, stále neví jak vypadá váš prst, ze kterého otisk vznikl.)
Zcela zásadním faktorem je jak rychle může útočník zadávat různá hesla. Podíváme se na techniky, které se v praxi používají pro odhalování vašich přihlašovacích údajů.
Techniky prolamování hesel
Jeden ze způsobů je brute-force. Prostě se vyzkouší všechny možné kombinace. (aaaaaaaa, aaaaaaab, aaaaaaac, aaaaaaad)
To pochopitelně stojí enormní množství času a energie. Nicméně lidé jsou předvídatelní a nepoužijí heslo aaaaaaac, ale třeba asdfghjkl0123456, toneuhodnes, andalusan89T@
Proto existuje množství nástrojů, které umí tato jednoduchá hesla prolomit za zlomek času brute-force. Například se vezme databáze slov, jmen, uniklých hesel, a zkusí se kombinovat. Typické pokusy uživatelů o zlepšení síly hesla jako dát na konec vykřičník nebo vyměnit písmena za čísla (A za 4, l za 1 apod.) nejsou pro útočníky žádnou překážkou.
Použití těchto metod je natolik efektivní, že jeden ajťák (odkaz na jeho přednášku je na konci článku) prolomil 749 000 hesel za 12 hodin namísto několika let na jedno 10 místný heslo při použití brute-force.
Jak se chránit?
Jsou tři jednoduché cesty jak vytvořit heslo, které vám neukradne nadprůměrné dítě na základní škole (ano, měl jsem spolužáka, který se v 8. třídě dokázal hacknout do smartphonu).
- nepředvídatelnost
Nepoužívejte slova, ale změť znaků jako: wKdX0b5!N - délka
Kombinatorika je mocná. Jakkoli nepředvídatelné heslo o 8 znacích lze prolomit za 2 hodiny, o 9 znacích za 5 dní, o 10 znacích za téměř rok a u hesla, které bude mít 12 znaků, bude trvat 3300 let, než se vyzkouší všechny kombinace. - pestrost
Příklady s délkou se týkaly hesel z malých a velkých písmen a čísel. Když přidáme speciální znaky nebo česká písmena jako ř, ž, ě aj., heslo bude ještě mnohem bezpečnější.
Správce hesel
Problém 99 % uživatelů internetu je ale v tom, že zapamatovat si náhodné heslo o aspoň 8 znacích a na každý účet zvlášť je nadlidský úkol. Proto vznikli tzv. správci hesel.
Jedná se o extrémně zabezpečenou aplikaci, která podobně jako trezor uchová vaše data. Pak si stačí zapamatovat poslední „master password“, které bude splňovat předchozí kritéria a aplikace vám ukáže všechna ostatní hesla nebo je za vás rovnou doplní tam, kam se přihlašujete.
Jako master password osobně doporučuju použít něco z reality, co je vám blízké, a z toho si heslo odvodit. Zároveň je ale potřeba, aby to heslo nebylo až moc předvídatelné. Může to být zkrácená věta obsahující datumy nebo třeba první a poslední písmeno ze jmen vašich domácích mazlíčků (Puňta, Alík, Rozárka, Riko => -Pa:aK5Ra1rO) Záleží jen na vaší fantazii.
Nemusíte se bát, že byste takovou šílenost psali každý den. Většina správců hesel funguje přes biometriku, na otisk prstu, sken obličeje, nebo dnes i oční sítnice.
Shrnutí
V dnešní době jsou hackeři napřed a pravděpodobně to tak ještě nějakou dobu bude. Častý omyl je, že zrovna vy jim za to nestojíte, nicméně jim nejde o vás osobně, jako spíš o jednu z desetitisíců potenciálních obětí, které mohou ukrást data, peníze, stalkovat je nebo dělat jiné škodlivé věci.
Když uděláme jednoduchá opatření, že nebudeme opakovat hesla a budeme je mít silná a nepředvídatelná, většina běžných hackerů a případná selhání společností, nás neohrozí.
Rád pomůžu s nastavením vašeho správce.
Materiály:
Stránka na test síly vašeho hesla
Stránka shromažďující úniky – je možné ověřit jestli jste byli napadení
Správci hesel, které používám já: Lastpass, Apple Keychain
Moc zajímavé, díky, zachránil jsi mi momentálně všechny moje kritické infrastruktury, kam se přihlašuji
I was pretty pleased to discover this great site. I want to to thank you for ones time due to this fantastic read!! I definitely appreciated every part of it and I have you book marked to look at new stuff on your web site.
Отличный материал, спасибо.
I’m sorry for deleting the second part of your comment. Advertising out of topic wouldn’t be there. But thank you for reaction.