Proč uživatelé stále opakují stejné chyby při sestavování hesel? A proč je stále jednodušší prolomit heslo? Odpovídal Petr Fišer v pondělí 29. 8. 2022 od 13.00.

Chat

• Jarda

  Je pravda, že hesla složena z čísel, zejména když jdou postupně prolomena během sekundy?

• Host chatu

  Dobrý den,
  Ano, to je pravda.
  Některá hesla, jako například "1234" a jeho varianty, se vyskytují v tzv. slovnících. Slovník je seznam hesel, která se vyplatí vyzkoušet, protože se používají velmi často. Průchod slovníkem zabere zpravidla jednotky až desítky sekund, záleží jak je slovník velký.
  
  Další možností je útok hrubou silou, kdy generujete všechny možnosti hesel a zkoušíte, zda jste se strefil.
  Dnes se rychlé prolomení hrubou silou netýká pouze hesel složených z cifer, ale obecně hesel z jakýchkoliv znaků. Pokud máte heslo kratší než osm znaků, jeho prolomení je otázka pár vteřin. Bezpečná hesla jsou od nějakých dvanácti - patnácti znaků a delší, a to pokud použijete kombinaci malých a velkých písmen a čísel. Pokud byste zůstal pouze u cifer 0-9, nemusí vás ochránit ani dvacetiznakové heslo.

• Pepa

  Mám několik účtů, a nebavíme pořád vymýšlet nové heslo. Je lepší jedno silné, které opakuju nebo raději více, ale méně silných, které si budu lépe pamatovat?

• Host chatu

  Pokud chcete používat hesla, která si budete pamatovat, a zároveň NECHCETE používat správce hesel, je vaší nejlepší volbou udělat si malou analýzu rizika. Jde o myšlenkové cvičení na půl hodinky, které vám ušetří spoustu starostí. Každý z účtů je pro vás totiž jinak důležitý; zkuste si představit, co by se dělo, kdyby se vám do účtu někdo dostal:
  - Může mi způsobit finanční újmu? (internetové bankovnictví, eshop kde mám uloženou platební kartu, ...)
  - Může se za mne vydávat? (osobní nebo pracovní mail, sociální síť, ...)
  - Je ten účet pro mne jinak důležitý? (online úložiště kam si zálohuji fotky, mám tam historické faktury, ...)
  - Můžu přístup k účtu jednoduše získat zpět, třeba resetem hesla?
  
  Internetové bankovnictví, osobní mail a vaše oblíbená sociální síť mají zcela jinou důležitost než eshop kde třikrát do roka kupujete granule pro psa. Důležité účty zabezpečte silným heslem a případně druhým faktorem (SMSka, OTP kód).
  Pro účty "o které můžete přijít" pak můžete zvolit slabší heslo, nebo i hesla sdílet - důležité je, že jste si ROZMYSLELI že vám komplexní ochrana toho účtu za ty trable nestojí a vědomě přijímáte riziko že o účet můžete přijít. Pokud toto riziko nechcete nést, musíte si všechny účty zabezpečit pořádně. K tomu vám může pomoct třeba správce hesel - "klíčenka".
  Nikdy, a to opravdu NIKDY, nepoužívejte do mailu stejné heslo jako na jiné weby. Mailovou adresu používáte při registraci právě do těch ostatních webů. V mailové schránce, historii zpráv nebo v koši útočník najde kam jste se všude registrovali. Na webech lze zpravidla využít "Zapomenuté heslo", kde se ale ověřovací odkaz posílá na mailovou adresu - kterou má útočník v tu chvíli pod kontrolou. Pokud se vám někdo dostane do mailu, efektivně se tím může dostat do všech účtů kde jste danou adresu použili jako svůj kontaktní mail.

• Lenka

  Mám velký počet účtů a nebaví mě si to pamatovat a někam psát nová hesla. Dá se to nějak elegantně vyřešit ? (správce účtů apod.).

• Host chatu

  Dobrý den,
  Pokud máte velký počet účtů, největší riziko pro vás plyne z používání stejných hesel. Situace, kdy z webu unikne databáze uživatelů, jsou na denním pořádku. Takto prozrazené heslo může útočník využít a dostat se do dalších vašich účtů. Nejlepší je tedy hesla mezi účty nesdílet.
  
  Abyste si nemusela pamatovat velké množství hesel, máte dvě možnosti:
  - Správce hesel - "klíčenka". Jde o šifrovaný soubor, ke kterému máte jedno heslo. Soubor máte uložen v počítači a v něm uchováváte hesla ke všem možným účtům. Jde například o produkty KeePass, LastPass, apod.
  - Federovaná identita. Jde o funkci kdy vám web může nabídnout "Přihlásit se účtem Google", "Přihlásit přes Facebook" nebo podobně. Pokud tuto možnost použijete, přihlašujete se pouze proti svému identity providerovi (to je ten Google, Facebook, LinkedIn, NIA, MojeID, bankovní identita, ...), protože u něj máte účet. Na webu, kam se pomocí federované identity přihlásíte, vám sice účet vznikne, ale nenese v sobě žádné heslo - to pořád zůstává jen u vašeho identity providera.

• Stáňa

  Doporučujete dvoustupňové ověření? Případně kdy?

• Host chatu

  Dobrý den,
  Nezbytně nutné bych dvoufaktorové přihlášení viděl u pro vás kritických účtů (elektronické bankovnictví, mail, eshopy kde máte uloženou kartu) - viz. povídání o rizikách v jiné z odpovědí.
  
  Pro ostatní účty: všude kde to lze a kde je vám to dostatečně pohodlné. Nezapomínejte že aktivace dvoufaktorového ověření znamená, že odteď musíte mít po ruce mobil nebo USB token a také že zpravidla dostanete recovery klíče, které si musíte někde bezpečně uchovat.

• Bohuš

  Věčně mě otravují cookies? Kdy je dobré si pozorně přečíst co zaškrtávám? Nebo je to jedno?

• Host chatu

  Dobrý den,
  Cookies jsou kus informace, kterou si web může uložit ve vašem prohlížeči. Technologicky je to pořád to samé, ale důvod, za kterým je web do prohlížeče uloží, se liší.
  - Provozní (nezbytné / fundamental / essential) cookies. Bez nich by web nefungoval správně, nelze je odmítnout. Jde například o přihlašovací cookie - když se na webu přihlásíte, web vygeneruje cookie "aby poznal že jste to vy". Když se odhlásíte, cookie zmizí.
  - Analytické (analytical / performance) cookies. Ty už odmítnout jdou. Autoři webů potřebují zpětnou vazbu k provozu svých stránek a analytické cookies jsou pro ně jednou z cest jak to udělat. Cookie může obsahovat třeba informaci že "uživatel navštívil web x-krát, naposled 29/8/2022 13:12". Jde o cookie, které už vás sledují, ale využití informací z nich je pro technologické účely.
  - Marketingové cookies. Tohle jsou ty "špehovací cookies" v pravém slova smyslu. Jde o snahu vložit vám do prohlížeče jednoznačný identifikátor tak, aby byl prohlížeč rozpoznatelný napříč různými weby. Ze sebraných informací se pak buduje profil vás jako uživatele a na základě něj je na vás cílena reklama.
  
  To, že někde vyskakuje varovná lišta a souhlas s použitím cookies, je důsledek pokusu o legislativní regulaci sledování uživatelů marketingovými firmami. Lišty s vyslovením souhlasu jsou povinné od 1/1/2022. Nicméně, sledování uživatelů a jejich pohybu na webu se používá už velmi dlouho. Cookies (ve smyslu technologie) jsou tu s námi od roku 1997.
  A vzato kolem a kolem, uživatele můžete sledovat i bez využívání cookies (zkuste si třeba https://coveryourtracks.eff.org/ ). A navrch můžete ještě přimíchat všechna data, která o sobě lidé dobrovolně prozradí na sociálních sítích.
  
  Pokud nechcete, aby se vaše návštěva konkrétního webu promítla i do nabizených produktů na jiných webech, cookies odmítněte. Pokud chcete mít jistotu, používejte prohlížeč v režimu anonymního okna.
  Osobně ale myslím, že je lepší přestat o celé věci přemýšlet jako "na co mám kliknout". Smiřte se s tím, že na dnešním internetu soukromí neexistuje a jakákoliv informace, soubor nebo fotka kterou poskytnete je (nebo se může celkem snadno stát) veřejnou. Zkrátka: buďte obezřetný, zdravě skeptický, a pak vám neublíží ani marketingové cookies.

• Marian

  Proč u některých firem nemám možnost volby, vyplnění konkrétních cookies? Je to legální?

• Host chatu

  Dobrý den,
  Souhlas je nutné získávat pouze pokud jde o analytické nebo marketingové cookies. Pokud daný web ani jedny z nich nepoužívá, není potřeba aby po uživateli vyžadoval souhlas.

• SK

  Jací jsou obecně Češi ohledně řešení bezpečnosti svých hesel?

• Host chatu

  Dobrý den,
  Je to všude stejné, Češi nejsou nijak výjimeční.

• SK

  Jaká je ta nejlepší bezpečnostní koncepce ohledně hesel?

• Host chatu

  Tohle je velmi široce pojatá otázka a jediná správná pravda bohužel neexistuje.
  
  Záleží na počtu účtů, které máte, jestli jsou osobní nebo pracovní, jestli jsou do aplikací na internetu nebo v interní síti firmy, atd. Hodně jsem se v tom rozpovídal v ostatních odpovědích, snad najdete inspiraci tam. ;)
  
  Nicméně jenom poznámku - v současnosti začíná být módní názor, že nejlepší hesla jsou žádná hesla, tedy jde o snahu nahradit hesla něčím jiným. Uvažují se třeba mobilní aplikace, na kterých byste potvrdil že se "opravdu chcete přihlásit do tohoto webu". Tedy by mobil plnil pro web podobnou funkci jako klíče od bytu, včetně toho že ho pořád nosíte v kapse. :)
  
  Ale já jsem skeptik, myslím že hesla tu s námi ještě pěknou chvíli budou.

• DENMARK

  Jak často byste doporučoval měnit heslo?

• Host chatu

  Dobrý den,
  Pravidelné změny hesel - třeba jednou za měsíc, tak jak je občas požadováno ve firmách - jsou nešvar. Historicky to bylo považováno za dobrou praktiku, ale ukázalo se, že pravidelné nucené změny hesel bezpečnost ve skutečnosti snižují.
  
  Vyberte si silné heslo, které změňte v momentě kdy silné být přestane (přestane stačit jeho délka nebo kombinace použitých znaků) nebo když máte podezření že bylo kompromitováno.

• Marta z Ostravy

  Muzu dostat pokutu od zamestnavatela, kdyz si zvolim velice vulgarni heslo do pocitaca?

• Host chatu

  Dobrý den,
  Pominu-li historické a/nebo špatně implementované systémy, tak se hesla v nich neukládají v čitelné podobě, ale tzv. zahashovaná. Nejsou čitelná a z hashe se ani nedá zpětně rekonstruovat heslo jako takové.
  
  Ale stejně bych to, být vámi, nedělal. Heslo vás může třeba vidět někdo psát, když se budete přihlašovat. Někde může administrátor řešit zcela jiný problém, zapne v systému podrobné logování, a v tu chvíli se tam heslo může objevit. ... Murphyho zákony v tomto ohledu zpravidla fungují spolehlivě.

• Tomáš

  Dobrý den, na internetu existuje hodně generátorů náhodných hesel. Můžu něčemu takovému věřit, jsou hesla opravdu silná?

• Host chatu

  Dobrý den,
  U hesla rozhoduje délka a tzv. character classes (druhy znaků) - tzn. takové to "malá písmena", "velká písmena", "čísla", "speciální znak".
  
  Pokud máte heslo o délce, řekněmě, 15 a více znaků a používáte v něm alespoň tři character classes, je to dobrý začátek.
  Heslo by nemělo obsahovat vyloženě slova, která se k vám vážou - musí jít buď o náhodnou změť znaků, nebo je lze stavět jako passphrase (třeba něco jako "Jel40letýBořekJablko").
  
  Pokud generátor splňuje výše uvedené, věřil bych že vytvořené heslo je silné. Můžete mít ale problém s provozovatelem toho online generátoru. Věříte mu? Jak ověříte, že si vygenerované heslo někam neuložil?

• Tereza Š.

  Dobrý den, pane Fišere, v práci využíváme nespočet aplikací kam máme vždy jiné přihlašovací údaje a je otravné si je pamatovat nebo někam zapisovat, obzvlášť když se pravidelně mění. Existuje nějaké lepší řešení, popřípadě co byste doporučil?

• Host chatu

  Dobrý den,
  Bez znalosti konkrétní situace mohu poradit jen velmi nahrubo, ale snad tím vaši zvědavost uspokojím. :)
  
  Každá organizace má zpravidla nějaký centrální systém, kde jsou uloženy uživatelské účty. Pokud žádný centrální systém ještě neexistuje, lze ho vybudovat. Aplikace totiž zpravidla nemusí mít své vlastní úložiště uživatelů, ale mohou si sahat právě do toho centrálního systému. Aplikace bude možná potřeba mírně upravit, ale lze to.
  
  To je základ. Převedete situaci roztříštěných účtů na jejich centrální správu, kdy máte jeden uživatelský účet.
  
  Bohužel jde o aktivitu kterou musí učinit vaše IT oddělení. Jako běžný uživatel můžete zapojit své nadřízené a informovat je o stavu - dle pravdy: že vám to přidělává práci, brání vám to v ní, bezpečnostně to není dobře (protože si hesla nepamatujete a musíte si je psát).
  
  Jako uživatel můžete v počítači mít uloženou "klíčenku" s hesly. Pokud máte přidělený konkrétní počítač, lze to. Ale jde o léčení symptomu, nikoli příčiny.

• Jan

  Co znamená správa identit a k čemu to slouží?

• Host chatu

  Dobrý den,
  Identita je balíček dat, který se váže k nějaké fyzicky existující osobě - třeba jméno, příjmení, číslo OP.
  Když máte firmu, tak firma má desítky, někdy stovky IT systémů a v nich je potřeba spravovat uživatelské účty, a ty účty patří fyzicky existujícím osobám.
  Správa identit je obor, kdy řešíte životní cyklus identity ve firmě.
  
  Příklad:
  - Přijde nový zaměstnanec, na personálním s ním podepíšou smlouvu, tím ve firmě vzniká identita.
  - Nový zaměstanec musí dostat klíče, notebook, pracovní místo a firemní mailovou adresu. Všechny tyto věci se vážou přím k němu, k jeho identitě (protože vše je potřeba nějak evidovat).
  - Zaměstanec pracuje rok, pak dá výpověď.
  - Někdo z firmy musí: převzít notebook a klíče, smazat mailovou schránku.
  
  Zní to jednoduše, ale ve větších firmách je to velmi bolavé místo, protože bez evidence (a následné automatizace) se na ty věci zapomíná, nikdo neukončuje účty odešlých lidí, atd. Vzniká pak velké množství malých bezpečnostních problémů, které se postupně kupí. Může to mít i vyloženě přímé finanční dopady, pokud třeba pro nějaký software platíte licenci per-uživatel.
  
  Celé kouzlo správy identit je pak popsat, jak daná firma funguje, co uživatelé potřebují, zavést evidenci a automatizaci (třeba aby když v personálním systému skončí uživateli pracovní úvazek, aby automaticky přišel o přístupy do systémů a mailovou schránku). Na automatizaci slouží specializovaný software, kterému se říká Identity Manager.

• Lukáš Novotný

  Vím, že existují aplikace, které ukládají hesla a my si tedy nemusíme všechny pamatovat. Máte ale vy třeba nějakou pomůcku jak si všechna hesla zapamatovat? Nechci spoléhat jen na aplikaci, která se může kdykoliv poškodit a já se pak nebudu moct přihlásit do mých účtů. Děkuju za odpověď.

• Host chatu

  Dobrý den,
  Tohle je krásná otázka! Velmi často se doporučuje používat "klíčenky" na hesla, ale už se taktně mlčí o logistice s nimi spojené.
  Nemáte-li klíčenku u sebe, máte problém. Máte-li počítač, notebook, druhý notebook a mobil, budete pro změnu řešit jak mít klíčenku všude aktuální.
  
  Pokud řešíte ochranu proti ztrátě klíčenky, je to stejné jako třeba s rodinnými fotografiemi - zálohujte.
  Ale lze fungovat i bez jejích záloh a synchronizace. Ne všechny účty používáte stejně často a odevšud, takže málo používané účty mohou ležet v klíčence.
  
  Možnost, kterou osobně používám já, je přemýšlení o dalších cestách jak se k účtu v případě potřeby dostat. Funguje to takto:
  - Heslo do mailu nemám v klíčence, dal jsem si tu práci a pamatuji si ho. Mail jsem schopen použít odkukoliv.
  - Když se na webu někam registruji, stejně zadávám svůj mail jako kontakt. Zaregistruji se, heslo k účtu dám do klíčenky.
  - Když se na webu chci přihlásit, používám heslo z klíčenky.
  - Když klíčenku ztratím / nemám u sebe, používám na webech funkci pro zapomenuté heslo. Mailem je mi odeslán resetovací odkaz, a do mailu už si heslo pamatuji.
  
  Vlastně tím získávám schopnost dostat se do jakéhokoliv svého účtu i bez klíčenky, jenom díky tomu že se dostanu k sobě do mailu. Resety hesel a nastavování nových jsou samozřejmě otrava, chvilku to trvá, atd. takže primární je pořád použití klíčenky. Ale když jí nemám a nutně na ten účet potřebuji, přihlásím se také, jen je to pracnější.

• Matěj

  Mac mi občas pošle upozornění o uniklém hesle. Na jak velkou váhu bych to měl brát? Hesla se mi měnit nechtějí.

• Host chatu

  Dobrý den,
  Jedná se o varování o tom, že váš účet se opravdu objevil v datových sadách, které utekly z nějakého webu. Přinejmenším je dobré hlášení zkontrolovat a dané heslo, které uteklo, změnit.
  
  Kontrola zda nějaký můj účet není ohrožen je velmi dobrým dodatkem k dobře nastaveným silným heslům. Osobně tu kontrolu dělám, tak jednou za půl roku, a používám k tomu službu https://haveibeenpwned.com/ .

• Radim

  Řešili jste někdy odcizení identity nebo únik dat u větších firem? Je pravda, že jde vždy o lidský faktor, který tyto problémy způsobuje? A jak se třeba únik dat řeší?
  

• Host chatu

  Dobrý den,
  Lidský faktor je důležitý a mezi interními hrozbami je kategorie "zaměstnanci" statisticky velmi významná. Ať už se bavíme třeba o lidech, kteří "byli odejiti" a chtějí se pomstít, nebo třeba o lidech, kteří prodávají informace konkurenci, protože si chtějí přivydělat... možností je nepočítaně.
  NEJDE ale VŽDY o lidský faktor, ve smyslu že by to nějaký člověk udělal úmyslně. Pokud z aplikace dokáže útočník vytáhnout data, může se tak stát například prostřednictvím zneužitého bugu. Bug je chyba v aplikaci, kterou tam nikdo mít nechtěl; programátor prostě při psaní kódu udělal chybu. Bugy jsou naprosto běžná věc, nikdo není neomylný.
  
  Pokud z aplikace uniknou data, je nutné incident prošetřit. Zamená to zpravidla:
  - stanovit si časovou osu, kdy se co stalo
  - zjistit jak se to stalo
  - co všechno útočník napadl
  - co všechno útočník zjistil
  - jestli je daný systém stále napaden
  - jestli utekla nějaká data a případně jaká
  
  V závislosti na tom, co se najde, je pak nutné zareagovat. Přinejmenším to ale znamená:
  - uvést daný IT systém do stavu kdy mu opět "věříme" (není napaden, příčina napadení je odstraněna, data jsou v pořádku)
  - informovat všechny zasažené - uživatele, ostatní aplikace, dodavatele, atd.
  - vyřešit reporting dle požadavků zákona

• Mirka

  Je bezpečné souhlasit s ukládáním přihlašovacích údajů na různých webových stránkách během registrace?

• Host chatu

  Dobrý den,
  
  Předpokládám, že se bavíme o uložení přihlašovacích údajů v internetovém prohlížeči. To je volba, která se běžně zobrazuje pokud se někam přihlašujete.
  
  Uložení údajů v prohlížeči lze považovat za bezpečné pouze pokud máte nastaveno tzv. Hlavní heslo (Master password). Pokud ho máte nastavené, uložená hesla jsou jím zašifrována a prohlížeč vám tedy poskytuje něco jako "klíčenku" na hesla.
  Pokud Hlavní heslo nastaveno nemáte, jsou vaše hesla uložena v počítači v čitelné podobě a za bezpečné to považovat nelze.

• Tomáš Havel

  K čemu jsou cookies? Nemůže to o mě pak na internetu poskytovat soukromé informace?

• Host chatu

  Dobrý den,
  Cookie je kousek informace, kterou si může webová stránka uložit do vašeho prohlížeče. Jaká data si tam uloží, to je na ní. Zpravidla jde o identifikátory vážící se k uživatelskému sezení, nikoli k vám jako uživateli-fyzické osobě.
  
  Trochu jinou skupinou jsou analytické a marketingové cookies, ale tam jde o sledování dané osoby, zpravidla aby jí byla nabízena reklama. Sbírají se zájmy, navštěvované weby, vyhledávané výrazy v prohlížeči, atd. V praxi tedy nikoho nezajímá třeba jak se jmenujete.