Na internet se přesouvá stále větší část našeho osobního i pracovního života. Jelikož ajťáci ještě nepřišli s lepším systémem ověřování na internetových službách, než jsou přihlašovací jména a hesla, budeme to s nimi muset ještě chvíli vydržet. Hodí se tak mít na paměti několik pravidel, kterých je dobré se držet, když se registrujeme k nějaké nové službě a přihlašovací údaje si vymýšlíme.
Že si hesla nezapisujeme na papírek nalepený na monitoru nebo připnutý na nástěnce, to už dnes snad všichni bereme jako samozřejmost. :-)
Chraňte si zejména nejdůležitější služby
Mezi nejdůležitější služby, které by měly mít silná hesla doplněná o další způsoby zabezpečení (povíme si o nich za chvíli) je v první řadě přístup k e-mailové schránce.
Do ní totiž chodí odkazy k zapomenutým heslům všech dalších služeb. Dobře zabezpečit se hodí i internetové bankovnictví. Jde přece o peníze. Banky tomu jdou naproti a do zabezpečení zahrnují ověření přes aplikaci v mobilním telefonu.
Zabezpečte i své účty na sociálních sítích – nechcete přece, aby se za vás někdo vydával. Veselé statusy přidané vaším jménem třeba tolik nevadí, ale útočníci někdy žádají jménem unesených účtů přátele o peníze, což už je nepříjemné.
Nikdy nepoužívejte stejné heslo vícekrát
Aby nás služba mohla ověřit, musí si naše heslo pamatovat také. Některé služby to dělají bezpečně, jiné to moc dobře nedělají. Například služba, která vám pošle vaše zapomenuté heslo viditelně do e-mailu, to dělá špatně.
Problém nastane, když nějaké službě uniknou data o uživatelích. To se děje hodně často i firmám v Česku. Pokud služba ukládá data špatně, útočníci se mohou snadno dostat ke kombinaci uživatelských jmen, e-mailových adres a hesel.
Takové seznamy pak útočníci zkoušejí na jiných službách. Nejjednodušší je vyzkoušet uniklé heslo k e-mailové schránce uniklé adresy. Pokud uživatel používá stejné heslo i tady, má zaděláno na problém – útočník má přístup ke všem jeho e-mailům, a co je horší, přes funkci „Zapomenuté heslo“ i k celé řadě dalších služeb registrovaných pod stejnou e-mailovou adresou.
Pořiďte si správce hesel
Kdo si má ale takovou hromadu silných hesel pamatovat? Odpověď je překvapivě jednoduchá – existují programy, kterým se říká správci hesel. K nim vytvoříte jedno opravdu silné heslo, a ony si všechna ostatní už pamatují za vás.
Lepší správci mívají i podporu pro více zařízení (počítače se systémy Windows, MacOS i Linux, mobilní telefony s Androidem i iOS) a doplňky pro internetové prohlížeče. Můžete tak mít svá hesla jak v počítači, tak v telefonu, a vyplňovat je na internetových službách bezpečně a pohodlně třeba na dvě kliknutí.
Jak čistit domácí elektroniku
Telefon a klávesnice jsou 18× špinavější než toaleta. Nezapomínáte je čistit?
Správců je celá řada, některé jsou zdarma, jiné jsou placené. Ty největší už mají data sdílená v cloudu (to je datové úložiště dostupné odkudkoliv po internetu), u těch menších (a levnějších) lze hesla sdílet pomocí Dropboxu, Google Drive nebo jiného on-line úložiště souborů. Některé nabízejí sdílení hesel mezi členy rodiny nebo pracovního týmu.
Jak si vybrat správce hesel?
Z konkrétních příkladů mohu doporučit třeba placené 1Password, LastPass, DashLane nebo Sticky Password, zdarma Firefox Lockwise nebo KeePass.
Jak vytvořit silné heslo
Silné heslo by mělo být náhodné, dlouhé a, jak jsme si už řekli, unikátní. Nemělo by se nijak spojovat s vaší osobou nebo se službou, u které je použito.
Silné heslo umí vytvořit přímo dobrý správce hesel. Jelikož si takové heslo nemusíme pamatovat (dělá to za nás správce), může být dlouhé (klidně přes 16 znaků) a může obsahovat písmena obou velikostí, čísla i speciální znaky (například ?:@#$%^&*).
Jak ale vytvořit hlavní heslo pro správce hesel? Takové, aby bylo dost silné a zároveň zapamatovatelné? Správci hesel neomezují délku hlavního hesla, můžeme tedy místo hesla použít „bezpečnostní frázi“ – spojení nejméně 6 náhodných slov za sebou, s mezerami, háčky a čárkami (jen pozor, abyste takové heslo byli schopni napsat třeba i na anglické klávesnici).
Pro vytvoření takového hesla existuje krásná metoda s hracími kostkami, jmenuje se Diceware:
Základem Diceware je seznam slov očíslovaných pěticí číslic od 1 do 6. Abychom získali jedno slovo, hodíme si pětkrát kostkou. Pokud bychom naházeli čísla 36235, v seznamu výše dohledáme slovo obočí. Postup opakujeme šestkrát, a tím získáme šest náhodných slov, která jsou nám ale povědomá a snadněji si je zapamatujeme.
Kompletní heslo může tedy třeba vypadat nějak takto:
- 15351 36235 36626 25443 32415 66434
- datum obočí okno kecat loupež zvíře
Toto konkrétní heslo z příkladu už ale nepoužívejte, nebude unikátní. :-) Takto silné heslo není chybou zapsat na papír, nikde nevystavovat a po naučení ho někde skrytě, bezpečně a důvěryhodně uložit – v obálce u rodičů, dospělých dětí, u notáře nebo v bankovní bezpečnostní schránce.
Použijte dvoufázové ověření
Dvou nebo vícefázové ověření přidává další vrstvu zabezpečení tím, že kombinuje to, co si pamatujete (tedy kombinaci jména a hesla) s něčím, co máte (třeba aplikaci v mobilním telefonu).
Můžete si je představit třeba taky jako výběr z bankomatu ‒ znáte PIN a máte platební kartu. Naprostá většina velkých poskytovatelů internetových služeb toto ověření poskytuje a u těch důležitých, jako je třeba e-mailová schránka nebo internetové bankovnictví, bychom ho měli vždy zapnout a nastavit. Internetová bankovnictví jsou jím už většinou chráněna rovnou.
Banky pro ně používají vlastní aplikace pro chytré telefony, někteří správci hesel mají podporu také zabudovanou. Případně jde použít obecnou aplikaci, jako je třeba Google Authenticator nebo Authy. Při zapnutém dvoufázovém ověření pak ještě po zadání hesla v telefonu klikneme na potvrzovací tlačítko, nebo přepíšeme z telefonu jednorázový kód, který je většinou platný jen 30 vteřin.
Jako dvoufázové ověření se někdy používá i zasílání kódu přes SMS, ale od toho se postupně upouští, protože převzít něčí telefonní číslo za asistence operátora může být až překvapivě snadné.
Nastavením vás každá služba provede. Takto třeba popisuje nastavení dvoufázového ověření nápověda Seznamu.
Sociální inženýrství
Někdy je jednodušší oklamat člověka než vydolovat údaje ze stroje. Možná znáte podvodné e-maily, které vás nutí, abyste se přihlásili k nějaké službě, protože váš účet je ohrožen. Jenže přihlašovací formulář nemá se službou nic společného, jen stejně vypadá. Když se přihlásíte, pouze pošlete své heslo útočníkovi.
Podobně se může útočníkovi podařit získat vaše údaje k nějaké službě tak, že se za vás vydávají před podporou dané služby. Alespoň trochu dobrou zprávou je, že každý větší útok donutí poskytovatele upravit své postupy a chování, takže by každý další měl být o to složitější.
6 tipů na závěr:
1. Neukládejte hesla v prohlížeči
Rozhodně ne bez dalších opatření, jako je nastavení hlavního hesla. V zásadě k tomu ale není důvod, pokud už používáte správce hesel. Hesla bychom každopádně měli vyplňovat jen na vyžádání. Hesla uložená přímo v prohlížeči se vyplňují už na načtení stránky a zobrazit takové heslo je otázka několika kliknutí a přepsání jednoho slova.
2. Hesla nesdělujte a ta osobní nesdílejte
To platí pro lepicí papírky na monitoru i posílání hesel ústně, e-mailem nebo jinou nešifrovanou formou.
3. Měnit hesla, nebo neměnit?
V pravidelné změně hesel se schovává jeden podstatný problém. Uživatelé často jen změní číslo na konci, nebo jinak drobně upraví heslo předchozí. Takové nové heslo pak bývá velmi slabé a jednoduše ohadnutelné. Tímto způsobem je lepší hesla neměnit. Pokud ale necháváme svá hesla vymýšlet správce hesel, tento nedostatek se nás netýká a na občasné nepravidelné změně hesel není nic špatného, naopak naši bezpečnost mírně zvyšuje.
Určitě co nejdříve změňte heslo vždy, když vás k tomu provozovatel internetové služby vyzve.
4. Bezpečnostní otázky využívejte chytře
Internetové služby dnes už od bezpečnostních otázek ustupují, ale pokud je po vás nějaká služba bude přece jen chtít, odpovědi na ně také náhodně vygenerujte správcem hesel a uložte si je ve správci k heslu. Rozhodně na ně neodpovídejte pravdivě – otázky bývají osobní a najít na ně odpovědi pomocí sociálního inženýrství (na sociálních sítích, od přátel nebo známých, nebo přímo od vás) bývá zpravidla hodně jednoduché.
5. Na sdílených počítačích se vždy odhlašujte
Nikdy nevíte, kdo a kdy k počítači přijde po vás. Když zůstanete přihlášení, servírujete neřádům svoje data na stříbrném podnose.
6. Počítač zamykejte
Jste s notebookem na veřejném místě? Odcházíte od počítače v kanceláři? Počítač zamkněte. Ubráníte se hloupým vtípkům kolegů, v horším případě ztrátě dat nebo přístupu ke svým účtům.
