reklama

Moderní prokletí: Používáte bezpečná hesla?

Denně používáme různá hesla pro přístup do počítače i k rozličným webovým službám. Dají se v té spleti ještě tvořit a pamatovat dle definice silná a bezpečná hesla?

Námětem dnešních bezpečnostních komentářů se mi nestala žádná celosvětová superhrozba nebo průběžné strašení bezpečnostních firem, ale příhoda z konce minulého týdne. Známý mi půjčil notebook za účelem několika drobných softwarových úprav, účet tamních Windows Vista byl však chráněn heslem, a tak se na mě vyzývavě šklebilo prázdné textové pole. Nu nic, zvedl jsem telefon, nicméně přesně podle Murphyho zákonů nebyl majitel dostupný. Po třetím pokusu o dovolání se jsem vyzkoušel heslo shodné s uživatelským jménem, a hle, okamžitě úspěšně. Pan X sice porušil základní pravidlo tisíckrát psaného kodexu, ale vnukl mi myšlenku: Mají vlastně uživatelé volit silné heslo, i když většinou nemají co důležitého chránit?

Lidé posedlí bezpečností i pouzí vytrvalí nadšenci vždy dbají na to, aby doporučili tvorbu silného hesla, tedy krkolomnou změť znaků o délce X z abecedy Y. Zpravidla však bývá zapomínáno na to, že heslo jako jeden z autentizačních a autorizačních prostředků musí odpovídat tomu, co je třeba chránit. Pokud jde o citlivé obchodní nebo jim podobné údaje, určitě se vyplatí volit silnou variantu. Naopak v případě přístupu do počítače, který bývá využíván doma jedním uživatelem a třeba ani není připojen k internetu, by šlo o mírnou paranoiu. Pojďme se tedy blíže podívat na to, jak se vyplatí zacházet s hesly.

Každý stisk klávesy pod drobnohledem

Hesla mají v historii IT pevně danou pozici, bez nich si nejen počítačový svět lze jen těžko představit. Základní doporučení zní, že by se stejné heslo nemělo používat pro více služeb, což ale dnes není zrovna jednoduché. Kolik hesel potřebuje běžný, internetem extrémně posedlý uživatel? Přihlášení do systému, e-mail, internetové bankovnictví, Facebook, přihlášení do nejrůznějších diskuzních fór atd. Přičtěme k tomu průměrné požadavky na silné heslo (délka osm až deset znaků, kombinace alfanumerických i speciálních znaků) a máme vcelku slušnou zátěž na omylnou lidskou paměť. Také proto se zrodilo několik základních způsobů, jak si práci ušetřit, mezi nejpopulárnější patří například softwarové trezory na hesla, automatické přihlášení, certifikáty, biometriky, nejrůznější tokeny.

Druhá strana mince je však zajímavější: Jak lze na hesla ve skutečnosti zaútočit? Nechejme stranou nahlížení přes rameno a mafiánské techniky fyzického vydírání, zaměřme se na metody temnější části současného počítačového světa. Klasikou se stal phishing, případně jiné sociotechniky, zde se však lze poměrně úspěšně bránit použitím zdravého rozumu. Čas od času svou někdejší velkou slávu oprašují také keyloggery, ty však již čestné místo malwarového výsluní přepustily jiným.

Osobně musím přiznat, že se mi u právě zmíněných keyloggerů do určité míry líbila invence tvůrců, kdy je nejrůzněji vylepšují podle toho, jak se mění techniky zabezpečení. Do této kategorie spadají především útoky na grafické klávesnice (kterou používá například i Česká spořitelna), jež dovolují zadat heslo klepáním na znaky přímo na obrazovce. „Grafické keyloggery“ se specializují na konkrétní službu a jednoduše snímají danou oblast, jednotlivá klepnutí jsou pak odeslána útočníkovi.

Lámání? Říkejme radši rekonstrukce

Časy, kdy hesla byla uchovávána v otevřené podobě, jsou již zpravidla naštěstí pryč, dnes tedy operační systémy i servery volí některou variantu šifrování, otisky, resp. otisky s přidáním soli. Otisky mohou využít nejrůznějších hashovacích funkcí, nejčastěji MD5, SHA-1 nebo RIPEMD-160. Také proto se nevyplatí důvěřovat službám, které vám při zapomenutí hesla zašlou jeho původní znění namísto nově vygenerovaného s možností následné změny. Nezapomínejme, že hesla jsou nejtěsnějším pojítkem našich reálných identit s počítačovým světem, a tak se vyplatí je nevyzradit například za tabulku čokolády – některé dřívější průzkumy bohužel ukázaly úspěšnost i těchto nabídek…

Klepněte pro větší obrázek
Jednou z možností, jak útočit na hash kódy, je využití předpřipravených tabulek. Mezi takovéto projekty patří například i RainbowCrack

Šifrovaná nebo jinak zabezpečená hesla se samozřejmě ukládají i na straně klienta, ať už přímo přihlašovací heslo do systému, nebo jednotlivých aplikací. Z klientů v praxi jmenujme například oblíbený Total Commander, který dovoluje uložit šifrovaná hesla FTP přístupu ve svém konfiguračním souboru, a tedy napříště nabízí rychlé přihlášení. Pokud nevíte, jaký algoritmus se kterým klíčem je použit, raději tuto možnost u důležitých hesel nevolte – například právě Total Commander proslul útoky na uložená FTP hesla, stejná neplecha může postihnout jakékoliv jiné klienty z různých oblastí.

Na lámání hesel (vznešeněji řečeno jejich rekonstrukci) dokumentů, tabulek a prezentací, lámání hesel místních účtů Windows a útoky na komprimované archivy si někteří vývojáři dokonce založili byznys, nabízejí programy pro lámání hesel všeho druhu. Pokud máte rádi ruční lámání, které nabízí i náhled do principu přenášených hesel, můžete vyzkoušet například populární Cain & Abel, jenž dovoluje i testy útoků na vybrané hash kódy, duhové útoky proti hash kódům nevyjímaje.

Jak se na bezpečnost počítačových i síťových hesel díváte vy, kolik jich zhruba používáte? Snažíte se tvořit co možná nejsilnější hesla a využíváte některé nástroje pro jejich správu? Podělte se s ostatními čtenáři v diskuzi pod článkem.

Témata článku: Bezpečnost, Heslo, MD5, Commander, Soli, Abel

42 komentářů

Nejnovější komentáře

  • Ondřej Bockschneider 18. 11. 2009 23:44:00
    Tak to ti teda nevím.. vyšlo mi, že by to trvalo nějakých 12 dní.
  • yanick 18. 11. 2009 21:30:56
    Silne heslo ma zmysel len do vtedy, kym si ho uzivatel nenapise na ten...
  • karlos00x 17. 11. 2009 14:24:35
    >správného bankovního pinu ji neotevřete. takze vlastne to co jsem...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 104

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 74

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

** V notebooku s cenou nad 20 tisíc nesmí chybět kvalitní displej a rychlé úložiště ** Za dalších deset tisíc můžete dostat navíc styl nebo výkonnější komponenty ** Vybírat můžete z různých velikostí i konstrukcí

8.  12.  2016 | Stanislav Janů | 85


reklama