Jeden ze studentů Ostravské univerzity, říkejme mu třeba Tomáš, řešil nepříjemnou situaci. Minulý týden mu na telefonu začala vyskakovat upozornění o podezřelých přihlášeních na jeho sociální sítě. Všechna sice zamítnul, ale každý den se objevují další. Tomáš se s tím obrátil na svého zběhlého kamaráda, který mu vysvětlil, jak jednoduché a rychlé může být takzvané prolamování hesel. A naštěstí Tomášovi taky poradil, jaké parametry by mělo silné heslo splňovat. Díky tomu si Tomáš stihl včas změnit heslo, a ochránit tak i svůj účet.
Tento příběh je postavený na reálné zkušenosti mnoha uživatelů. Pokusům o prolomení může čelit jakékoliv heslo a jeho odolnost závisí pouze na síle hesla. Například „heslo123“ počítač prolomí v řádu minut.
Jak mít své online účty pod kontrolou a podobným situacím účinně předcházet? S tím vám pomohou následující tipy!
1. Zjistěte, zda vaše heslo v minulosti nebylo součástí úniku dat
Vaše heslo je bezpečné jen ve chvíli, kdy jej znáte pouze vy. To se však mění s únikem dat, při kterém se přihlašovací údaje dostanou na veřejnost. Proto si určitě vyzkoušejte, jestli se tento případ netýká také vás. Vložte svou e-mailovou adresu do služby Have I Been Pwned a ihned zjistíte, zda se vaše adresa v nějakém úniku dat již objevila. Pokud ano, rozhodně byste si měli v dané službě heslo změnit – a pokud stejné heslo používáte i jinde (což určitě není dobře), bude třeba ho vyměnit za unikátní i tam. Po uniknutí hesla již totiž není otázkou, zde někdo váš účet nabourá, ale kdy se to stane.
2. Vytvořte si silné a zapamatovatelné heslo
Umění tvořit bezpečná hesla nespočívá ve využití desítek speciálních znaků a symbolů. Trendem v tvorbě hesel jsou dnes takzvaná frázová hesla. O co se jedná? Frázová hesla se skládají z kombinace zapamatovatelných slov.
Může se skládat z vašeho nejzajímavějšího příběhu přečteného v knize nebo zažitého někde na rodinné oslavě, z narození dítěte, fotbalového zápasu, oblíbené hospody, cesty se psem. Cokoli, co se vám bude dobře pamatovat, bude dostatečně dlouhé, ale nikdo si to s vaší osobou nespojí. Vyvarovat byste se měli všech známých citátů, lidových popěvků, říkanek nebo filmových hlášek. Tři až čtyři slova postačí, celkově se doporučuje používat frázové heslo delší než 12 znaků.
Co se týká interpunkce u hesel, tak ne vždy je u systémů automaticky přijímána. Někdy zkrátka s háčky a čárkami při vytváření hesla nepochodíte.
Kupříkladu hesla „kureUMIsqelou100jku“, „ctvrtaLAMPA24/7nesviti“ nebo „KarelV.VYPIJEdenne7PIV“ by prolomit trvalo až několik mnoho milionů let. A pokud chcete heslo dovést k dokonalosti, přidejte na náhodná místa zástupné znaky (mezera, čísla, interpunkce, symboly) například: „trhat.fialky.B00M.dynamitem“.
3. Testujte sílu svého hesla
Chcete si ověřit, jak je vaše heslo silné, respektive jak dlouho by trvalo počítači jej prolomit? Vyzkoušejte službu Security.org. I když jde o bezpečný nástroj, nepište do něj, ale přesně dané heslo zadejte pouze podobné o stejné délce a typu znaků. Pokud váš výsledek prolomení je v řádu dnů, pak nastal okamžik k jeho změně na silnější.
4. Nepoužívejte všude stejné heslo
Množství online účtů, které každý z nás denně využívá, není rozhodně malé – a uživatele to pak svádí k používání totožného hesla k více účtům. To ale v žádném případě není bezpečná strategie, jelikož při úniku dat z jednoho serveru tak útočník získá přístup k více, či dokonce všem, účtům. Vaše heslo totiž není jen řetězcem znaků, který vám umožňuje přístup do konkrétního účtu. Heslo v kyberprostoru představuje polovinu vašeho soukromí.
Stejně nevhodné je zapsat si heslo na papírek, a přilepit si jej na monitor nebo kamkoliv v blízkosti vašeho zařízení. Pin vaší karty přece taky nenosíte zapsaný v peněžence.
5. Používejte správce hesel
Jak si ale všechna svá hesla zapamatovat? Řešení existuje v podobě velmi pohodlného a bezpečného nástroje jménem správce hesel. Jedná se o jakýsi trezor, který zašifrovaně střeží uživatelova hesla.
Správců hesel existuje celá řada: může být ve formě doplňku do prohlížeče, ale i zašifrovaná databáze u vás na počítači. Většina správců hesel pak dokonce i hesla při přihlašování vyplňuje, takže je ve správci nemusíte zdlouhavě dohledávat.
Pozor, správce hesel nerovná se ukládání hesel do prohlížeče. Takové ukládání je ze své podstaty špatné, hesla v tomto případě rozhodně nejsou uložená bezpečně. Vždy, pokud chcete mít někde svá hesla uchovaná, je rozhodně lepší a bezpečnější využívat správce hesel.
Všichni správci hesel mají jedno společné: přihlašujete se do nich jedním, hlavním, heslem. Od momentu, kdy si správce hesel zařídíte, je to jediné heslo, které je si třeba pamatovat.
Kterého správce hesel ale zvolit? Doporučit pouze jednoho není zrovna lehký úkol. Mohou totiž být zdarma i placení, fungovat jako samostatný program na vašem zařízení (tzv. on-device) nebo v cloudu a jako doplněk do prohlížeče. Mezi nejvyužívanější správce (a mezi nejdůvěryhodnější dle aktuálních testů) patří například KeePassCX (on-device), Bitwarden (dostupná verze zdarma nenabízí vícefaktorové ověřování), Sticky Password nebo často využívaný LastPass (dostupná verze zdarma).
6. Pokud je to možné, zapněte si vícefaktorové ověřování
Vhodným nástrojem, který ochranu vašeho účtu posílí, je vícefaktorové ověřování (či autentizace). To spočívá v tom, že kromě zadání samotného hesla se uživatel musí při přihlašování ověřit ještě potvrzením na svém telefonu. Pokud by se tak někdo dostal k vašemu heslu, musel by získat ještě i váš mobilní telefon.
Tento nástroj pravděpodobně znáte ze svého internetového bankovnictví, využít jej můžete ale také při přihlašování do svého Google či facebookového účtu. Často je však potřeba si toto ověřování ručně zapnout v nastavení účtu.
Jak se chovat bezpečně v online světě? |Díl 2.| Když chce po vás Bill Gates v mailu proplatit fakturu
Také čtěte
Své heslo nikomu nesdělujte. A když se vás na něj někdo zeptá? Tak taky ne.
Opravdu nikdy nikdo z CIT na univerzitě k práci vaše heslo nepotřebuje znát. Pokud vám přijde jakoukoliv cestou žádost o sdělení hesla, jeho vložení do nějakého formuláře a tím aktivaci nebo odblokování univerzitní služby, je to nesmysl a podvod, vždy. Podobně je tomu tak i mimo univerzitní prostředí. Vždy buďte velmi obezřetní v tom, kam své heslo vkládáte.
V případě problému spojeného s IT se mohou zaměstnanci a studenti Ostravské univerzity obracet na security@helpdesk.osu.cz.
Chcete se dozvědět více o tom, jak se na internetu chovat bezpečně? Zapojte se do online kurzu nazvaného Základy kybernetické bezpečnosti, který vytvořili odborníci z Centra informačních technologií OU pro zaměstnance a studenty univerzity. Na konkrétních případech si projdete nejčastější chyby, kterých se uživatele dopouští a naučíte se, jak jim předcházet a účinně se bránit. Kurz najdete na tomto odkaze.