Nastavení striktních požadavků na bezpečnost hesel a jejich použití dokáže potrápit jak síťové administrátory, tak koncové uživatele. Kterými technikami mezi sebou vedou nekončící války?
Počítačová hesla jsou nedílnou součástí našich životů, mohou nám zachránit data a důležité dokumenty. Bohužel však přinášejí také trable s tím, že by měla co nejvíc složitá, tedy těžko odhadnutelná nebo prolomitelná, zároveň ale snadno zapamatovatelná. Na této tenké hraně musíme balancovat, což není vždy jednoduché.
Bezpečnost hesla jako takového se dá určit třemi základními požadavky, a to jeho délkou, složitostí a dobou, po které musí být změněno. Požadavek délky je zřejmý – čím delší heslo, tím větší prostor, který musí být prohledán při útoku hrubou silou (takzvaným brute force útokem). Ruku v ruce s tímto faktem slouží pro obranu před brute force i slovníkovým útokem dostatečná složitost hesla. Asi není těžké dojít k závěru, že hesla typu pepik nebo alik budou pro útočníky snadným soustem. Konečně často opomíjeným třetím faktorem je doba, po které musí být heslo změněno, a zde záleží především na administrátorovi, aby určil vhodnou periodu.
Jedna služba, jedno heslo?
Lidé posedlí bezpečností i pouzí vytrvalí nadšenci vždy dbají na to, aby doporučili tvorbu silného hesla, tedy krkolomnou změť znaků o délce X z abecedy Y. Zpravidla však bývá zapomínáno na to, že heslo jako jeden z autentizačních a autorizačních prostředků musí odpovídat tomu, co je třeba chránit. Pokud jde o citlivé obchodní nebo jim podobné údaje, určitě se vyplatí volit silnou variantu. Naopak v případě přístupu do počítače, který bývá využíván doma jedním uživatelem a třeba ani není připojen k internetu, by šlo o mírnou paranoiu. A co když hranici sami v důležitých případech sami neodhadneme? Pak přichází na řadu vynucená bezpečnostní politika, kterou můžete znát například z firemních sítí.
Ano, jde přesně o ty případy, kdy se jako by zničehonic objeví hláška, že je zapotřebí změnit doménové heslo, jelikož vyprší jeho platnost. Administrátor tak uživatele natlačí k něčemu, co by jen málokdo dobrovolně udělal. Heslo v zaměstnání by si drtivá většina uživatelů opravdu bez podobného vynucení nezměnila, i kdyby se jim objevovalo ne tolik „vyděračské“ upozornění, že mají heslo staré několik set nebo tisíc dnů.
Ani vynucená změna hesla samozřejmě nedokáže zázraky, jelikož uživatelé většinou s povzdechem a nějakou tou uštěpačnou poznámkou použijí heslo, které už mají v jiné službě. Z jejich pohledu je přeci zbytečné, aby si vymýšleli (nebo nedej bože dokonce generovali) nové heslo, když už někde jiné používají. A tak nechtěně poruší další často doporučované pravidlo, tedy že by se jedno heslo nemělo používat k více důležitým službám zároveň.
Generátory hesel vám mohou pomoci pro skloubení děravé paměti s bezpečnými hesly
Když už paměť nestačí
Kolik hesel potřebuje běžný, i když internetem extrémně omámený uživatel? Přihlášení do systému, e-mail, internetové bankovnictví, Facebook, přihlášení do nejrůznějších diskuzních fór atd. Přičtěme k tomu průměrné požadavky na silné heslo (délka osm až deset znaků, kombinace alfanumerických i speciálních znaků) a máme vcelku slušnou zátěž na omylnou lidskou paměť. Také proto se zrodilo několik základních způsobů, jak si práci ušetřit, mezi nejpopulárnější patří například softwarové trezory na hesla, automatické přihlášení, certifikáty, biometriky, nejrůznější tokeny.
Nejen z tohoto důvodu správci sítí mohou při pokusech o co možná nejdokonalejší zabezpečení volit nejvíc striktní přístup: heslo jednoduše vygenerují, a to co možná nejbezpečnější variantu. Uživatel tak třeba co půlrok dostane novou změť znaků, to však většinou bývá nakonec nejhorší – heslo končí přepsané na papírku, přilepené na monitoru počítače apod. Zde je hlavní kámen úrazu, tedy věčný souboj maximální bezpečnost vs. naše děravá paměť. Správci i přes své snažení opět zapláčou, čím větší restrikce, tím hbitější kličky uživatelů.
Jestliže si sami usnadňujete práci s hesly, tak již nejspíš používáte různé trezory na hesla, případně automatické dokončování a ukládání formulářů přímo v odpovídajících aplikacích nebo webových službách. Kdybyste však chtěli být o něco poctivější, máte možnost sáhnout po zdarma dostupných generátorech. V nich si kromě použité abecedy a délky můžete často definovat i snadnou zapamatovatelnost – kombinaci vhodného střídání souhlásek a samohlásek, takže heslo si bude snadnější v hlavě „přeříkat“.
Jaká hesla volíte ve své domácí síti a kterou politiku máte nastolenou ve firemním prostředí? Myslíte si, že používáte bezpečná hesla? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.
