Jak to teda s hesly je

Narazil jsem na článek od CSIRT-MU, že s hesly je to jako se zubním kartáčkem. Nadpis je docela dost chytlavý, aby čtenáře upoutal. Nicméně jsem z toho článku trochu rozčarován. V části, která se věnuje tvorbě hesla je představen jeden z mnoha způsobů tvorby hesla. V zásadě je tento způsob vhodný. Nicméně nelze paušalizovat, že takovéto heslo bude neprolomitelné.

Už jen protože existují nástroje, které dokážou připravit slovník na míru - to by kybertým spolupořádající cvičení Cyber Czech, měl vedět - podle zadaných parametrů. Se znalostí doporučovaného způsobu generování hesel - stačí se podívat co doporučují CSIRT týmy. Lze sestavit poměrně robustní slovník a na výkoném počítači provádět offline útok. Pokud nepůjde o hesla hashované bcryptem nezachrání Vás tedy ani tohle. Hlavní hrozbou dnes je zneužití hesel uniklých, existuje mnoho databází kde jsou taková hesla dostupná. Pokud se zde nachází Váš e-mail je velmi pravděpodobné, že Váš účet je/byl anebo bude ohrožen.

Poznámka o typickém heslej je také nevhodná. Heslo má 8 znaků. Kdo v dnešní době - edukující kybernetickou bezpečnost - používá tak krátké heslo? Standart je víc než 13 znaků, malé, velké, čísla a speciální znak. Jakým způsobem to bude namixováno je už na uživateli. Argument, abychom je nevystrašil je lichý. V dnešní době, je potřeba si přístup chránit. Tzn. že by všichni měli dostatečně dbát na zabezpečení svých účtů.

V tom uživatelům pomohou další body zmíněné v článku.

Správce hesel, bez toho to dnes už nejde. Zkuste KeePass nebo Bitwarden.
Stejně jako dvou faktorová autentizace (SMS není uplně vhodná, daleko lepší je OTP - zpravidla šesti mistný kód sloužící pro ověření přihlášení; Authy nebo Google Authenticator), žádné aspoň u důležitých účtu. Všude, kde to jen jde. Bez rozdílů. Určte lidi, aby to brali vážně a vyžadovali to. Všude kde máte osobní údaje, debetní nebo kreditní kartu, e-mail, sociální sítě,... kromě e-shopů téměř vše, že?

Psaní hesel na papírky vyřeší správce hesel.

A změna hesla? Pokud Vás k tomu služba po nějaké době vyzve tak si jej změňte, reálně je ale nesmyslné jej měnit každý měsíc. Určitě platí, že v případě kompromitace služby je nutné si jej změnit. Nicméně nevidím důvod si heslo měnit častěji než jednou za 6 nebo 9 měsíců.
Sdílet heslo? S nikým, nikdy!

Other Related Posts:

Černé krabičky

By nás měly chránit…

V záhlaví návrhu zákona se píše,

Účelem předloženého návrhu zákona je založit Vojenskému zpravodajství novou působnost spočívající v zabezpečování kybernetické obrany České republiky. Za tím účelem se mu v novele zákona o Vojenském zpravodajství umožní používání technických ...

11th Feb 2019

Kompromitace webu

Přišel mi e-mail...

Stálo v něm následující,

Dear support portal user,

as you may have noticed, our portal has been unavailable. We identified an unknown party's attempt to breach the Flowmon's support portal yesterday. As a part of the internal security process, we took the portal offline.

W...

1st Feb 2019