Vďaka výraznému rozvoju internetu a služieb na ňom má priemerný používateľ internetu vytvorených mnoho rôznych účtov. Bežne sa zvykneme registrovať na mnohých eshop-och, sociálnych sieťach a nie je výnimka ani používanie viacerých e-mailových kont. Po správnosti by sme mali používať pre všetky účty jedinečné heslá avšak túto zásadu dodržiava málokto. Niektorý užívatelia dokonca používajú to isté heslo na všetky služby, prípadne mierne pozmenené heslo.
Menšie zlo je vytvorenie si niekoľkých hesiel, ktoré môžeme využívať pre odlišné skupiny účtov. Jedno je možné používať k dôveryhodným a často používaným stránkam, ďalšie heslo pre stránky, ku ktorým nemusíme mať vysokú dôveru a iné na jednorazove registrácie, kde by nám prienik do účtu nejako zásadne nevadil. Ani tento postup však nie je vhodný.
Zlozvykom mnohých užívateľov býva písanie hesiel na rôzne papieriky a do notesov, ich ukladanie formou textových dokumentov v počítači, prípadne telefóne. A samozrejme v žiadnom prípade nesmú byť ľubovoľnou formou zverejnené na internete! Cieľom tohto článku je vysvetliť ako si vytvoriť správne heslo a poukázať na spôsoby správy hesiel, tak aby sme výrazne skomplikovali ich zneužitie.
Vytvorenie správneho hesla
Pri vytváraní hesla by sme mali myslieť nato, aby sme vytvorili čo najsilnejšie heslo. Takéto heslá dobre odolávajú odlišným pokusom na ich odhalenie. Heslo by malo spĺňať niekoľko požiadaviek aby sme ho mohli považovať za silné heslo:
- Čo najvyšší počet znakov – čím viac znakov bude heslo obsahovať, tým bude lepšie odolávať pokusom o odhalenie hrubou silou.
- Kombinovať odlišné typy znakov – pod typmi znakov si môžeme predstaviť malé písmená, veľké písmená, čísla, špeciálne znaky a atď.
- Neopakovať často tie isté znaky – aj pri dodržaní predchádzajúcich 2 zásad by sme mohli vytvoriť heslo “dddddHHHHH11111”, ktoré rozhodne nie je dobrým kandidátom na silné heslo. To neznamená, že jeden znak nemôže byť použitý viackrát, ale minimálne by sa nemal nachádzať v skupinách, čím menej sa opakuje, tým lepšie.
- Nepoužívať slová – vyhýbať sa slovám v akomkoľvek jazyku, heslo tak bude dobre odolávať slovníkovým útokom. Heslo by malo pôsobiť ako zmes úplne náhodných znakov.
- Nepoužívať v hesle všeobecne známe informácie o sebe – častou chybou je pridávanie informácií do hesiel, ktoré sa dajú pomerne ľahko zistiť. Napríklad rok, alebo dátum významnej udalosti, PSČ, ŠPZ a iné.
Hrubá sila
Tento typ útoku na heslo spočíva v tom, že skúšame veľký počet rôznych kombinácií, ak je to možné, tak všetky. Pri hádaní hesla je vhodné si stanoviť nejaké základné predpoklady, napr. koľko znakov naše heslo obsahuje a aké typy znakov sa v hesle môžu nachádzať. Mohli by sme to prirovnať k hre, kde sa snažíme uhádnuť číslo, na ktoré myslí druhý účastník hry. Pri hádaní jednociferného čísla bude hádanie pomerne jednoduché, pretože môžeme rýchlo vyskúšať všetky čísla (0-9). Rozšírením hry o 2 ciferné čísla sa situácia pre hádajúceho značne skomplikuje (konkrétne 10-krát), ale stále to nebude zásadný problém ak nemá obmedzený počet pokusov. Hádaním až 7 ciferných čísiel hra stráca zmysel, lebo šanca na uhádnutie čísla v rozumnom čase je minimálna, pre počítač však nie, a je nutné vytvoriť heslo s oveľa vyšším počtom možných kombinácií.
Počet kombinácii sa dá zvýšiť pridaním väčšieho počtu znakov a pridaním iných typov znakov.
Slovníkový útok
Týmto útokom sa pri hádaní hesla môžu skúšať rôzne slová, frázy, čísla a ich kombinácie, ktoré sa často nachádzajú v heslách, alebo ukradnuté a odchytené heslá rôznymi spôsobmi. Dnes dochádza pomerne často k únikom databáz z heslami, našťastie väčšina z nich má heslá uložené v zašifrované a tak ich útočník nevie získať.
Ako by malo teda vypadať naozaj dobré heslo? Odporúčame používať heslá s minimálnym počtom 12 znakov a kombináciou typov znakov čísla, malé písmená a veľké písmená. Príkladom by mohlo byť heslo “kzD9zVWagv2X”. Vyskúšať silu hesla je možné na stránkach:
Aj keď tieto stránky môžeme považovať s veľkou pravdepodobnosťou za dôverihovné je dobré si všimnúť užitočné varovanie na stránke kaspersky.com, že by sa nemalo vkladať reálne heslo, tzn. iba podobné s rovnakým počtom znakov a tými istými typmi znakov. Platí to pre všetky stránky ponúkajúce overenie sily hesla. Ak nevieme vymyslieť heslo môžeme si ho dať vygenerovať prostredníctvom nato určeného programu (Keepass, Avast Passwords, …), alebo službami na internete (pri výbere treba byť opatrný a využívať len overené služby):
Správca hesiel – Password manager
Prakticky nie je možné si pamätať takéto heslá pre veľký počet služieb, preto začali vznikať služby a programy, ktoré ponúkajú ukladanie hesiel chránené jedným hlavným heslom. Tieto programy umožňujú väčšinou heslá kategorizovať a môžeme si ukladať do nich aj iné potrebné informácie. Heslá v nich môžu byť uložené u užívateľa na niektorom so zariadení, alebo na serveroch autora programu.
K jednotlivým správcom hesiel budú pribúdať postupne samostatné články. Tu je zoznam vybraných správcov hesiel s odkazmi na články:
- Google Passwords
- Správca poverení vo Windows
- Keepass
Pri značnej dávke nedôvery k správcom hesiel je možné ukladať časť hesla v programe a vymyslieť si časť hesla, ktorá bude súčasťou každého hesla. Napríklad ak by sme si chceli uložiť 2 heslá do e-mailu a sociálnej siete, do správcu hesiel môžeme uložiť časť hesiel pre e-mail “rj929SSTzI6l” a pre sociálnu sieť “fybVpN9lUXL9”. K ním pridáme spoločnú časť pre všetky heslá napr. “6TsCa” a skutočné prihlasovacie heslá by boli v tvare “rj929SSTzI6l6TsCa” a “fybVpN9lUXL96TsCa“. Vďaka tomuto by nemal ani program na správu hesiel prístup ku kompletným heslám. Treba si však uvedomiť, že takýto prístup komplikuje použitie hesiel, ale zvyšuje bezpečnosť.
Dvojfaktorová autentifikácia
Spočíva v tom, že pre úspešné prihlásenie nestačí použiť len správne prihlasovacie údaje, ale treba splniť ešte ďalšiu podmienku, ako zadanie dodatočného hesla zaslaného na mobilný telefón, zadanie vygenerovaného kľúča z aplikácií Google Authenticator, Microsoft Authenticator a iných. Ak by aj niekto poznal heslo do účtu musel by mať prístup k mobilnému telefónu. Na mieste je predpokladať, že užívateľ má zabezpečený telefón PIN kódom alebo otlačkom prsta. Niektoré stránky posielajú dodatočný kód pre každé prihlásenie formou SMS alebo e-mailom, väčšinou si treba túto formu dvojfaktorovej autentifikácie zapnúť v nastaveniach stránky a pridať telefónne číslo prípadne e-mail.
Aplikáciami určenými na dvojfaktorovú autorizáciu sa budeme venovať nižšie a v tomto článku spomenieme 2 Google Authenticator a Microsoft Authenticator.
Google Authenticator
Aplikáciu je možné nainštalovať na telefóny s Androidom a iOS. Ukážeme si použitie aplikácie na Androide. Po inštalácii a pri prvom spustení sa zobrazí úvodná obrazovka a po jej potvrdení výzva na pridanie účtov (Obrázok 1).
A Úvodná obrazovka Google Authenticator B Výzva na pridanie účtov
Pridanie dvojfaktorového overenia ukážeme pre účet na stránke dropbox.com. Pre mnohé iné stránky s podporou dvojfaktorového prihlasovania bude postup podobný. V pravom hornom rohu na stránke nájdeme obrázok konta, kde nájdeme po kliknutí informácie o účte s možnosťami nastavení, zvolíme Settings (Obrázok 2).
Zobrazia sa nastavenia Dropbox účtu a nás bude zaujímať záložka Security, v ktorej aktivujeme dvojfaktorovú autorizáciu (Two-step verification). Na obrázku 3 je zobrazený postup.
Prepnutím na On sa zobrazí podokno s krátkym popisom nastavenia. Kliknutím na Get started sa zobrazí výzva na zadanie hesla účtu a môžeme pokračovať tlačidlom Next. Máme dve možnosti:
- Poslanie bezpečnostného kódu na mobilný telefón (Use text messages).
- Generovanie bezpečnostného kódu aplikáciou (Use a mobile app)
Momentálne vyberieme 2. možnosť a príkazom Next sa zobrazí QR kód (Obrázok 4), ktorý naskenujeme aplikáciou Google Authenticator. V telefóne po zapnutí aplikácie klikneme na Skenovať čiarový kód (Obrázok 1B). Zapne sa fotoaparát na telefóne s vyznačenou plochou, ktorú treba nasmerovať na QR kód.
Po prečítaní kódu sa v aplikácii bude zobrazovať 6 miestny kód (Obrázok 5), ktorý sa bude meniť každých 30 sekúnd. Ku každému účtu sa zobrazuje kód, názov služby, prihlasovanie meno a časomiera zmeny kódu. Vľavo dole nájdeme červené tlačidlo na pridanie ďalších účtov. Pri pridávaní ďalších účtov sú k dispozícii 2 možnosti Skenovať čiarový kód a Zadať poskytnutý kľúč. Zadať poskytnutý kľúč je vhodné použiť, ak nefunguje skenovanie prípadne si chceme zvoliť vlastný názov účtu. Aj pri pridávaní dropbox účtu je možné prepnúť na manuálne zadanie kódu cez enter your secret key manually (Obrázok 4). Neaktuálne účty môžeme z aplikácie odstraňovať.
Ak by sme si omylom odstránili účet z aplikácie môže byť problematické sa znova prihlásiť do účtu, pretože nebudeme mať k dispozícii 6 miestny kód. Väčšina služieb ponúka aj určitú formu prihlásenia bez použitia vygenerovaného kódu, napríklad zoznam jednorázových kódov, poslanie kódu formou SMS (nutné pridať telefón do nastavení služby). Je vhodné mať aj inú možnosť ako sa prihlásiť a zmena/vypnutie dvojfaktorovej autorizácie nemusí byť jednoduchá ani rýchla.
Microsoft Authenticator
Aplikácia Microsoft Authenticator má mierne odlišný dizajn, ako Google Authenticator , funkcionalita je však rovnaká. Na obrázku 6A je zobrazená obrazovka po prvom spustení. Nový účet pridáme kliknutím na plus. Zobrazí sa obrazovka na obrázku 6B. V ponuke sú rôzne typy účtov, prvé dva sa používajú pre Microsoft účty a posledný Iné konto (Google, Facebook atď.) typ je vhodný pre účty iných spoločností. Po kliknutí na túto možnosť sa aktivuje fotoaparát s vyznačenou plochou, ktorú nasmerujeme na QR kód. V spodnej časti môžeme zadať kód manuálne.
A Úvodná obrazovka Microsoft Authenticator B Pridanie nového konta
Zoznam účtov je na obrázku 7. Zobrazenie je veľmi podobné, ako v aplikácii do Google a obsahuje rovnaké prvky.
Počas používania oboch aplikácií som nenašiel žiadny zásadný rozdiel v používaní, alebo funkciách, na základe ktorých by sa dala jedna z nich odporučiť. Pre väčšinu užívateľov bude asi najzásadnejším kritériom pre výber aplikácie sympatie k obidvom spoločnostiam.
Zdroje:
Autor ilustračnej fotografie: Matthew Brodeur