Heslá naše každodenné

Posledné mesiace sa neustále objavujú informácie o úspešných prienikoch a to aj do organizácií, ktoré pre väčšinu predstavovali nedobytnú pevnosť. Napriek dlhodobým varovaniam odborníkov sa ukazuje, že väčšina populácie pristupuje k ochrane svojich informácií laxne.

K tomu samozrejme patrí aj nesprávny výber hesla, ako aj jeho zlá správa. Podľa nedávnej štúdie (pdf) až 73% užívateľov používa rovnaké heslo ako pre prístup do bankového konta na minimálne jednom ďalšom webe. Takmer polovica používa rovnaké prihlasovacie údaje aj pre iné portály.

Toto je dobre známa realita aj bez výskumov. Často dokážu útočníci využiť databázy z rôznych, na prvý pohľad nelukratívnych útokov. Vďaka funkčnému predpokladu, že približne polovica ľudí používa rovnaké prihlasovacie údaje aj inde (často je najzaujímavejší email), získa útočník prístup presne tam, kam potreboval. A napriek tomu, že v našich končinách banky využívajú pre prístup ďalšie verifikačné prvky, možností zneužitia každým dňom pribúda. Dobrým príkladom je systém PayPal, ktorý po prelinkovaní bankového konta (resp. platobnej karty) umožňuje získať prostriedky priamo z účtu a to bez dodatočnej autorizácie. Tento systém pre autentifikáciu využíva len email a heslo. Ak teda zvolíte heslo rovnaké ako pre email a k tomuto sa podarí dostať zlodejovi, môžete prísť o viac ako len súkromné informácie.

Štandardná “poučka” pre tvorbu hesla je:

Voľte si také heslo, ktoré nedokáže odhadnúť ani osoba, ktorá vás pozna najlepšie. Heslo by malo byť čo najdlhšie a nemalo dávať vôbec žiadny zmysel. Heslo by malo byť pre každý portál jedinečné, skladať sa s veľkých a malých písmen, znakov a čísel.

Drvivá väčšina ľudí však len potrasie hlavou. Naučiť sa desiatky, dnes už aj stovky hesiel, ktoré budú rozdielne a budú zároveň spĺňať aj spomenuté kritérium je takmer nemožné. Preto väčšina volí heslá, ktoré si dokážu zapamätať a ktoré si dokážu vybaviť vždy, keď ho potrebujú.

Tvorba hesla

Vytvoriť si zložité, na prvý pohľad nelogické heslo a zároveň si ho zapamätať nemusí byť žiadny problém. Stačí si vytvoriť postup, ktorý si pohodlne zapamätáte a budete sa ním riadiť pri každom vytváraní a vlastne aj prihlasovaní. Tu je jeden z príkladov:

• Na začiatok potrebujete vetu, ktorú si vždy vybavíte. Napríklad vaša obľúbená hláška z filmu, otázka, čokoľvek, čo si dokážete vybaviť kedykoľvek. Napíšte si ju bez diakritiky na kúsok papiera (ten budete musieť na konci ale zjesť, takže možno si ju len povedzte).
• budes princom vo vlastnom kralovstve
• Ak je aj vaša veta tak dlhá, ako moja, môžete ju skrátiť. Ak je ešte dlhšia, môžete si vybrať len prvé, druhé, či tretie písmená, atď.
• budes princom v kralovstve
• Teraz nahraďte niektoré znaky napríklad inými písmenami, číslami a inými znakmi. Vždy nahrádzajte ako prvé medzery.
• bIdes_pIincom_v_kIalovste
• Ako môžete vidieť, ja som nahradil každé druhé písmeno každého slova veľkým písmenom I a medzery znakom _. Dobré je pridať aj čísla, a možno aj iné znaky, napríklad !)(:. atď.
• bId3!_pI1nco!_v_kIa1ov5t!
• Znaky môžete prídavať aj iba na koniec, začiatok, atď. Heslo môžete začať používať už aj v tejto podobe, no problémom je, že je opäť len jedno a to isté. Takto by ste sa však rýchlo ocitli znova na tom istom. Pamätať si desiatky viet určite nebudete a preto je potrebné pridať “plávajúcu” zložku do hesla, resp. ňou nahradiť časť existujúceho hesla. Túto zložku pre vás môže predstavovať aktuálny web, na ktorom sa práve nachádzate.
• bId3!_pI1nco!_v_okIa1ov5t!syn
• Nič zložité vymýšľať netreba. Ja som na koniec pripísal len prvé tri písmena webu, teda syn. Ak by som podľa tejto logiky robil heslo pre facebook, vyzeralo by takto: bId3!_pI1nco!_v_okIa1ov5t!fac

Áno, aj tento systém vás nemusí ochrániť, ak sa útočníkovi podarí dostať sa k viacerým vašim heslám naprieč viacerými portálmi. Potom sa dá postup zmeny hesla odvodiť a opäť môže znamenať problém. Je len na vás, aký systém tvorby hesla si vytvoríte. Pamätajte si, že heslá by mali byť dlhé minimálne 10 znakov a mali by byť zložené z čísel, veľkých i malých písmen a špeciálnych znakov. Nie je podstatné, koľko bude ktorých, stačí ak bude celé heslo obsahovať po jedno veľké písmeno, jeden znak a jedno číslo. I tak sa heslo stane oveľa zložitejším a vám prinesie vyššiu bezpečnosť.

Správa hesiel

Ak však chcete zaručiť skutočnú bezpečnosť hesiel, je potrebné siahnuť po generátore hesiel a pseudo-náhodne si generovať heslá. Na tento účel si môžete vybrať z dnes už rozmanitej škály správcov, ja vymenujem len zopár z nich.

KeePass
Bezplatný správca hesiel, ktorý sa jednoducho používa, umožňuje synchronizovať heslá medzi viacerými počítačmi, ponúka šifrovanie hesiel na disku a prístup cez hlavné heslo. Je dostupný pre mnoho typov mobilov, i OS pre PC. Je samozrejme aj prenositeľný a použiteľný na USB kľúči.

RoboForm
Môj obľúbený, no platený správca hesiel. Ponúka synchronizáciu medzi kontami, online správu hesiel, šifrovanie hesiel na disku s prístupom cez hlavné heslo. Je dostupný pre všetky platformy a prehliadače. Práve prehliadače sú podstatné, keďže RoboForm na vás “vyskočí” vždy na tom webe, kde máte uložené heslo a zároveň sa potrebujete prihlásiť. Tým veľmi zjednodušuje prácu s heslami. Je samozrejme aj prenositeľný a použiteľný na USB kľúči. Jeho cena je 25 €.

Passpack
Ďalšou možnosťou je Passpack, ktorý som používal v jeho začiatkoch. Začínal ako online úložisko hesiel, dnes už ponúka aj aplikácie pre mobily i PC. Ani on nie je však zdarma, je obmedzený na množstvo hesiel, ktoré si môžete online uložiť a podľa toho sa odvíja aj jeho cena.

Na trhu existuje mnoho ďalších, tieto som však vyskúšal a mnohí z môjho okolia ich používajú s vysokou mierou spokojnosti. Je už len na vás, po ktorom produkte siahnete.

K správe hesiel neodmysliteľne patrí aj narábanie s heslami. Je potrebné držať sa niekoľkých pravidiel, aby sa heslo nedostalo do nepovolaných rúk, i keby pasovalo len na jediný portál, či službu.

• Heslá si nepíšte na papierik, do žiadnych textových súborov. Používajte správcov hesiel
• Snažte sa nezadávať heslá na cudzích počítačoch
• Nikdy neposielajte heslo emailom a ani neodpovedajte na žiadnu žiadosť o vaše heslo
• Nevyzrádzajte heslo rodine, priateľom či známym. Ak už musíte, nikdy neprezradte systém, ako ste si heslo vytvorili

Dúfam, že vám budú tieto odporúčania nápomocné a ak si ich osvojíte, vyhnete sa v budúcnosti skutočne nepekným problémom.

ZDROJ: BLOG.SYNOPSI.COM