Ako vytvoriť silné heslo? A prečo?

5 očí, 9 očí a 14 očí… čo to znemená a kto nás to vlastne sleduje?
3. augusta 2020
Heslá sú najrozšírenejší spôsob ochrany asi všetkého na internete a veľa ľudí to aj napriek tomuto faktu naozaj podceňuje. Nie je preto žiadnym prekvapením, že celý (nelegálny) priemysel vyrástol okolo pokusov o hacknutie používateľských hesiel (alebo celých prístupových údajov). Dnes sa teda pozrieme na celkovú situáciu a potom si napíšeme, ako vytvoriť silné heslo.

Situácia okolo hesiel v roku 2020
Kedysi dávno postačovalo na ochranu vašich účtov na internete jednoduché heslo od 5 do 8 znakov, ale to bolo už dávno. Dnes sa jedno celé odvetvie venuje len tomu, aby zistili vaše heslá. Cieľom hackerov je kúpiť, ukradnúť alebo prelomiť vaše heslá kvôli tomu, aby získali prístup k vaším bankovým účtom, účtom na sociálnych sieťach, k firemným databázam a všetkému, čo by mohlo mať hodnotu pre niekoho iného (ďalších hackerov a častokrát aj marketingové spoločnosti a pod.).

Aj keď je nákup a krádež hesiel obrovským spoločenským problémom, dnes sa pozrieme hlavne na samotné heslá. Konkrétne na to, ako vytvoriť silné heslo.

Hackeri majú k dispozícií hneď niekoľko možností k hackovaniu hesiel a výpočtová technika má dostatok výkonu na to, aby tieto možnosti realizovala pomerne rýchlo. Už v roku 2012 existovali hackovacie systémy, ktoré mohli vyskúšať každé možné 8-znakové heslo do systému Windows za dobu cca 6 hodín (čiže ste za 6 hodín vedeli získať hocijaké heslo do 8 znakov). Je vám asi jasné, že dnešný hackeri majú k dispozícií naozaj dobrý/silný hardvér. A vy už viete, o ktorom hesle hovoríme. O rovnakom 8-znakovom hesle, ktoré ste od roku 2012 používali vo všetkých službách a používate ho dodnes...

Je čas posilniť svoju obranu, resp. svoje heslá.

Poznámka: Áno, táto náprava bude bolieť. Prechádzať cez každý účet a nahrádzať heslo ako „abcd1234“ silnejším heslom nebude až také zábavné. Ale zobudenie sa do pekného rána so zistením, že vaša totožnosť bola ukradnutá, alebo zistiť, že vám v online peňaženke chýba 20 000 € v kryptomene... to by bolo ešte menej zábavné.

Ak ste sa dostali až sem, môžeme predpokladať, že ste sa rozhodli o nápravu, teda o nejakú reštrukturalizáciu svojich hesiel (možno to nepotrebujete a len vás zaujíma, čo to tu píšem). Je to ale veľmi dobré rozhodnutie, takže poďme na to. Dobre, ešte jedna vec...Chcem len podotknúť, že neexistuje konsenzus o tom, ktorý spôsob generovania silných hesiel je najlepší. Ako sa sami ďalej dočítate, nie je to všetko len o najsilnejšom možnom hesle.
heslo-aes

Silné heslo je iba časť príbehu

Vieme, ako vytvoriť silné heslo: vytvoríte náhodný reťazec znakov; veľké písmená, malé písmená, číslice a interpunkcia. Vieme, ako vytvoriť silnejšie heslo: k silnému heslu pridajte ďalšie znaky. Jednoduché však, vybavené, môžete heslovať...

Šifrovacie algoritmy ako AES-256 používajú 256-bitové šifrovacie kľúče. To je zhruba ekvivalent náhodnému heslu s dĺžkou 32 znakov. Teoreticky by náhodný reťazec 32 znakov znamenal skvelé heslo. Medzi šifrovacími kľúčmi a heslami je však jeden veľký rozdiel: heslá potrebujú „ľudský nádych“.

Šifrovacie algoritmy „žijú“ v útrobách vášho zariadenia a iba samotné zariadenie vie, ako s nimi manipulovať. Heslá boli stvorené na vpisovanie do malých polí na obrazovke zaneprázdnenými, krátkozrakými a unavenými ľuďmi, ako sme vy a ja (teda ja niekedy netrafím ani to moje „jednoduchšie“ heslo). Heslá musia byť entity, s ktorými môžu ľudia manipulovať. Nielenže musíme vedieť písať tieto malé príšery, musíme si ich tiež pamätať (to veľa ľuďom robí problém, preto píšem tento článok). Na skutočnú ochranu svojich účtov je potrebné použiť iné heslo pre každý jeden účet, čo znamená, že si musíte zapamätať veľa dlhých a náhodných znakových reťazcov.

A zhoršuje sa to. V tom, ako webové stránky narábajú s heslami, existuje len malá konzistentnosť. Väčšina webových stránok obmedzuje dĺžku hesiel, ktoré akceptujú. Mnohé majú veľmi chúlostivé požiadavky na formu, ktorú môže heslo mať: požadujú napr. aspoň jeden z týchto znakov, žiadny tohto typu, prvý znak nemôže byť interpunkcia atď. Niekedy je dokonca generovanie hesla, ktoré konkrétna stránka/služba akceptuje, veľkým tŕňom v oku; tým vzniká aj menšia šanca si ho zapamätať, a aj napriek tomu to musíme nejakým spôsobom urobiť, takže začnime základmi a potom sa povenujeme všetkému ostatnému.

Čo robí silné heslo silným

Mnoho autoritatívne znejúcich ľudí poskytuje veľa (niekedy protichodných) rád o tom, čo robí heslo silným. Po preskúmaní viacerých systémov na vytváranie hesiel, ktoré sa zdali byť zdravé a vierohodné, sme dospeli k záveru, že neexistuje skutočný konsenzus o tom, čo je potrebné na vytvorenie silného hesla. Niektoré zdroje trvajú na dlhých reťazcoch náhodných znakov, iní navrhujú dlhé prístupové frázy, ďalší navrhujú prístupové frázy zložené z náhodných slov a výberom slov z uverejnených zoznamov.

Nikde sme nenašli vedecký výskum, ktorý by ukázal, že jeden prístup tvorby hesiel je nadradený inému. Na základe našich vlastných výskumov a súčasných pokynov z Národného inštitútu pre štandardy a technológie (NIST), sme vyhotovili vlastné kritériá pre vytváranie silného hesla:

Dĺžka - Čím dlhšie je vaše heslo, tým lepšie. Každý ďalší znak, ktorý do svojho hesla pridáte, znásobuje silu hesla/obtiažnosť, a tým znižuje šance, že nejaká entita (hacker alebo systém na hackovanie hesiel) heslo uhádne/zlomí. Smernice NIST navrhujú minimálnu dĺžku hesla na 8 znakov (ideálne 12 a viac znakov), používať dlhé prístupové frázy, ktoré sa ľahko zapamätajú, nie zložité heslá.

Napríklad webové stránky na testovanie obtiažnosti hesla, ako je napríklad Kaspersky password checker a my1login, hodnotia tieto heslá ako silné:

7dEgkzBk8QxwVfLoaUwV
kedsomzakopolookamen

Aj keď sú obidve silné, fráza „kedsomzakopolookamen“ sa dá ľahšie zapamätať a podľa potreby aj napísať. NIST už našťastie pre všetkých, ktorí si potrebujú svoje heslo zapamätať, neodporúča tieto „nepríjemné“ požiadavky na heslo, čiže už nemusíte mať aspoň jeden znak veľké písmeno, jeden znak malé písmeno, jedno číslo a jednu interpunkciu.

Poznámka: Zložitosť prístupovej frázy môžete zvýšiť až tak, že sa vyhnete vetám a použijete náhodné, bizarné alebo nezvyčajné slová. Menej používané frázy - ako prístupovú frázu nepoužívajte bežne známu frázu. Fráza typu „100 tabletov týždenne“ sa dá ľahko uhádnuť, pretože je tak dobre známa, bohužiaľ...

Nesúvisiace - Vyhnite sa heslám alebo prístupovým frázam, ktoré obsahujú osobné informácie. Ak hacker disponuje informáciami o vás, tak za pomoci týchto informácií môže urobiť odhady, čo robí vaše heslo oveľa menej bezpečným.

Vysvetlili sme si, ako vytvoriť silné heslo z hlavy a teraz prichádza na rad technika...
heslo-na-ruke

Neviete si zapamätať množstvo hesiel? Čo takto správca hesiel.

Existuje veľa systémov na tvorbu silných prístupových hesiel, ktoré si zapamätáte, no myslím si, že zapamätanie veľkého počtu prístupových hesiel je v dnešnej dobe strata času a energie. Prácu za vás môže úplne s prehľadom spraviť technológia. Ja osobne sa prikláňam skôr k vlastnej hlave, ale nie každý má kapacitu na také veci.

Pokiaľ nemáte čas, energiu, kapacitu pamäte a túžbu, nevidíme dôvod, aby ste si pamätali desiatky hesiel alebo prístupových fráz. Namiesto toho vám odporúčame investovať niekoľko eur do správcu hesiel. Potom si budete musieť zapamätať iba prístupovú frázu, ktorou sa musíte prihlásiť do svojho správcu hesiel. A dokonca môžete získať správcu hesiel, ktorý vám vygeneruje aj túto prístupovú frázu. K dispozícií je naozaj veľké množstvo správcov hesiel, no určite sa nespoliehajte na ukladanie hesiel v prehliadači, tie sa dajú pomerne jednoducho násjť.

Medzi najlepšie riešenia v oblasti uchovávania hesiel patria služby:
1Password
Bitwarden (zadarmo aj platený)
Dashlane (do 50 hesiel zadarmo na jednom zariadení)
KeePassXC (Open Source)
NordPass (od spoločnosti stojacej za NordVPN)
a veľmi obľúbený LastPass (zadarmo aj platený)
k dispozícií je ich určite viac, ale spomenuté patria k tomu najlepšiemu, čo môžete používať.

Aké silné je vaše heslo?

Silu hesla/frázy si môžete vyskúšať na stránkach ako my1login a Kaspersky password checker. Získate tým hrubý odhad o čase potrebnom na prelomenie hesla.

Poznámka: Aj keď je ľahké nechať sa uniesť pokusom o vytvorenie hesla, ktoré nie je možné zlomiť ani za miliardu rokov, nemusíte to robiť. Akonáhle budete mať heslo, ktoré je hodnotené ako veľmi silné na my1login alebo 10000+ storočí na Kaspersky, mali by ste byť v bezpečí.

Ako sa dá heslo hacknúť?

Určite ste si dávali otázku, ako sa vlastne k môjmu heslo môže útočník dostať? No... takto:

  • Kúpia ho na Dark Webe
  • Zistia ho hrubou silou (útok Brute Force)
  • Zistia ho pomocou slovníka (existuje veľké množstvo slovníkov, ktoré sa špecializujú na heslá a slová)
  • Získajú heslo pomocou sociálneho inžinierstva (phishing)

Heslo kúpia na Dark Webe.

Zaujímalo vás niekedy, čo sa stane s miliardami používateľských mien a hesiel (prihlasovacie údaje), ktoré sa každý rok odcudzia, keď hackeri narušia bezpečnosť niektorej veľkej spoločnosti? Jedna vec, ktorá sa im stane, je to, že sú na predaj na dark webe. Táto časť internetu, je priam ideálnym miestom na predaj takýchto informácií.

Obrovské zoznamy prihlasovacích údajov je možné zakúpiť na skrytých stránkach dark webu. Hackeri môžu tieto údaje použiť na prihlásenie sa do služby, z ktorej pochádzajú. Prihlasovacie údaje môžu taktiež použiť na vstup do iných účtov vo vlastníctve tej istej osoby, pretože veľa ľudí používa rovnaké prihlasovacie údaje vo väčšine svojich účtov.

Zistia ho hrubou silou (útok Brute Force)

Ako už samotný názov napovedá, cieľom útoku hrubou silou je zistiť heslo jednoduchým skúšaním každej predstaviteľnej kombinácie znakov, kým nejaká kombinácia nesadne. Môže to znieť ako smiešny prístup, ale rýchlosť a výkon moderných počítačov z neho robia realistickú zbraň. V roku 2012 niekto demonštroval systém útoku hrubou silou, ktorý by mohol za sekundu údajne vyskúšať viac ako 350 miliónov hesiel! To malo podľa všetkého stačiť na rozbitie akéhokoľvek 8-znakového hesla za menej ako 6 hodín. Samozrejme na to potrebujete riadnu mašinu.

Vzhľadom na to, že tento systém existoval pred 8 rokmi (v roku 2012), je pravdepodobné, že profesionálni hackeri v dnešných dobách používajú systémy oveľa silnejšie ako boli tie z roku 2012. Čím je vaše heslo dlhšie, tým sa zvyšuje pravdepodobnosť, že vaše heslo „prežije“ útok hrubou silou.
dark web

Zistia ho pomocou slovníka

Jedným zo spôsobov vytvorenia nezabudnuteľného hesla je použitie skutočného slova ako hesla. Slovníkový útok používa zoznam reálnych slov na urýchlenie hádania hesla.

Existujú dva spôsoby, ako vieme poraziť útok za pomoci slovníka. Jedným je vyhnúť sa používaniu bežných slov vo vašich heslách (to bolo jasné každému). Útok za pomoci slovníka nebude fungovať, pokiaľ vaše heslo nie je v danom zozname slov, cez ktorý útočník vyhľadáva. Problém je v tom, sa slovníky neustále rozširujú, napr. taký OphCrack má tabuľky slov o veľkosti aj 2 TB, čo ej naozaj masaker a pri tejto veľkosti odhadujú 99 % úspešnosť pri heslách do 8 znakov. OphCrack je zadarmo a je to jeden z najhľadanejších programov na lámanie hesiel.

Ďalším spôsobom, ako poraziť útok za pomoci slovníka, je spojiť viacero skutočných slov. Ak vyberiete niekoľko skutočných slov a spojíte ich napr. takto: letelsomhorenohamidozadu, zvyšuje odolnosť hesla voči útoku za pomoci slovníka.

Získajú heslo pomocou sociálneho inžinierstva (phishing)

Útoky sociálneho inžinierstva (a.k.a. phishingové útoky) sa vás snažia oklamať alebo vás prinútiť, aby ste im dali heslo pod nejakou zámienkou. Používajú triky, ako sú e-maily, ktoré údajne pochádzajú od vášho poskytovateľa internetových služieb, webové stránky navrhnuté tak, aby vyzerali ako domovská stránka vašej banky, dokonca aj telefónne hovory, ktoré tvrdia, že riešia naliehavý problém s vašou kreditnou kartou. Naozaj si dávajte pozor, tu pomôže len zdravý rozum a rozvaha.
Len ako čerešnička na koniec, toto sú najpoužívanejšie hacknuté/odcudzené heslá v roku 2019:

123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e
Ďakujem, že ste sa dostali až sem. Pevne dúfam, že vám tento článok rozšíril poznanie o tom, ako a prečo vytvoriť silné a zapamätateľné heslo. Ak sa vám článok páčil, zdieľajte ho medzi svojimi známymi (budeme radi). Chcem vás upozorniť aj na to, že nikdy nečerpajte informácie iba z jedného zdroja a informácie si overujte.

Zdroje:
https://www.howtogeek.com/195430/how-to-create-a-strong-password-and-remember-it/
https://support.google.com/accounts/answer/32040?hl=sk
https://www.webroot.com/in/en/resources/tips-articles/how-do-i-create-a-strong-password
https://restoreprivacy.com/strong-password/
https://www.safetydetectives.com/blog/the-most-hacked-passwords-in-the-world/
https://edition.cnn.com/2019/04/22/uk/most-common-passwords-scli-gbr-intl/index.html