reklama

Moderní prokletí: Používáte bezpečná hesla?

Denně používáme různá hesla pro přístup do počítače i k rozličným webovým službám. Dají se v té spleti ještě tvořit a pamatovat dle definice silná a bezpečná hesla?

Námětem dnešních bezpečnostních komentářů se mi nestala žádná celosvětová superhrozba nebo průběžné strašení bezpečnostních firem, ale příhoda z konce minulého týdne. Známý mi půjčil notebook za účelem několika drobných softwarových úprav, účet tamních Windows Vista byl však chráněn heslem, a tak se na mě vyzývavě šklebilo prázdné textové pole. Nu nic, zvedl jsem telefon, nicméně přesně podle Murphyho zákonů nebyl majitel dostupný. Po třetím pokusu o dovolání se jsem vyzkoušel heslo shodné s uživatelským jménem, a hle, okamžitě úspěšně. Pan X sice porušil základní pravidlo tisíckrát psaného kodexu, ale vnukl mi myšlenku: Mají vlastně uživatelé volit silné heslo, i když většinou nemají co důležitého chránit?

Lidé posedlí bezpečností i pouzí vytrvalí nadšenci vždy dbají na to, aby doporučili tvorbu silného hesla, tedy krkolomnou změť znaků o délce X z abecedy Y. Zpravidla však bývá zapomínáno na to, že heslo jako jeden z autentizačních a autorizačních prostředků musí odpovídat tomu, co je třeba chránit. Pokud jde o citlivé obchodní nebo jim podobné údaje, určitě se vyplatí volit silnou variantu. Naopak v případě přístupu do počítače, který bývá využíván doma jedním uživatelem a třeba ani není připojen k internetu, by šlo o mírnou paranoiu. Pojďme se tedy blíže podívat na to, jak se vyplatí zacházet s hesly.

Každý stisk klávesy pod drobnohledem

Hesla mají v historii IT pevně danou pozici, bez nich si nejen počítačový svět lze jen těžko představit. Základní doporučení zní, že by se stejné heslo nemělo používat pro více služeb, což ale dnes není zrovna jednoduché. Kolik hesel potřebuje běžný, internetem extrémně posedlý uživatel? Přihlášení do systému, e-mail, internetové bankovnictví, Facebook, přihlášení do nejrůznějších diskuzních fór atd. Přičtěme k tomu průměrné požadavky na silné heslo (délka osm až deset znaků, kombinace alfanumerických i speciálních znaků) a máme vcelku slušnou zátěž na omylnou lidskou paměť. Také proto se zrodilo několik základních způsobů, jak si práci ušetřit, mezi nejpopulárnější patří například softwarové trezory na hesla, automatické přihlášení, certifikáty, biometriky, nejrůznější tokeny.

Druhá strana mince je však zajímavější: Jak lze na hesla ve skutečnosti zaútočit? Nechejme stranou nahlížení přes rameno a mafiánské techniky fyzického vydírání, zaměřme se na metody temnější části současného počítačového světa. Klasikou se stal phishing, případně jiné sociotechniky, zde se však lze poměrně úspěšně bránit použitím zdravého rozumu. Čas od času svou někdejší velkou slávu oprašují také keyloggery, ty však již čestné místo malwarového výsluní přepustily jiným.

Osobně musím přiznat, že se mi u právě zmíněných keyloggerů do určité míry líbila invence tvůrců, kdy je nejrůzněji vylepšují podle toho, jak se mění techniky zabezpečení. Do této kategorie spadají především útoky na grafické klávesnice (kterou používá například i Česká spořitelna), jež dovolují zadat heslo klepáním na znaky přímo na obrazovce. „Grafické keyloggery“ se specializují na konkrétní službu a jednoduše snímají danou oblast, jednotlivá klepnutí jsou pak odeslána útočníkovi.

Lámání? Říkejme radši rekonstrukce

Časy, kdy hesla byla uchovávána v otevřené podobě, jsou již zpravidla naštěstí pryč, dnes tedy operační systémy i servery volí některou variantu šifrování, otisky, resp. otisky s přidáním soli. Otisky mohou využít nejrůznějších hashovacích funkcí, nejčastěji MD5, SHA-1 nebo RIPEMD-160. Také proto se nevyplatí důvěřovat službám, které vám při zapomenutí hesla zašlou jeho původní znění namísto nově vygenerovaného s možností následné změny. Nezapomínejme, že hesla jsou nejtěsnějším pojítkem našich reálných identit s počítačovým světem, a tak se vyplatí je nevyzradit například za tabulku čokolády – některé dřívější průzkumy bohužel ukázaly úspěšnost i těchto nabídek…

Klepněte pro větší obrázek
Jednou z možností, jak útočit na hash kódy, je využití předpřipravených tabulek. Mezi takovéto projekty patří například i RainbowCrack

Šifrovaná nebo jinak zabezpečená hesla se samozřejmě ukládají i na straně klienta, ať už přímo přihlašovací heslo do systému, nebo jednotlivých aplikací. Z klientů v praxi jmenujme například oblíbený Total Commander, který dovoluje uložit šifrovaná hesla FTP přístupu ve svém konfiguračním souboru, a tedy napříště nabízí rychlé přihlášení. Pokud nevíte, jaký algoritmus se kterým klíčem je použit, raději tuto možnost u důležitých hesel nevolte – například právě Total Commander proslul útoky na uložená FTP hesla, stejná neplecha může postihnout jakékoliv jiné klienty z různých oblastí.

Na lámání hesel (vznešeněji řečeno jejich rekonstrukci) dokumentů, tabulek a prezentací, lámání hesel místních účtů Windows a útoky na komprimované archivy si někteří vývojáři dokonce založili byznys, nabízejí programy pro lámání hesel všeho druhu. Pokud máte rádi ruční lámání, které nabízí i náhled do principu přenášených hesel, můžete vyzkoušet například populární Cain & Abel, jenž dovoluje i testy útoků na vybrané hash kódy, duhové útoky proti hash kódům nevyjímaje.

Jak se na bezpečnost počítačových i síťových hesel díváte vy, kolik jich zhruba používáte? Snažíte se tvořit co možná nejsilnější hesla a využíváte některé nástroje pro jejich správu? Podělte se s ostatními čtenáři v diskuzi pod článkem.

Témata článku: Bezpečnost, Heslo, MD5, Abel, Paranoia, Trezory, Ramen, Soli, Token

42 komentářů

Nejnovější komentáře

  • Ondřej Bockschneider 18. 11. 2009 23:44:00
    Tak to ti teda nevím.. vyšlo mi, že by to trvalo nějakých 12 dní.
  • yanick 18. 11. 2009 21:30:56
    Silne heslo ma zmysel len do vtedy, kym si ho uzivatel nenapise na ten...
  • karlos00x 17. 11. 2009 14:24:35
    >správného bankovního pinu ji neotevřete. takze vlastne to co jsem...
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 133

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 130

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 217

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

Vyhledávání ve Windows není dokonalé, zkuste to 5× jinak

** V macOS funguje vyhledávání Spotlight, ve Windows podobně propracovaná funkce chybí ** Alternativy se zaměřují na rychlé hledání souborů i externí zdroje ** Mnohé mohou vyhledávání ve Windows kompletně nahradit

18.  2.  2017 | Stanislav Janů | 58


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama