Bezpečné heslo

Kyberbezpečnostní kurzy

Studenti Pedagogové Zaměstnanci

Heslem prokazujeme svoji identitu v on-line prostředí. Je tedy jedním z nejdůležitějších prvků naší kyberbezpečnosti. Proto je potřeba vytvářet unikátní bezpečná hesla, nepřijít o ně a chovat se k nim způsobem, aby zůstala doopravdy v bezpečí. Jakmile naše hesla získá kdokoliv další, otevírá se mu přístup do našich nejniternějších zákoutí - stává se námi. V tomto modulu se dozvíme, jak funguje základní princip bezpečnosti hesel, jak se hesla prolamují a jak si správné a silné heslo vyrobit.

Jak vytvořit dobré heslo
Prolomitelnost hesla
Vícefaktorové ověřování
Správce hesel

Jak vytvořit dobré heslo

Umění tvořit bezpečná (silná) hesla nespočívá ve využití desítek speciálních znaků a symbolů, ze kterých se nám motá hlava i jazyk. Revolucí v tvorbě hesel jsou takzvaná frázová hesla. O co se jedná? Frázová hesla se skládají z kombinace pro nás zapamatovatelných slov. Například "BotaTancujePolku" nebo "SprávnéŽábyNecvičí" a prolomit je by trvalo až několik milionů let.

Frázové heslo se může skládat z části básně, scenerie cestou do práce, vzpomínky z dětství. Cokoli, co se nám bude dobře pamatovat, bude dostatečně dlouhé, ale nikdo si to s naší osobou nespojí. Tři až čtyři slova postačí, celkově bychom ale měli použít frázové heslo delší než 12 znaků. Pokud chcete heslo dovést k dokonalosti, přidejte na náhodná místa zástupné znaky (mezera, čísla, interpunkce, symboly) například "trhat.fialky.B00M.dynamitem".

Při přechodu na nové frázové heslo mají lidé tendenci si jej vytvořit velmi kreativně a komplikovaně - a pak jej zapomenout za pár dní. Nové frázové heslo si raději ze začátku často opakujme, než se spolu sžijeme. Nebo můžeme využít správce hesel, o kterých si přečtete za chvíli.

Prolomitelnost hesla

Zjednodušeně můžeme říct, že existují dva hlavní způsoby, jak prolomit heslo. Sociálním inženýrstvím, tudíž kdy útočníkovi nějakým způsobem prozradíme své heslo sami, nebo útok takzvaně hrubou silou. Níže si rozebereme jednotlivé způsoby, jakou roli při nich hraje složitost hesla a jak se proti nim bránit.

Jednou z metod, jak prolomit něčí heslo, může být kombinace sociálního inženýrství a využití speciálních zařízení. Útočník se může na pracoviště dostat např. metodou zvanou tailgating, nenápadně se dostat k našemu zařízení a mezi počítač a klávesnici napojit takzvaný keylogger, malou nenápadnou krabičku, která se skryje za počítač a dokáže zaznamenávat všechny znaky, které píšeme na klávesnici - hesla nevyjímaje.

Prolamování sociálním inženýrstvím

Jedná se o určitý druh manipulace, které se na nás útočník dopouští. Často používanou technikou sociálního inženýrství je odeslání falešného e-mailu s odkazem na podvodnou přihlašovací stránku. Pokud podvod zavčas neodhalíme a formulář na heslo vyplníme, naše heslo je v útočníkových rukou. V případě prolamování hesla sociálním inženýrstvím nehraje roli síla našeho hesla. Heslo může mít třeba bilion znaků nebo být učebnicovým frázovým heslem, pokud ho ale vyplníme sami a dobrovolně, je nám to k ničemu. Na závěr je nutno dodat, že tento způsob prolomení hesla může trvat jen pár minut a záleží jen na naší schopnosti útočníkovy podvodné techniky rozpoznat.

Útočník nemusí disponovat nijak velkou technickou znalostí. Složitost našeho hesla nehraje roli, protože jej útočníkovi sdělíme sami. Jedinou účinnou obranou je rozpoznávání technik sociálního inženýrství a zdravá nedůvěra.

Útoky hrubou silou (brute-force)

Tyto útoky nejsou o manipulování s uživatelem. Pokud někdo bude chtít zkusit hrubou silou prolomit vaše heslo, nepotřebuje ani vědět kdo přesně jste. Hezký názorný příklad je, když se někomu například nechce platit za internet a zkouší prolomit naše heslo na Wi-Fi.

Jak samotný útok probíhá? Existuje hned několik variant. Pro nás je však důležité, že prakticky všechny fungují na principu do jisté míry náhodného generování znaků na různé pozice. Pro tento účel existují takzvaní boti, kteří jsou schopni vyzkoušet několik tisíc hesel za pár vteřin.

Představme si tento útok na konkrétním případu. Uživatel Bořivoj má na svém mobilním zařízení nastavený PIN kód pro odemknutí mobilu. Ten je 2233. Pomocí útoku hrubou silou lze k jeho telefonu připojit malé šikovné zařízení, které velmi dobře dělá svoji práci. Začne logicky vyplňovat pozice na PIN kódu dle instrukcí svého stvořitele. Začne 1111, pokračuje 2222, za nějakou dobu už je na pozici 1122. Za jak dlouho se dostane k PIN kódu Bořka? Jediné, co tento útok hrubou silou zpomalí je fakt, že telefony po několika neúspěšných přihlášení na chvíli odstaví tuto možnost (například na 90 vteřin). Hrubou silou by se tedy útočník do telefonu mohl dostat i v řádech hodin. Takže příště, až telefon někde zapomeneme nebo ztratíme, měli bychom myslet na fakt, že hesla nejsou všespásná a útoky hrubou silou jsou při některých případech poměrně nepříjemné.

Dobrou zprávou je, že na většinu našich online účtů by takovýto útok nefungoval, a to například díky vícefaktorové autentizaci, o které se ještě dočtete. Zjednodušeně: pro náš případ by scénář fungoval tak, že i kdyby útočníci uhodli naše heslo, než by se mohli do účtu připojit, nám by přišel požadavek na ověření na mobilní zařízení a věděli bychom, že je něco špatně. V tomto případě je nutné tento přístup zamítnout a neprodleně změnit heslo. Ideálně takové, co by programu útočníka trvalo prolomit pár milionů let!

Útoky hrubou silou mohou probíhat absolutně bez našeho vědomí nebo kontaktu s útočníkem. Jejich úspěšnost záleží zcela na složitosti našeho hesla. Proti útokům hrubou silou se lze velmi efektivně bránit vícefaktorovým ověřováním.

Vícefaktorové ověřování

Útočníci neustále přicházejí s novými a sofistikovanějšími metodami, jak se dostat k našim přihlašovacím údajům a jak se nabourat do našich účtů. Používat pouze hesla ne vždy stačí. Proto pro ochranu účtů s vysokým stupněm důležitosti musíme být ještě o krok napřed. K tomu nám dokáže pomoct právě vícefaktorové ověřovaní nebo autentizace, která přidává další krok do procesu přihlašování se k účtu. Takových kroků při přihlašování může být více, ale většinou se využívá jeden navíc - tedy dohromady dva a mluvíme tak o dvoufaktorovém ověřování (2FA).

Proč se nám tato práce navíc při každém přihlašování vyplatí? Dvoufaktorové ověření poskytuje pokročilejší vrstvu ochrany, která je klíčová u aplikací jako je například internetové bankovnictví. Dvoufaktorové ověření přidává další faktor ověření totožnosti přihlašujícího. Základním pilířem tohoto ověřování je fakt, že přídavný faktor je pro útočníka velmi náročné získat nebo duplikovat, ať už z pohledu limitovaného času nebo osobní vzdálenosti. Z toho důvodu se útočník už nemůže dostat v přihlašovaní dál, i když se mu třeba podařilo uloupit naše heslo.

Jak můžeme používat vícefaktorové ověřování v praxi

Po zadání a úspěšném ověření našeho uživatelského jména a hesla se nám zobrazí výzva k další formě prokázání totožnosti, například pomocí PINu z ověřovací aplikace nebo otisku prstu. Po zdárném ověření dalšího požadovaného faktoru získáme přístup ke svému účtu. Toto sekundární ověření může mít mnoho podob a pro zjednodušení je dělíme do 3 kategorií faktorů:

Faktor znalosti (něco, co znáte): typický pro jednofaktorové ověření, tedy nejčastěji kombinace uživatelského jména a hesla, PIN nebo bezpečnostní otázky.
Faktor vlastnictví (něco, co máte): například důvěryhodné zařízení, telefon, jednorázové heslo zaslané SMSkou, platební karta, klíč, nebo bezpečnostní hardwarový token.
Faktor biometrie (něco, co jste): nejpoužívanější jsou otisk prstu, sken očnice, rozpoznání obličeje či hlasu.

Pravděpodobně jste se již v běžném životě setkali s vícerými zmíněnými ověřovacími mechanismy. Faktor znalosti, tedy například heslo, je nejpoužívanější. Jako druhý faktor se často využívá jednorázového hesla poslaného SMSkou nebo potvrzení přihlášení přes aplikaci na mobilním telefonu. Stále častěji díky vybavenosti mobilních zařízení používá i faktor biometrie, tedy například otisk prstu. Rozšířený je také faktor vlastnictví, tedy například potvrzení na druhém zařízení. Aby dvoufaktorové ověřování poskytovalo požadovanou úroveň zabezpečení, je nutné kombinovat dva odlišné faktory. Použití dvou různých obyčejných hesel za sebou se tedy nepovažuje za dvoufaktorové ověření. Zároveň je třeba vzít do úvahy, že některé mechanismy ověření jsou silnější než jiné.

Využití jakékoli formy dvoufaktorového ověření nás tak dostane mimo dosah většiny útoků. Přitom stačí udělat při přihlašování jenom o jeden krok navíc. I dvoufaktorové ověření muže být samozřejmě prolomeno, ale útočník už musí vynaložit mnohem větší úsilí než v případě obyčejného hesla. Zároveň je v současnosti nastavení 2FA jednodušší než kdy dříve, takže je na čase začít tuto bezpečnostní metodu využívat.

Správce hesel

Kolik máme na internetu různých účtů a k nim hesel? Schválně, zkuste si je někdy spočítat. No a v ideálním případě byste měli mít na každé z nich unikátní dlouhé heslo. Je opravdu reálné si je všechna pamatovat? Pokud to zvládáte, jste zázrak přírody.

Řešení existuje v podobě velmi pohodlného a bezpečného nástroje jménem správce hesel. Co je jeho úkolem? Jedná se vlastně o jakýsi trezor, který zašifrovaně střeží naše hesla. Funguje jako databáze, kam si hesla ukládáme. Správců hesel existuje celá řada: může být ve formě doplňku do prohlížeče, může to být ale i zašifrovaná databáze u vás na počítači. Většina správců hesel pak dokonce za nás i hesla při přihlašování vyplňuje, takže je ve správci nemusíme zdlouhavě dohledávat.

Ukládání hesla do prohlížeče (třeba do Google Chrome nebo Mozilla Firefox) není to samé, co skutečný správce hesel. Ne že by se snad prohlížeče nesnažily takto uložená hesla zabezpečit. Správa hesel ovšem není primární funkce vašeho prohlížeče a svá hesla chcete svěřit nástroji, který se tomu věnuje prioritně - má tedy odladěné šifrování a další náležitosti. Navíc, pokud hesla uložená ve webovém prohlížeči nejsou chráněna master heslem (viz dále), jsou uložena ve formě prostého (nezašifrovaného) textu - každý si je tak může jednoduše přečíst v nastavení prohlížeče.

Všichni správci hesel mají jedno společné, do všech se přihlašujete jedním heslem, takzvaným master heslem. Od momentu, kdy si správce hesel zařídíte, je to jediné heslo, které je si třeba pamatovat. Je jako velký zlatý klíč k vaší pokladnici. Správce hesel po uložení hesla zašifruje, takže i kdyby se k vaší databázi dostal někdo cizí, bez master hesla nezmůže doopravdy nic. Master heslo tedy musí být opravdu silné.

Své master heslo opravdu nikdy nesmíte zapomenout. Jinak se do svého trezoru a ke svým uloženým heslům nedostanete. U těch správců hesel, které nabízejí 2FA, rozhodně doporučujeme této možnosti využít.

Doporučit jednoho správce hesel není zrovna lehký úkol. Mohou být zdarma i placení, mohou fungovat jako samostatný program na vašem zařízení (tzv. on-device) nebo v cloudu a jako doplněk do prohlížeče. Mezi nejvyužívanější správce (a mezi nejdůvěryhodnější dle aktuálních testů) patří například KeePassXC (on-device), Bitwarden (dostupná verze zdarma nenabízí 2FA) nebo často využívaný LastPass (dostupná verze zdarma, umožňuje i některé typy 2FA).

V případě, že došlo k bezpečnostnímu incidentu nebo máte podezření, že mohlo být narušeno vaše kyberbezpečí, nahlaste nám to.

Autor: CRP-Kyber, úpravy Jiří Krčmář | Datum: 21.09.2024