Jak to teda s hesly je
Narazil jsem na článek od CSIRT-MU, že s hesly je to jako se zubním kartáčkem. Nadpis je docela dost chytlavý, aby čtenáře upoutal. Nicméně jsem z toho článku trochu rozčarován. V části, která se věnuje tvorbě hesla je představen jeden z mnoha způsobů tvorby hesla. V zásadě je tento způsob vhodný. Nicméně nelze paušalizovat, že takovéto heslo bude neprolomitelné.
Už jen protože existují nástroje, které dokážou připravit slovník na míru - to by kybertým spolupořádající cvičení Cyber Czech, měl vedět - podle zadaných parametrů. Se znalostí doporučovaného způsobu generování hesel - stačí se podívat co doporučují CSIRT týmy. Lze sestavit poměrně robustní slovník a na výkoném počítači provádět offline útok. Pokud nepůjde o hesla hashované bcryptem nezachrání Vás tedy ani tohle. Hlavní hrozbou dnes je zneužití hesel uniklých, existuje mnoho databází kde jsou taková hesla dostupná. Pokud se zde nachází Váš e-mail je velmi pravděpodobné, že Váš účet je/byl anebo bude ohrožen.
Poznámka o typickém heslej je také nevhodná. Heslo má 8 znaků. Kdo v dnešní době - edukující kybernetickou bezpečnost - používá tak krátké heslo? Standart je víc než 13 znaků, malé, velké, čísla a speciální znak. Jakým způsobem to bude namixováno je už na uživateli. Argument, abychom je nevystrašil je lichý. V dnešní době, je potřeba si přístup chránit. Tzn. že by všichni měli dostatečně dbát na zabezpečení svých účtů.
V tom uživatelům pomohou další body zmíněné v článku.
Správce hesel, bez toho to dnes už nejde. Zkuste KeePass nebo Bitwarden.
Stejně jako dvou faktorová autentizace (SMS není uplně vhodná, daleko lepší je OTP - zpravidla šesti mistný kód sloužící pro ověření přihlášení; Authy nebo Google Authenticator), žádné aspoň u důležitých účtu. Všude, kde to jen jde. Bez rozdílů. Určte lidi, aby to brali vážně a vyžadovali to. Všude kde máte osobní údaje, debetní nebo kreditní kartu, e-mail, sociální sítě,... kromě e-shopů téměř vše, že?
Psaní hesel na papírky vyřeší správce hesel.
A změna hesla? Pokud Vás k tomu služba po nějaké době vyzve tak si jej změňte, reálně je ale nesmyslné jej měnit každý měsíc. Určitě platí, že v případě kompromitace služby je nutné si jej změnit. Nicméně nevidím důvod si heslo měnit častěji než jednou za 6 nebo 9 měsíců.
Sdílet heslo? S nikým, nikdy!