Jak spravovat a hlídat svá hesla?


Vítejte v nikdy nekončícím boji mezi uživatelskou leností, administrátorskou paranoiou a hackerskými zájmy. Administrátoři se snaží zabezpečit servery a účty uživatelů. Snaží se vymýšlet různé podmínky a mechanismy, aby co nejvíce znepříjemnit život útočníkům a zároveň umožnili uživatelům pracovat. 

Uživatelé si silná hesla nepamatují. Proto se snaží vymýšlet slabá a lehce zapamatovatelná hesla. Jak najít rovnováhu mezi pohodlností a bezpečností?

Jak hesla spravovat?

Digitální identita se s tou fyzickou propojila natolik, že útok na naší osobu může být stejně zničující ve fyzickém světě i v tom online. Jsou online služby, kde vás prolomení hesla nijak neohrozí (konvertor souborů…) ale jsou také služby typu sociálních sítí nebo e-mailů, kde už útočník může napáchat nemalé škody.

V roce 2020 bylo odhadnuté heslo k Twitterovému účtu Donalda Trumpa. A to na pátý pokus. Jeho heslo bylo maga2020. Lehce zapamatovatelné a jednoduché. Útočník získal přístup k hlavnímu komunikačnímu kanálu nejmocnějšího muže planety. Co vše by s ním šlo dělat necháme na vaší fantazii. Doporučujeme přečíst článek o sociálním inženýrství, kde se dozvíte o podobných taktikách útoků mnohem víc.

Jak hesla nespravovat

Vymýšlet slabá hesla, která jsou lehce prolomitelná a během chvíle na ně přijde i bot. Nepsat si hesla na lístečky, které pak budete nechávat všude možně. S nikým hesla nesdílet.

Pozor na slabá nebo slovníková hesla

Každý ví, že nemá používat slabá hesla. Podle statistiky prolomených hesel v roce 2020 uživatelé používají těchto 10 hesel stále dokola. 

1) 123456
2) 123456789
3) picture1
4) password
5) 12345678
6) 111111
7) 123123
8) 12345
9) 1234567890
10) senha

Mrkněte na statistiku 200 nejčastějších hesel. Krásný příklad, jak to nedělat.

Dále není vhodné používat jména, data narození, telefonní čísla a jakékoliv údaje vázané k vaší osobě.

Neukládat hesla na papír

Hesla si nepiště na lístečky pod klávesnicí atp. Je to stejné jako si schovat autorádio pod sedačku. Nejlepším řešením jsou peněženky na hesla, ale pokud hesla z nějakého důvodu potřebujete psát, pište je alespoň do speciálního bloku a mějte ho opravdu pod kontrolou.

Hesla nesdělujte a nesdílejte

Setkal jsem se mnohokrát se sdílením hesla mezi kolegy. To je ale zanedbání administrátora. Každý uživatel by měl mít svůj přístup s právy jaká potřebuje. Oblíbenou činností uživatelů je také sdělování hesel cizím lidem do telefonu nebo mailu.

Žádná seriózní online služba od vás nikdy nebude chtít sdělit heslo. Jen pokud se přihlašujete k jejich službám. To stejné platí pro banky. Když si nejste jistí, tak raději telefon položte a zavolejte na oficiální číslo. 

Jak správně hesla spravovat?

Dělejte pravidelné audity

Dejte si do kalendáře opakovaný úkol na kontrolu hesel. Bezpečnostní odborníci dokonce radí změnu všech hesel jednou za dva týdny. Všichni víme, že to není úplně reálně, ale proč si alespoň jednou ročně nezrušit účty u služeb, které už nepoužíváme a neobměnit hesla ke klíčovým službám jako jsou sociální sítě, maily či internetové bankovnictví? Ta hodina práce ročně za klidnější spánek myslím stojí.

Mějte unikátní hesla

Rozhodně není dobrý nápad používat stejné heslo pro více služeb na internetu. Aktuálně jich používám 275. Do každé služby generujte nové heslo. Stává se totiž, že provozovatel služby přijde o data svých klientů včetně jejich přihlašovacích údajů. Podle GDPR má povinost klienty informovat, ale internet není jen v EU… Proto nepoužívejte stejná hesla k více službám. Když se to stane, přístupy k ostatním službám zůstávají v bezpečí.

Používejte generátor hesel

Peněženky často obsahují generátory. Online generátorů a aplikací do telefonů pro tento účel jistě najdete nespočet.

Skvělou volbou je i vlastní systém na vymýšlení hesel. Mezi nejoblíbenější patří šifrování fráze:

  • FrazePsanaDohromady. 
  • První písmena + velká malá: Pp+Vm
  • Šifrování slov číslicemi: Váš-hosting se změní na <45-H05t1n6 
  • Vynechání ze slova samohlásek: VynchnSmhlsk

Při generování vlastním vymyšleným systémem se vyhněte jedinému velkému písmenu na začátku a číslu na konci To jsou totiž statisticky nejčastější umístění těchto znaků v heslech.

Používejte dvoufaktorovou autentizaci

Dvoufaktorovou autentifikaci už nenajdete jen u internetového bankovnictví. Metoda je stále častější. Dvoufaktorové ověření vyžaduje zpravidla znalost hesla a přístup k něčemu jinému. (karta, čip, telefon, biometrie, nebo HW token)

Skvělé je na tom to, že i když se útočník dostane k vašemu heslu, k přihlášení potřebuje ještě něco dalšího. Váš odemčený telefon nebo otisk prstu a to mu situaci značně komplikuje.

Dvoufaktorovou autentifikaci naleznete i u nás. V Zákaznickém centru i ve VPS Centru

Co je OpenID?

Další možností je využití jedné registrace ve službě jako je Facebook či Google a pomocí ní se přihlašovat a registrovat i jinde. Konkrétně přihlášení přes soc. sítě moc rád nemám. Pamatuju si dobu, kdy aplikace na profily postovaly různé aktivity, které jste v nich prováděli. Jasně jde to nastavit, ale kdo to dělá? Na podobném principu funguje i český projekt mojeID. Jen nemá přesah na Facebooky.

MojeID je projekt CZ.NIC a CSIRT založený na OpenID, které usnadňuje registraci v různých online službách. Je také přizpůsobený českému prostředí. Podporují ho státní instituce, eshopy a vlastně většina B2C služeb které cílí na český trh.

Používejte správce hesel

Peněženky nebo správci hesel jsou aplikace které se prací s hesly zabývají. Jsou jich k dispozici stovky.

Co by měla mít:

  • synchronizaci
  • generátor hesel
  • audit nebezpečných hesel
  • doplněk do prohlížeče
  • mobilní aplikaci

Peněženky vs. Google chrome nebo Apple klíčenka

Proč řešit speciální nástroje na práci s hesly. Proč se nespokojit s ukládáním v prohlížeči či Apple klíčenkou?

Řešit hesla přes Apple klíčenku či prohlížeče je určitě lepší než mít na ploše wordovský dokument s hesly, či sešitek v šuplíku. Na druhou stranu specializované programy toho umí daleko víc. Mezi takové funkce patří například:

  • Dvoufaktorové přihlašování a jeho integrace – Peněženky dokáží pracovat i s google autentifikátorem. Do peněženky se přihlásíte otiskem prstu a stejná aplikace jakou máte v telefonu je i v rámci peněženky. Ta vám heslo z google autentifikátoru vloží přímo do clipboardu. Tuto funkci má nejlépe připravenou 1password.
  • Audity hesel – Peněženky zobrazí problematická hesla. Kde jsou použitá stejná, slabá atp.
  • Informace o prolomení – Když se útočníci dostanou do služby a tato skutečnost je známá, tyto peněženky vám to sami nahlásí.
  • Sdílení přístupů napříč firmou či rodinou – Stále platí, že by měl mít každý uživatel svůj účet, ale u některých služeb to znamená třeba platbu navíc, či znovu-nastavení prostředí.Proto se někdy hodí nasdílet přístup kolegům. A už mu ho nemusíte posílat mailem. Doma se to hodí například u e-shopů kde pravidelně nakupujete a kde eshop pracuje s historií nákupů. (Potraviny nebo sbírání bodů)
  • Podpora – se hodí hlavně ve firemním prostředí.
  • Travel mod – Je příjemná funkce, kdy necháte část hesel jen v cloudu a například do telefonu si je synchronizovat už nebudete.Super funkce když čekáte, že o telefon můžete přijít.
  • Poznámky k heslům – se někdy mohou hodit
  • Uchování i jiných informací – Někdy se setkáte s kontrolními otázkami typu jméno matky za svobodna, či kam jsem chodil na střední školu. Doporučujeme si jako odpovědi nastavit další vygenerovaná hesla. Peněženky dokáží uchovat i tyto informace.
  • Hesla a klíče k jiným věcem nejen v online světě – Peněženky jdou využít i pro jiné tajné věci. Patří k nim například licence k sw, PINy ke kartám, kryptoměnovým peněženkám, přístupové PINy u dveří atd.
  • Uchování předchozích verzí hesel – Jednoduše se dostanete k celé historii změněných hesel. Musím se přiznat, že mě to zachránilo už několikrát.
  • Export hesel – V případě, že budete chtít peněženku z nějakého důvodu změnit, umožní vám snadný export všech přístupů.

Doporučovaní správci hesel

Protože je peněženek na hesla obrovské množství, podělíme se o tři, které sami používáme.

1Password, Bitwarden a Microsoft Authenticator

1PasswordBitwarden nebo Microsoft Authenticator (ke stažení pro Android a pro Apple) jsou jedny z nejlepších správců hesel na trhu. Pomohou vám vytvářet a ukládat složitá hesla pro všechny vaše účty i aplikace. Čistě pro přihlašování na web pomohou i samozřejmě implementovaní správci hesel přímo v prohlížeči Chrome nebo Firefox.

Výhody:

  • 1 GB prostoru pro dokumenty.
  • Dvoufaktorová autentifikace.
  • Ochrana proti phishingu a keyloggerům.
  • Práva a přístup pro více uživatelů.

Nevýhody:

  • Hesla se synchronizují na servery 1password

Vlastní správce SafeInCloud

SafeInCloud má trochu jinou filozofii. Desktopové aplikace jsou zdarma, synchronizace také, jen aplikace pro mobilní zařízení jsou placené. Stojí ale jednorázově jen 8 USD. Navíc pro synchronizaci šifrovaného souboru s hesly nepoužívají servery své společnosti, ale využívají cloudové služby jako Google Drive či OneDrive. Skvělé je, že si SafeInCloud rozumí i s NextCloudem, který můžete provozovat třeba i na našem VPS. Hesla pak máte pod kontrolou celou dobu.

Výhody:

  • Zdarma pro desktop i prohlížeče
  • Synchronizace přes google
  • Synchronizace přes váš server
  • Nemají předplatné, ale jen jednorázovou platbu
  • Cena

Nevýhody:

  • Mobilní aplikace jsou placené.
  • Trochu pozadu s 2FA a jinými funkcemi

Tipy na závěr

  • Bezpečnost hesel nepodceňujte. Útok na vaší osobu nebo firmu v online světě může být stejně zničující jako ve fyzickém.
  • Dělejte pravidelné audity hesel.
  • Používejte ke každé službě unikátní heslo.
  • Naučte se používat správce hesel.
  • Kde to jde, nastavte si dvoufaktorové ověření.

Poslechněte si také podcast Z podpalubí, kde náš Karel s Vladimírem Smitkou probírá nejen problematiku hesel.

Zdroje: