Prokletá hesla a co s nimi?

S novým rokem by mělo přijít vždy něco nového. V mém případě to bylo rozhodnutí přispívat do Tišnovských novin a pokusit se pomoci čtenáři zorientovat ve virtuálním světě počítačů včetně internetu. V nové rubrice s názvem „třeba – pohled zkušeného ajťáka“ bych vám rád přinášel témata, která bývají laickou veřejností opomíjena či přehlížena. Nechci vás učit nějaké základy, jak ovládat počítač, či vás unavovat odbornými články, nýbrž se soustředit na kontext popisovaného problému a jeho řešení. Témata, kterým bych se rád věnoval, jsou například kybernetická bezpečnost, chování a komunikace na inter- netu, moderní technologické trendy. Zároveň bych v každém článku chtěl přinášet konkrétní praktické tipy a nechám na uvážení čtenáře, zdali je využije či nikoliv.

Co myslím pojmem heslo? Jsou to všechna ta přihlašovací okénka se jménem a heslem,  která  na  vás  vyskakují  z různých webových stránek (Facebook, Google) nebo počítačů (hesla do Windows, mobilní telefon, tablet). Z tolika hesel, která si máme pamatovat, se člověku zamotá hlava. V dnešní době to musíme řešit všichni.

Pro navození té správné atmosféry vám budu vyprávět smyšlený příběh o tom, jak si nastavila a používá hesla naše milá paní Zapomnětlivá.

Naše paní Zapomnětlivá bydlí v třípokojovém bytě s manželem, dcerou Dominikou, synem Františkem a psím domácím mazlíčkem s příznačným názvem Enzo. Je zaměstnána ve firmě Makáči, s. r. o., jako administrativní pracovnice. Musí se denně přihlašovat do různých webových stránek a aplikací pomocí uživatelského jména a hesla. Nejdřív si hesla psala na různé papírky, ale časem se začaly papírky z neznámých příčin ztrácet. Strašně ji rozčilovalo, že si musí pamatovat tolik hesel, a tak se rozhodla si to zjednodušit. Vymyslí si dobré heslo, které nikdo neuhodne a které si lehce zapamatuje. Jak se rozhodla, tak učinila. Sedíc v práci, kde zase chtějí změnit heslo, musí vymyslet nové. Bože, ty to vidíš. Tak co třeba po té chlupaté milé potvůrce doma? Zkusíme „enzo“. Neprošlo. Chyba minimálně osm znaků. Hmm. Tak „enzosicek“. Chyba – chybí velké písmeno. Grrr. Tak „Enzosicek“. Chyba – chybí číslice. Grrrr, ty zmetku! Tak „Enzosicek1“. Heslo přijato. Ufff, no konečně. To jsem to hezky vymyslela, pomyslí si paní Zapomnětlivá. Na to nikdo nepřijde. A rozhodne se heslo používat ve všech webech a aplikacích. Pokud je heslo odmítnuto, mírně jej modifikuje – např. „Enzosicek5“ nebo vytvoří alternativu např. „Dominika2“. Paní Zapomnětlivá má hotovo. Ale co my ostatní?

Pokud se v příběhu částečně poznáváte, je to naprosto přirozené. Trošičku asi tušíte, že není vše tak úplně v pořádku. Nyní si povíme, co všechno udělala paní Zapomnětlivá špatně, a řekneme si o lepších řešeních.

První chyba: síla hesla

Proč se zabývat něčím, jako je síla hesla, a co to vlastně znamená? Síla hesla = čas potřebný k prolomení hesla. Čím je čas delší, tím je heslo silnější. Jak je to ale s tím časem? Řekneme si, jak se takový čas počítá.

Z kolika možných  znaků  poskládáte heslo, má totiž zásadní vliv na počet kombinací, které musí útočník projít při útoku (hrubou silou).  Například  pokud  je heslo malými písmeny, sestavujete heslo z 32 znaků [Heslo A]. Přidáním číslic už jsme na 10 + 32 = 42 znacích. Přidáním velkých písmen se dostaneme na 42 + 32 = 74 znaků [heslo B]. Tyto kombinace rostou exponenciálně. Dle vzorce počet kombinací = nk, kde n je počet možných znaků a k je délka hesla.

• Takže pro [Heslo A] dlouhé 8 znaků máme 328 => 1 099 miliard kombinací.
• Pro [Heslo B] dlouhé 74 znaků máme 748 => 899 194 miliard kombinací.

Zdá se vám to hodně? Ne až tak, jak to působí. Dnes se prolamují hesla pomocí výpočetního výkonu grafických karet. Poslední uvedená grafická karta Nvidia RTX 3080 obsahuje 8 704 procesorových jader. Pro srovnání ve svém PC máte čtyři až osm. To je tisícinásobně více. Jediná taková karta dokáže propočítat 24 miliard MD5 Hashů za sekundu (používá se jich zpravidla více). Asi netušíte, co je to Hash. Prostě počítač vezme vaše heslo a vytvoří z něj otisk, říkáme mu „Hash“ a ten si uloží. Při přihlášení se vypočítá jeho otisk a ten se porovná s uloženým otiskem hesla. Nikoliv zadané heslo s uloženým heslem. Pokud někdo ukradne tento otisk, snaží se jej následně prolomit a získat vaše heslo, které jej vytvořilo. Nikdo by neměl ukládat vaše heslo v čitelné podobě, ale pouze jenom jeho Hash.

Nyní máme počty kombinací a zároveň rychlost, jakou je můžeme zkoušet. Pojďme si spočítat, jak dlouho bude trvat prolomit naše [Heslo A] a [Heslo B]. Bude to pro [Heslo A] 45 sekund a pro [Heslo B] 26 dní. Jak sami uznáte, rozdíl je obrovský. Heslo paní Zapomnětlivé by tedy bylo 428, z toho plyne 9 682 miliard kombinací a ty se spočítají za 6,7 minuty. Síla jejího hesla je 7 minut. Tedy byla by, kdyby neobsahovalo slovo a typický postup tvorby hesla.

Na tento typ hesla se používají tak zvané „slovníkové útoky“. Lamačům hesel je známo, že většina lidí dá velké písmeno na začátek slova. Tak nás přece učili ve škole. Číslo se přidává na konec a ještě se tam přidává nějaký znak třeba „!?,-“. Pravý důvod, proč se tak děje, je, že ostatní speciální znaky na klávesnici neumíme napsat. Programy na prolamování hesel toto zvládají mistrně. Takže nemusíte zkoušet nezapamatovatelná hesla, stačí zadat do programu všechny podstatné údaje, které jsem zmínil v našem příběhu. Heslo paní Zapomnětlivé by při slovníkovém útoku odolalo možná minutu.

Co si z toho odnést:

• Používejte hesla dlouhá aspoň 12 znaků.
• Používejte náhodně generovaná hesla

=> Tq*AnLAQcDBV8soZ.

• Hesla, která zapomenete, vám kvalitně zabezpečená služba opravdu nepošle e-mailem.

Odstrašující zjištění:

• Nejpoužívanější hesla v České republice za rok

Vítězové jsou: 12345, 123456, 123456789, heslo, test1, password, 12345678.
V porovnání s tímto je paní Zapomnětlivá ještě hvězda, vítěze uhodne dítě ZŠ.

Druhá chyba: opakování stejného hesla

Pokud se rozhodneme, že budeme svoje heslo opakovaně zadávat do různých služeb a tím si šetřit práci a čas, není to zrovna dobrý nápad. Představme si situaci z našeho prvního povídání o silném hesle. Může se stát, že nějaká služba nedostatečně zabezpečí naše hesla proti hackerům. Hackeři nejdříve ukradnou soubory s Hash/otiskem našeho hesla, toto heslo prolomí a následně si jej spojí s e-mailem. A to proto, že ve většině přihlašování se zadává e-mail jako přihlašovací jméno. Pokud jste kompromitované/uniklé heslo použili i na dalších místech, je to doslova svatý grál. Nyní už stačí útočníkovi pouze vyzkoušet, kde všude jsme heslo použili a jestli funguje. To přeci nechcete, nebo ano?

Co si z toho odnést:

• Neopakujte hesla, nikdy!

Tip:  Víte, jak ověřit, jestli už nedošlo k úniku Vašeho hesla? Existuje udržovaná databáze, která momentálně obsahuje asi 10 miliard uniklých hesel.

Napište svůj používaný e-mail do služby: haveibeenpwned.com

Pokud narazíte na nápis „Oh no — pwned!“ – tak heslo spojené s vaším e-mailem již bylo prozrazeno.

Třetí chyba: uchovávání hesel

V našem příběhu si paní Zapomnětlivá psala svá hesla na lístečky. Dalším oblíbeným místem jsou nalepené lístečky na monitoru, napsané heslo na spodní straně klávesnice, názvy,  co  jsou  vidět ze židle u počítače (MacBook Pro, Sam- sung, Acer atd.) nebo sepsané v nějakém nešifrovaném souboru přímo na počítači (Zápisník, Word, Excel).

Lístečky vezme vítr nebo uklízečka. Heslo na klávesnici nebo ve vašem okolí si každý přečte. Soubor ve vašem počítači si může přečíst IT specialista, kterému jste dali počítač do opravy. Samozřejmě  v životě narazíme na volný mix metod zmíněných výše a obohacený o nové „nápady“ stejné lidové tvořivosti. Nic z toho není pro vás bezpečné a hlavně si tím zaděláte na dokonalý chaos.

Na bezpečné uchovávání hesel existují specializované programy. Říká  se jim „Správci hesel“. Všechna hesla máte na jednom místě a v zašifrované podobě. Řeší většinu problémů spojených s používáním hesel a především:

• Pro každou službu, přihlášení generují silné heslo a zároveň jej uloží do vaší databáze.
• Můžete zde hesla organizovat – od při- hlášení na webu po aplikaci interneto- vého bankovnictví.
• Bývají už od začátku propojeny s da- tabázemi uniklých hesel, na což vás aplikace upozorní.
• Dokáží hesla bezpečně synchronizovat mezi vašimi zařízeními: počítač, tab- let, telefon, chytré

Co si z toho odnést:

• Používejte správce
• Vytvořte si silné heslo pro správce he- sel a nikdy ho nikomu nesdělujte. (Jak si takové heslo vytvořit, popisuji v zá- věru článku.)

Tip:

Nejlepší správci hesel pro platformu: Windows, Android

=> LastPass (lastpass.com) MacOS, iOS, iPadOS

=> 1Password (1password.com)

Závěrem zamyšlení a jedna dobrá rada

Často slýchávám, že není potřeba správce hesel a můžete si vše zařídit přes účet Facebooku nebo Googlu. Tomuto se říká tzv. federalizované neboli jednotné přihlášení přes cizí službu. Já osobně nejsem zastáncem. Pokusím se vysvětlit, v čem vidím zásadní rozdíl. Správci hesel (1password,  LastPass)  uchovávají  data na svých serverech v šifrované podobě a klíče k jejich dešifrování jsou uložené pouze na vašem zařízení. Nemohu zde popisovat detailní fungování, jelikož je to velmi odborné téma. Prostě mi musíte věřit nebo si to nastudovat. Na rozdíl od účtů Facebooku či Googlu, které jsou využívány za účelem doručování velmi přesně  cílené reklamy. Zde jste zbožím vy. Obě společnosti měly v minulosti a určitě budou i v budoucnosti řešit kauzy s únikem dat, včetně těch vašich. Pro ilustraci uvedu příklady: Google musel zavřít svoji sociální síť Google+ z důvodu úniku 750 tisíc účtů. Bylo snazší zavřít službu než ji opravovat. Kolega Facebook je provařený ještě více. Jedna z kauz se týkala úniku dat, kde byly nešifrované podoby hesel zákazníků. Tyto kauzy se objevují skoro pravidelně – rok co rok. To je také důvod, proč se plní databáze uniklých hesel. Pokud chcete věřit nadnárodním gigantům, že jim jde o vaše bezpečí, respektuji to. A já vám radím, vyhněte se takovému řešení.

A ještě jedna rada na závěr. Víte, jak si vytvoříte silné a přitom zapamatovatelné heslo pro správce hesel? Existuje více způsobů, ale já se s Vámi podělím o jeden z nich.

Vymyslete si nějakou větu, kterou si dobře pamatujete. Měla by obsahovat velké písmeno uprostřed, číslici a nějaký znak.

„Každý den chodím přesně ve 3 h. do hospody na Krčku.“

Z této věty vezměte první dvě písmena každého slova, pokud je slovo jednopísmenné, vezměte jen první. Dostanete něco takového „Kadechprve3h.dohonaKr“. Je to 21znakové heslo obsahující malé a velké znaky, znak a číslici. Nejenže si jej zapamatujete, ale je i bezpečné. Samozřejmě nesmíte zapomenout větu, napsat si je na lísteček či klávesnici.

Jsem si vědom, že jsem vám nastínil pouze část problematiky hesel a s nimi souvisejícího ověřování vaší identity v digitálním světě. Existují další  způsoby,  jak zvýšit bezpečnost – vícefaktorové ověřování, biometrické metody, různé sw/hw bezpečnostní tokeny atd. Cílem článku je pokus o to, abyste se zamysleli, jestli by opravdu nestálo za to, nebýt jak naše paní Zapomnětlivá.

Petr Plíšek, webmaster, konzultant informační bezpečnosti a velký fanda nakousnutého jablka