Bezpečnost na internetu je problém nás všech!

Vložte jméno
Docela se bavím situací, která se rozvinula kolem komunitního portálu Libimseti.cz. Možná jste zaznamenali, že loni v srpnu se jim někdo naboural do jejich databáze a získal přístup k soukromým albům několika tisíc uživatelů (resp. uživatelek). Díky tomu se mohl oblažit pohledem na spoře oděné patnáctky v rádoby sexy pózách (ou, yeah!). Ovšem jak se nyní ukazuje, útok to nebyl jediný a podle všeho jich bylo více, přičemž k tomu poslednímu mělo dojít letos v lednu.

Nemá asi cenu nosit dříví do lesa, stačí když si přečtete oba dva výše linkované články, ale co mě na celé situaci zaráží nejvíce je fakt, že někteří lidé nejsou natolik soudní a používají na všechny internetové služby jedno a to samé heslo.

Ano, je to pohodlné (a člověk je od přírody tvor pohodlný) a přiznám se, že i já jsem kdysi hodně dávno měl „na internet“ jedno heslo, ale postupem času jsem si uvědomil, nakolik (ne)bezpečné to je. Stačí, aby na některé službě někdo vaše heslo zachytil, a jste nahraní. Běhá mi mráz po zádech, pokud by někdo mohl jen kvůli mé lenosti ukrást mou identitu, odčerpat (nebo minimálně monitorovat) peníze na účtu, přistupovat k mailu a mnoha dalším službám, které jsou na mail a heslo vázány. O to víc mě šokují na první pohled nevinné příspěvky do diskusí, jak ilustruje obrázek níže. (Aneb když už mi někdo odcizí heslo, které používám všude, řeknu mu alespoň, kde ho může použít). Vlastně ne, oni to provozovatelé “Líbka” oficiálně nepřiznali, že mohli být napadeni letos, takže žádné obavy…

Hesla, hesla, hesla
Osobně používám na každou internetovou službu nebo web jiné heslo. Nepoužívám žádný speciální software, hesla si pamatuji a mám v nich systém. A dokonce to jde celkem jednoduše, i když jsem líný jako všichni ostatní. Ani v nejmenším netvrdím, že má hesla jsou neprůstřelná (nejsou!), ale rozhodně díky nim můžu klidně spát. Samozřejmě, že pokud někdo bude moc chtít, vaše heslo vždycky prolomí (pomocí hrubé síly) nebo jinak zjistí (pomocí sociálního inženýrství).

Čas od času se dostanu k cizímu heslu a bohužel drtivá většina z nich je natolik naivních, že by se v jejich stínu mohla i Iveta Bartošová označit za královnu světového popu. Buď se jedná o to samé heslo jako uživatelské jméno (v horším případě) nebo jde o uživatelské jméno doplnění rokem narození (v lepším případě), případně coby hesla figurují jména partnerů / dětí / psů / koček / děděčků / babiček / tetiček z druhého kolena. Sem tam se jedná o zdrobnělou variaci na jméno nebo přezdívku. Tedy nic, co by nadprůměrný znalý trochu blízký člověk neprolomil.

Apeluji na vás, uživatelé moji drazí a milí internetu! Nebuďte hloupí, líní a pohodlní. Vytvářejte si pro své účty hesla, která nebudou snadno prolomitelná a kvůli jejichž odcizení se pro vás nezhroutí svět. Tady máte mé tipy:

5 tipů pro vytváření hesel a zacházení s nimi

Tip 1: Mějte dlouhé heslo

Názory na délku hesla se sice různí, ale v průměru je 6 znaků v hesle v pořádku, 10 je dobrých, 15 skvělých. Pokud tedy zrovna heslo neslouží jako klíč k nějakým supertajným informacím (přístup do velína v Temelínu:-), vystačíte si s těmi 6-10 znaky. Mít heslo kratší a pouze z písmen je velmi riskantní, jelikož jej prolomí kdejaký program během několika málo minut.

Tip 2: Neomezujte se na abecedu

Většina běžných uživatelů má svá hesla tvořená pouze písmeny z abecedy. Naštěstí (či naneštěstí pro crackery) heslo může obsahovat jakékoliv libovolní znaky, které jste schopni na klávesnici napsat. Neomezujte se proto pouze na použití písmen abecedy a do hesla vložte i jiné znaky.

Uvádí se, že pro vytvoření hesla je vhodné si zvolit nějaké běžné a smysluplné slovo, např. „vasejmeno“. Poté změňte některé malá písmena na velká („A“ není v hesle to samé co „a“, tudíž pokud by chtěl heslo někdo prolomit, měl by těžší práci) – „VaSeJmEnO“. Stejně tak se vyplatí zaměnit některá písmena za čísla, např. „V4SeJm3n0“. A abyste případného crackera ještě více dorazili, doplňte do hesla ještě nějaký jiný znak – !, @, # & atp. Výsledkem bude např. heslo ve tvaru „V4SeJm3n0!“, jehož prolomení nebudou otázkou náhody ani několika minut.

Tip 3: Mějte různá hesla pro různé služby

Jak jsem zmínil v příspěvků výše, neomezujte se na jedno heslo pro všechny své účty. Pokud by vám někdo takové heslo odchytil, můžete rovnou heslo všude změnit, což by pro někoho znamenalo práci minimálně na půl dne a hlavně především stres z toho, že nikdy nebudete vědět, zda jste změnili úplně všechny hesla. Doporučuji proto vytvořit systém, kdy například heslo vytvořené podle výše uvedeného klíče budete pokaždé obohacovat o nějaké další znaky. Možností je mnoho, opět aby se heslo co nejlépe pamatovalo a dalo odvodit, zkuste třeba k heslu přidat první tři písmena daní služby, do které se přihlašujete.

Tip 4: Nikam si heslo nepoznamenávejte

Někteří lidé si ihned vedle platební karty poznamenávají i PIN. Nedělejte to samé s heslem! Psát si ho na papír někam k počítači nebo jej v počítači někde ukládat, je hloupé. Snažte se heslo co nejrychleji zapamatovat. Byť se to zpočátku může jevit jako nadlidský úkol, pokud budete heslo používat trochu častěji než jednou za půl roku, brzy se vám jeho podoba vryje pod kůži a budete jej na klávesnici datlovat zcela automaticky.

Tip 5: Nevěřte nikomu, kdo po vás bude chtít vaše heslo

Poslední, nikoliv však nejméně důležitá rada. Nikdy, opakuji nikdy nevěřte nikomu, kdo po vás bude chtít heslo. Ať už je to váš partner, kolega, přítel, člověk tvářící se coby administrátor služby nebo zaměstnanec z banky, ať už vás kontaktuje osobně, mailem nebo po telefonu. Nikdy své heslo nikomu nesdělujte.

Pokud budete postupovat podle výše uvedených rad a doporučení, internet bude den ode dne krásnější…

Jak jste na tom s hesly Vy? Slouží Vám mozek, nebo používáte nějaký speciální software na jejich ukládání? Nebojíte se z odcizení hesel? Nezhroutí se v takovém případě Váš svět? Názory vítány.

9 komentářů

Gadgets shop  on February 3rd, 2009

Heslo jsem míval všude stejné. Pak jsem začal měnit a mám jich několik. Mnoho si jich nepamatuji, ale do služeb kam se každodenně přihlašuji si je pamatuji.
Zatím jsem s tím neměl nikdy žádný problém. Bylo to spíš tak, že jsem získával hesla různých uživatelů, při registracích do mých webů.
Když to začínalo, schválně jsem se zkusil přihlásit na uživatelův mail pod heslem, s jakým se zaregistroval – a několikrát se opravdu podařilo. Nikdy jsem toho ovšem nezneužil – myslím že bych z toho mohl jen těžko těžit.
Ale hlavně se mi vůbec nechtělo :) byl jsem líný.

1. zprávy » Ed Brand // Bezpečnost na internetu je problém nás všech!  on February 3rd, 2009

[...] článek: Ed Brand // Bezpečnost na internetu je problém nás všech! Další články s podobnou tématikou:Ed Brand // Komunity jako součást vašeho online [...]

Multimotyl  on February 3rd, 2009

Tip pro relativně bezpečné heslo: použít české slovo s diakritikou a napsat ho česky na anglické klávesnici. Takže napříklat heslo “budi6kni4emu” (budižkničemu) nebo: “h5i3t2″ (hřiště).

Lokutus  on February 3rd, 2009

Já jsem na tom s hesly takhle
http://lokutus.bloguje.cz/714458-jake-heslo.php

LLook  on February 3rd, 2009

> pokud budete heslo používat trochu častěji než jednou za půl roku

V tomhle je největší potíž. Většina služeb umožňuje “pamatovat přihlášení” a tak pouze u několika málo služeb zadávám heslo častěji.

Jsem dost líný. Momentálně identity rozděluju na zbytné a kritické.

1) Zbytné identity. Používám několik hesel a mailů na nedůležité služby, u nichž mě riziko odcizení netrápí. Typicky služby, u nichž je registrace jen trapnou formalitou a v případě zcizení hesla mi nic nebrání zaregistrovat se znova. Například warfóra.

2) Kritické identity. To jsou ty, u nichž by mě mrzelo nabourání byť jediné z nich. Mail, finance, hostingy, domény, fóra na která píšu apod. Tady striktně dodržuju zásadu unikátních hesel a v rámci možností i bezpečných. Také je příležitostně měním, i když v tom bych asi měl být mnohem svědomitější. Ty nejkritičtější si pamatuju, středně kritické odvozuju. Na odvozování mám několik různých systémů, které se v průběhu času mění, často je porušuju (takové porušení si totiž snadno zapamatuju) a které si zatím nechám pro sebe.

Většinou tak jakékoli svoje heslo uhádnu do desíti pokusů. Ačkoli teď si nemůžu vzpomenout na heslo jednoho mailu, se kterým jsem před několika lety založil třídu na Spolužácích. Rád bych něco změnil v nastavení a nemůžu…

Do budoucna se chci naučit ovládat ThinkVantage Password Manager, abych si hesla jednak nemusel pamatovat (a mohl používat mnohem silnější a častěji měněná) a jednak aby mi je nikdo nemohl odezírat z rukou. Samozřejmě bych si je ale archivoval, abych nedopadl jako ten s tím PDA.

Jo a ještě jedna věc: Nepřihlašovat se ke kritickým identitám odevšad! Pokud je komunikace šifrovaná (třeba u mailu), pak se klidně přihlásím i z hospody s wi-fi, ale nešifrovaně posílat kritická hesla (třeba většina fór), to už chce odvahu, kdoví kdo to může sniffovat…

Radim Hasalík  on February 4th, 2009

Hezky to má vychytané můj nový služební notebook. Nabízí možnost uložení hesla. Pokud tak učiním, chce následně při vstupu na příslušný web přiložit ke čtečce otisk mého prstu. Když to abslovuji správně, přihlásí mne.

VfB  on February 4th, 2009

no já mám hesla vytištěná na papírku pod monitorem, ale je to celkem bezpečné z toho důvodu, že používám hesla v japonštině a ty hesla mám ačkoliv je zadávám v romanji (latince) vytištěná v kaně (rozsypaný čaj) protože se hůře pamatuje

nishkam  on February 4th, 2009

Bezpecnost neni problem, ale 1 z aspektu IT. Sorry, uderilo mi to do oci. Jinak, se vsim souhlasim :) Tipu a pripomenuti bezpecnosti neni nikdy dost.

Šaman  on February 5th, 2009

Souhlasím s rozdělením na důležité a nedůležité služby.

Důležitý je pro většinu lidí email (maximálně dva – pracovní a hlavní soukromý) a bankovnictví.
Na různé chaty, libimseti, traviany a spoustu zaspamovaných mailů podle mě stačí jedno heslo.

A co se týče speciálních znaků: měsíc jsem byl bez internetového bankovnictví, protože předemnou někdo přehodil anglickou klávesnici na českou. Poprvé mi to napsalo špatné heslo, tak jsem to zopakoval a podruhé jsem si radši písmena napsal na numerické klávesnici. Bohužel bylo špatně i y-z, vyčerpal jsem si tři pokusy a musel si zajít do banky (dva týdny než jsem se tam dokopal) a tam mi poslali žádost o heslo na centrálu a do deseti pracovních dnů mi přišlo.
Takže pozor na čísla, speciální znaky a z a y! Jejich použití sice snižuje nebezpecí prolomení hesla hrubou silou (ale jaká je pravděpodobnost, že to někdo bude vůbec zkoušet?), ale dost zvyšuje riziko špatně zadaného hesla, zvlášť při použití cizího počítače.

A s tím nezadáváním hesla odevšad souhlasím, někteří klienti (prohlížeče) si ho mohou i zapamatovat spolu se jménem a adresou služby! (I když se na to ptají, tak považuji za jednodušší nasadit do interetové kavárny upravený FF, než hackeřit hesla přímo ze serverů).

Podělte se o svůj názor!