BEZPEČNOST OSOBNÍCH INFORMACÍ - Bezpečná hesla jsou základním kamenem počítačové bezpečnosti. Používání jednoduchých hesel pro soukromé účely poškodí pouze samotného neopatrného uživatele. Neukázněný zaměstnanec ale může slabým přístupovým heslem do podnikové sítě poškodit celou firmu.
Chránit přístup do soukromého i pracovního počítače, internetového bankovnictví nebo e-mailových schránek kvalitním silným heslem patří mezi nejzákladnější pravidla počítačové bezpečnosti. Lidé svěřují počítačům velmi citlivá data, jejichž zneužití může mít podobu například vykradeného bankovního účtu či ztráty důležitých firemních dat. Přesto není ještě dnes výjimkou, že důležité aplikace chrání hesla typu „petricek“, „kyticka“, „heslo“ nebo „00000“. Pro šikovného hackera je prolomení takového hesla směšnou záležitostí.
Uživatelé totiž často pravidla pro tvorbu hesel buď neznají, nebo se jimi neřídí a rizika podceňují. V českém firemním prostředí je tento jev častější než v informačně vyspělejších zemích. „Oblast bezpečnostní osvěty v Česku není příliš rozvinuta. Tahouny jsou zde jednoznačně nadnárodní společnosti, které v zahraničí osvědčené programy vzdělávání přinášejí mezi své místní zaměstnance,“ tvrdí Jakub Jiříček z bezpečnostní firmy Symantec. České firmy podle něj na bezpečnost dbají mnohem méně. O vzdělávání zaměstnanců v této oblasti zatím nemají zájem. Příčinou je i skutečnost, že se v Česku dosud neodehrál žádný velký případ ukradených či zneužitých firemních dat. Nebo jej poškození pečlivě ututlali.
Heslem vytvořeným z křestního jména manžela, manželky či dítěte nebo datem narození schopnému hackerovi rozhodně hlavu nezamotáte. Pokud totiž o firemní data opravdu stojí, budou tyto údaje první, které vyzkouší. Proto se taková hesla nazývají „slabá“. „Používáním slabých hesel riskujete, že osoba, která uvedené údaje zná, může být s prolomením hotova během pár minut. A to bez použití jakéhokoliv specializovaného softwaru,“ upozorňuje Mirek Holý ze společnosti Actinet Informační systémy.
Hackera potrápí silná hesla
Podobně snadné je ale i prolomit heslo tvořené běžně používaným slovem. Slouží k tomu takzvaná slovníková metoda. „Hackeři používají předem připravené seznamy slov, která by se obecně za hesla hodila. Speciálně vytvořený program pak tato slova zkouší používat v systému, do kterého se snaží vlomit,“ vysvětluje Jakub Jiříček ze Symantecu.
Naopak silná hesla dají zabrat i zkušenému hackerovi. Pro jejich tvorbu existuje několik základních pravidel. Především nesmí vycházet ze známých slov. „Silné heslo obsahuje malá i velká písmena, číslice, symboly (například @#$%*) a je dlouhé nejméně 8 znaků,“ upřesňuje Holý. Může tedy vypadat třeba takto: HdB5w@JS. S podobným řetězcem znaků si už slovníková metoda neporadí. K prolomení je proto potřeba použít „hrubou sílu“. „Útoky hrubou silou namísto slovníků možných hesel samy generují posloupnosti všech možných kombinací znaků a testují, jestli výsledek neuspěje v systému jako platné heslo,“ popisuje Jiříček.
Vzhledem k obrovskému množství kombinací je však třeba použít výkonný počítač. I pak prolomení trvá mnohem déle. Proto hackeři k získání silných hesel často používají spíše takzvaného sociálního inženýrství – například v telefonu se vydávají za firemního správce sítě a žádají heslo pro nutné opravy.
V případě špatně chráněného internetového bankovnictví nebo soukromé e-mailové schránky na svou nedbalost doplatí pouze dotyčný uživatel. Mnohem horší je ale ignorování bezpečnosti zaměstnanci ve firmě. To totiž poškodí v první řadě právě firmu. Proto odborníci podnikům doporučují, aby si používání silných hesel „vynutily“. Většinu dnes používaných aplikací totiž lze nastavit tak, aby jiné než silné heslo od uživatele nepřijala. Stejně tak by podle Mirka Holého měly firmy své zaměstnance poučit, jak lze silná, ale přesto dobře zapamatovatelná hesla vytvořit.
PRAVIDLA PRO BEZPEČNOST HESEL
• používejte jen silná hesla, složená minimálně z osmi znaků, velkých i malých písmen, číslic a symbolů
• pro každou aplikaci stanovte samostatné heslo, nepoužívejte jedno pro více aplikací
• pravidelně heslo obměňujte – u důležitých aplikací alespoň třikrát ročně, u ostatních jednou ročně
• hesla si nezapisujte na volně přístupné papírky a neukládejte je do počítače nebo mobilu bez zašifrování
• nikomu svá hesla neprozrazujte
Nejčastější chyby
Podle Vladimíra Brože z bezpečnostní firmy McAfee patří mezi nejzávažnější z chyb používání stejného hesla pro více aplikací. Pokud se pak takové heslo podaří prolomit, otevřou se hackerovi najednou všechny „dveře“. „Již mnohokrát se stalo, že například z diskuzního portálu unikl seznam uživatelů i s hesly. Pokud někdo používá stejné heslo, a nedejbože i přihlašovací jméno pro svůj e-mailový účet, účet u mobilního operátora anebo dokonce pro přístup do podnikové sítě, snadno může dojít k velkým nepříjemnostem,“ dodává Jakub Jiříček.
Dalším pravidlem, se kterým si velká část uživatelů příliš neláme hlavu, je pravidelné obměňování hesel. To by mělo být samozřejmostí zejména u hesel, chránících obzvláště citlivá data. „Pro přihlašování do podnikové sítě se obvykle hesla mění jednou za jeden až tři měsíce, pro soukromý freemail ale vystačíte s jednou změnou ročně,“ doporučuje Jiříček. Posledním častým nešvarem je nesprávné uchovávání hesel. „Hesla na žlutých papírcích nalepených na monitoru, seznamy jmen a hesel na papíře nebo v notýsku v horní zásuvce u pracovního stolu či samolepka zespodu na klávesnici jsou nejčastějšími zlozvyky,“ vypočítává Jakub Jiříček.
Společnost McAfee provedla v evropských zemích průzkum, který se týkal právě bezpečnosti hesel. Výsledky naznačují, že k této problematice nepřistupují laxně jen Češi. Podle výzkumu je nejčastějším bezpečnostním prohřeškem neobměňování hesel. To přiznala například polovina dotázaných ve Francii a Španělsku a více než třetina uživatelů v Itálii, Německu nebo Velké Británii. Používání jediného, „univerzálního“ hesla odhalil průzkum také u pětiny až třetiny uživatelů. Naopak o silných heslech je povědomí lepší. Podle údajů McAfee je ve většině zkoumaných zemí používají přibližně čtyři pětiny uživatelů.
Kdo si to má pamatovat?
Jednou z nepříjemností spojených se silnými hesly je zejména jejich špatná zapamatovatelnost. Málokdo totiž udrží v hlavě delší dobu několik nečitelných shluků znaků jako KfZW@2Hj. Oslovení experti proto doporučují rozdělit je na hesla k důležitým a méně důležitým aplikacím. „Hesla k aplikacím, kde jde o peníze, doporučuji mít pouze v hlavě,“ navrhuje Mirek Holý. „Naopak seznam méně důležitých hesel například k freemailovým schránkám lze mít uložen na pevném disku počítače nebo v mobilním telefonu,“ dodává Holý.
Samozřejmostí je podle něj si tento seznam zašifrovat, ochránit heslem, a to si už nikam nezapisovat. K ještě větší opatrnosti vybízí Jakub Jiříček. „Pokud potřebujete j
istotu mít důležitá hesla někde zapsaná, zvolte šifrované a bezpečné úložiště chráněné tokenem (elektronický klíč generující unikátní heslo pro každý vstup do aplikace – pozn. red.), otiskem prstu nebo kombinací hesla a PIN,“ říká Jiříček.
Jinou cestou je využívat při tvorbě hesla mnemotechnické pomůcky. Nejčastější metodou je použití dobře zapamatovatelné věty, z níž si vybereme několik písmen. „Například lze použít první písmena slov z nějaké blízké věty nebo básničky, doplněná třeba letopočtem narození vašeho psa,“ vysvětluje Jiříček. Často používanou a tudíž i méně bezpečnou cestou je nahrazení některých samohlásek v běžném slově podobnými znaky. Místo písmene „a“ lze podle Jiříčka psát „@“, místo písmene „O“ nulu a podobně.
O něco komplikovanější avšak bezpečnější postup popisuje Mirek Holý. „Z věty Mám rád hudbu Wolfganga Amadea Mozarta lze vybrat první písmena slov a vznikne MrhWAM. Pak si lze stanovit pár jednoduchých pravidel. Například místo písmene A píši zavináč, po prvních dvou písmenech napíši 1, po dalších dvou 34, po dalších dvou 678 atd. Výsledné heslo je pak Mr1hW34@M678,“ popisuje Holý. Pro zapamatování takového hesla je pak podle něj postačující znát jednu frázi a svoje vlastní stanovená pravidla. Ačkoliv se celý postup může zdát velmi komplikovaný, lidský mozek se s ním podle Holého vypořádá lépe než s prostými řetězci náhodných znaků.
Pokud si i při použití podobného postupu nebudete jisti je-li heslo dostatečně silné, existuje několik způsobů, jak to ověřit. „Otestovat sílu hesla lze například na stránkách www.passwordmeter.com. Použít lze také nástroje určené k prolamování hesel, například THC-Hydra,“ doporučuje Mirek Holý. Podle Jakuba Jiříčka tyto kontrolní nástroje používají v podstatě stejné metody jako hackeři při prolamování hesel. „Na rozdíl od nich ale výsledky neukazují v čitelné podobě a tím brání jejich zneužití,“ uzavírá Jiříček.
