1. Hesla a přihlašování

Konečně použitelné rady pro péči o uživatelská hesla! Jak s hesly na internetu nakládat komfortně, ale bezpečně?

Stalo se?

Bohdanovi je 38 let a pracuje jako referent odboru školství blíže neurčeného magistrátu. Aby si zjednodušil práci, zapisoval si svá přihlašovací jména a hesla do excelové tabulky. Vytvářel si evidenci, aby si je nemusel pamatovat. A protože tuto evidenci navštěvoval často, měl ji uloženou přímo na ploše. Před zahájením školního roku posílal všem ředitelům škol v daném kraji nové pokyny pro tvorbu statistických výkazů. Pokyny posílal jako samostatné návody v příloze hromadného e-mailu. Když ho začali ředitelé upozorňovat na skutečnost, že jim v příloze odeslal i něco, co tam zjevně nepatří, orosil se. Měl štěstí, nikdo situace nezneužil. Excelové evidence se ale raději zbavil a začal hledat bezpečnější řešení.

Bezpečná hesla

On-line služby a portály v dnešní době vyžadují, aby si uživatel zvolil relativně bezpečné heslo. Hesla typu „jindrich38“ často není možné nastavit. Ochranné mechanismy dohlíží nad to, že má heslo určitý počet znaků, zpravidla alespoň 12, vyskytují se v něm velká i malá písmena, číslice a speciální symboly jako třeba +*?-. To bývá považováno za dobrý standard. Pozor by si uživatelé měli dát na předvídatelné pozice. Když se velké písmeno umístí na začátek a číslice naopak na konec hesla, usnadní to útočníkovi práci. Předvídatelné pozice snižují počet kombinací, kterými se musí prokousat. Je to jako zamknout a klíč dát pod rohožku. Je vhodné při tvorbě hesla projevit více kreativity. Za zmínku také stojí, že v současné době považují odborníci délku hesla za nejdůležitější faktor bezpečnosti.

Frázová hesla

Frázová hesla mají výhodu. Bývají lépe zapamatovatelná, protože jsou kreativní. Heslo totiž nemusí být jen řetězec náhodných znaků. Může fungovat jako paměťová pomůcka, se kterou dokáže uživatel pracovat. Paměťovou pomůckou může být cokoliv, třeba kniha, kterou před sebou máte v knihovně. Pro příklad Nový epochální výlet pana Broučka, tentokrát do XV. století. Teď stačí určit a zapamatovat si klíč, podle kterého heslo skládáme. Frázové heslo může mít následující podobu: Nový epochální výlet pana Broučka, tentokrát do XV. století, tedy NevpB,td15.s. Níže se můžete podívat, jak dlouho by prolomení tohoto hesla trvalo. V žádném případě však nedoporučujeme zadávat do podobných webů opravdová a aktuální hesla k orientačnímu otestování. V případě zájmu vždy zadávejte jen charakterem obdobná hesla.

null
Ilustrační obrázek ukazuje orientační výpočet doby potřebné pro prolomení modelového frázového hesla. V tomto případě by to trvalo až 63 000 let. Záleží však na výpočetním výkonu útoku.
Zdroj: security.org/how-secure-is-my-password/

Správce hesel

Správci hesel jsou počítačové programy, které dokážou hlavě uživatele ulevit na maximum. Způsobů, jak mohou uživatelé se správci hesel pracovat, je více. Obvykle správce hesel umí hesla vymýšlet, ukládá je na bezpečném šifrovaném místě a v případě potřeby hesla vydává uživateli. Někteří uživatelé do správce hesel neukládají hesla, ale jen paměťové pomůcky a klíče k frázovým heslům. Uživatel si pamatuje pouze „superheslo“, kterým se správce hesel spouští. Říká se, že jsou jen dvě hesla, která do správce hesel nepatří. Heslo od e-mailu a od internetového bankovnictví.

Můžete mi nějakého správce hesel doporučit?

Doporučení si zaslouží správce hesel KeePass. Není to fešák, ale má své výhody. Je to open-source, což znamená, že programový kód KeePassu vyvíjí celosvětová komunita programátorů. Jeho kód je veřejně známý a průhledný. Aby do programového kódu nemohl nikdo přidat škodlivou část, existuje řada ochranných mechanismů a schvalovacích procesů. Proto odborníci na kybernetickou bezpečnost open-source řešením zpravidla více důvěřují. KeePass se spouští jako off-line soubor bez přístupu k internetu, což je také jeho plus. Tento soubor je však vhodné zduplikovat a uložit jeho kopii na bezpečné místo, například pro případ poškození původního souboru s hesly. Má i českou verzi. Není komerční, je zdarma.

Co funkce „zapamatovat heslo“, kterou nabízí webové prohlížeče?

Technické řešení této funkce se u webových prohlížečů liší. Obecně však platí, že se nejedná o příliš bezpečnou funkci, protože existuje několik postupů, jak uložená hesla vzdáleně odcizit. Za relativně bezpečné lze považovat řešení webového prohlížeče Safari. Také řešení webového prohlížeče Mozilla Firefox patří k těm bezpečnějším, pokud si uživatel nastaví tzv. hlavní heslo pro ochranu všech ostatních hesel. Všimněte si ale, že i v oficiálních návodech, které najdete v odkazech výše, jsou jmenována rizika s tímto řešením spojená.

Úniky přihlašovacích údajů

Hesla uživatelů mohou uniknout přímo on-line službě. Ta by neměla hesla uchovávat v prosté podobě, tedy v podobě, jakou zná uživatel. Neměla by vědět, že uživatel má heslo NevpB,td15.s. Řada služeb to však nerespektuje, čímž uživatele ohrožují. Správně má on-line služba znát jen zástupný řetězec hesla vytvořený pomocí matematické funkce. Takovému řetězci se říká hash a vypadá třeba takhle: 034f79995f34f8529e68a97b4873deaadf1350ab. Heslo a jeho hash jsou jako jednovaječná dvojčata. Jsou stejná, ale přesto rozdílná. V případě úniku údajů by tedy měly unikat „jen“ hashe. Jenže pokud daná služba používá zastaralé hashovací funkce, zase máme malér. Existují totiž nástroje, které takové hashe umí prolomit. I proto je důležité dát si s tvorbou hesla trošku práce, a také ho průběžně obměňovat.

null
Ilustrační obrázek ukazuje nástroj k prolomení hashe na heslo v prostém textu. Například hash 034f79995f34f8529e68a97b4873deaadf1350ab představuje heslo open-door. Nelze však tvrdit, že tímto způsobem je možné prolomit každý hash. Zdroj: crackstation.net

Dvoufaktorové ověřování

Dvoufaktorové ověřování je záchranná brzda, pokud se k heslu uživatele dostane někdo cizí. Doporučujeme ho nastavit všude, kde je to možné. Nejčastěji má podobu SMS kódu s časově omezenou platností, nebo výzvy v příslušné mobilní aplikaci. Při přihlašování do on-line služby zadá uživatel přihlašovací jméno, heslo a ještě musí opsat SMS kód, nebo potvrdit výzvu v aplikaci. To je ten druhý faktor. Od ověřování pomocí SMS kódů se pomalu upouští, protože SMS nejsou šifrované a není složité je odposlouchávat. Výzvy v mobilní aplikaci bývají důvěryhodnější. Zpravidla využívají šifrování a stále častěji využívají biometrické údaje, jako otisk prstu uživatele. Pokud můžete, zvolte ověřování mobilní aplikací.

Má dvoufaktorové ověřování nějakou slabinu?

Účinnost tohoto ověření snižuje poměrně nenápadná věc v nastavení telefonu. Náhledy SMS zpráv. Pokud uživatel využívá jako druhý faktor SMS kód, měl by v nastavení zakázat náhled zpráv na uzamčeném zařízení. Pokud to zakázáno není, k SMS kódu se může dostat kdokoliv, kdo má k telefonu přístup, aniž by ho musel odemykat.

Co když mám dvoufaktorové ověřování aktivní a ztratím telefon?

Pro tyto případy bývají uživateli vystaveny tzv. záložní kódy. Mohou mít podobu číselného kódu, QR kódu atp. Je dobré si tyto záložní kódy bezpečně uložit, ideálně off-line. Problém totiž může vyvstat, pokud se útočník těchto kódů zmocní. To se může stát, pokud je má uživatel ledabyle uložené někde ve svém zařízení. Pokud útočník kódy získá, služba ho bude považovat za ověřeného uživatele, který kupříkladu ztratil telefon.

Tahák do kapsy

1. Podoba hesla	2. Délka hesla	3. Frázová hesla	4. Správce hesel
Heslo může obsahovat velká a malá písmena, číslice i speciální symboly jako jsou +*?- atp. Je vhodné nedávat velké písmeno na začátek a číslici na konec hesla. Jsou to předvídatelné pozice.	Dobré heslo je složeno alespoň ze 12 znaků. Odborníci na kybernetickou bezpečnost tvrdí, že délka hesla je nejdůležitější faktor pro odolávání technikám, které mají za úkol heslo prolomit.	Pomoci naší hlavě mohou tzv. frázová hesla. Fungují jako dobrá paměťová pomůcka. Vzpomeňte si na Nový epochální výlet pana Broučka, tentokrát do XV. století, tedy NevpB,td15.s.	Správci hesel jsou šikovné prográmky, které hesla vygenerují, ukládají na bezpečném místě a v případě potřeby je uživateli vydávají. Odborníci za dobrého správce hesel označují třeba Keepass.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně