Moderní prokletí: Používáte bezpečná hesla?

Denně používáme různá hesla pro přístup do počítače i k rozličným webovým službám. Dají se v té spleti ještě tvořit a pamatovat dle definice silná a bezpečná hesla?
Moderní prokletí: Používáte bezpečná hesla?

Námětem dnešních bezpečnostních komentářů se mi nestala žádná celosvětová superhrozba nebo průběžné strašení bezpečnostních firem, ale příhoda z konce minulého týdne. Známý mi půjčil notebook za účelem několika drobných softwarových úprav, účet tamních Windows Vista byl však chráněn heslem, a tak se na mě vyzývavě šklebilo prázdné textové pole. Nu nic, zvedl jsem telefon, nicméně přesně podle Murphyho zákonů nebyl majitel dostupný. Po třetím pokusu o dovolání se jsem vyzkoušel heslo shodné s uživatelským jménem, a hle, okamžitě úspěšně. Pan X sice porušil základní pravidlo tisíckrát psaného kodexu, ale vnukl mi myšlenku: Mají vlastně uživatelé volit silné heslo, i když většinou nemají co důležitého chránit?

Lidé posedlí bezpečností i pouzí vytrvalí nadšenci vždy dbají na to, aby doporučili tvorbu silného hesla, tedy krkolomnou změť znaků o délce X z abecedy Y. Zpravidla však bývá zapomínáno na to, že heslo jako jeden z autentizačních a autorizačních prostředků musí odpovídat tomu, co je třeba chránit. Pokud jde o citlivé obchodní nebo jim podobné údaje, určitě se vyplatí volit silnou variantu. Naopak v případě přístupu do počítače, který bývá využíván doma jedním uživatelem a třeba ani není připojen k internetu, by šlo o mírnou paranoiu. Pojďme se tedy blíže podívat na to, jak se vyplatí zacházet s hesly.

Každý stisk klávesy pod drobnohledem

Hesla mají v historii IT pevně danou pozici, bez nich si nejen počítačový svět lze jen těžko představit. Základní doporučení zní, že by se stejné heslo nemělo používat pro více služeb, což ale dnes není zrovna jednoduché. Kolik hesel potřebuje běžný, internetem extrémně posedlý uživatel? Přihlášení do systému, e-mail, internetové bankovnictví, Facebook, přihlášení do nejrůznějších diskuzních fór atd. Přičtěme k tomu průměrné požadavky na silné heslo (délka osm až deset znaků, kombinace alfanumerických i speciálních znaků) a máme vcelku slušnou zátěž na omylnou lidskou paměť. Také proto se zrodilo několik základních způsobů, jak si práci ušetřit, mezi nejpopulárnější patří například softwarové trezory na hesla, automatické přihlášení, certifikáty, biometriky, nejrůznější tokeny.

Druhá strana mince je však zajímavější: Jak lze na hesla ve skutečnosti zaútočit? Nechejme stranou nahlížení přes rameno a mafiánské techniky fyzického vydírání, zaměřme se na metody temnější části současného počítačového světa. Klasikou se stal phishing, případně jiné sociotechniky, zde se však lze poměrně úspěšně bránit použitím zdravého rozumu. Čas od času svou někdejší velkou slávu oprašují také keyloggery, ty však již čestné místo malwarového výsluní přepustily jiným.

Osobně musím přiznat, že se mi u právě zmíněných keyloggerů do určité míry líbila invence tvůrců, kdy je nejrůzněji vylepšují podle toho, jak se mění techniky zabezpečení. Do této kategorie spadají především útoky na grafické klávesnice (kterou používá například i Česká spořitelna), jež dovolují zadat heslo klepáním na znaky přímo na obrazovce. „Grafické keyloggery“ se specializují na konkrétní službu a jednoduše snímají danou oblast, jednotlivá klepnutí jsou pak odeslána útočníkovi.

Lámání? Říkejme radši rekonstrukce

Časy, kdy hesla byla uchovávána v otevřené podobě, jsou již zpravidla naštěstí pryč, dnes tedy operační systémy i servery volí některou variantu šifrování, otisky, resp. otisky s přidáním soli. Otisky mohou využít nejrůznějších hashovacích funkcí, nejčastěji MD5, SHA-1 nebo RIPEMD-160. Také proto se nevyplatí důvěřovat službám, které vám při zapomenutí hesla zašlou jeho původní znění namísto nově vygenerovaného s možností následné změny. Nezapomínejme, že hesla jsou nejtěsnějším pojítkem našich reálných identit s počítačovým světem, a tak se vyplatí je nevyzradit například za tabulku čokolády – některé dřívější průzkumy bohužel ukázaly úspěšnost i těchto nabídek…

Klepněte pro větší obrázek
Jednou z možností, jak útočit na hash kódy, je využití předpřipravených tabulek. Mezi takovéto projekty patří například i RainbowCrack

Šifrovaná nebo jinak zabezpečená hesla se samozřejmě ukládají i na straně klienta, ať už přímo přihlašovací heslo do systému, nebo jednotlivých aplikací. Z klientů v praxi jmenujme například oblíbený Total Commander, který dovoluje uložit šifrovaná hesla FTP přístupu ve svém konfiguračním souboru, a tedy napříště nabízí rychlé přihlášení. Pokud nevíte, jaký algoritmus se kterým klíčem je použit, raději tuto možnost u důležitých hesel nevolte – například právě Total Commander proslul útoky na uložená FTP hesla, stejná neplecha může postihnout jakékoliv jiné klienty z různých oblastí.

Na lámání hesel (vznešeněji řečeno jejich rekonstrukci) dokumentů, tabulek a prezentací, lámání hesel místních účtů Windows a útoky na komprimované archivy si někteří vývojáři dokonce založili byznys, nabízejí programy pro lámání hesel všeho druhu. Pokud máte rádi ruční lámání, které nabízí i náhled do principu přenášených hesel, můžete vyzkoušet například populární Cain & Abel, jenž dovoluje i testy útoků na vybrané hash kódy, duhové útoky proti hash kódům nevyjímaje.

Jak se na bezpečnost počítačových i síťových hesel díváte vy, kolik jich zhruba používáte? Snažíte se tvořit co možná nejsilnější hesla a využíváte některé nástroje pro jejich správu? Podělte se s ostatními čtenáři v diskuzi pod článkem.

Diskuze (42) Další článek: Vyzkoušejte finální verzi linuxové distribuce openSUSE 11.2

Témata článku: Bezpečnost, Heslo, MD5, Přihlašovací obrazovka, Soli, Paranoia, Ramen, Trezory, Stejný tvůrce, Třetí pokus, Počítačový svět, Základní doporučení, Token, Jednoduchá rekonstrukce, Prokletí, Hesl, Murphy, Rychlé přihlášení, Hashovací funkce, Mode, Abel, Přihlašovací heslo, Následné uložení, Ruční úprava, Populární test


Určitě si přečtěte

Windows 10 May 2020 Update je venku. Odstraňuje hesla a přináší Linux

Windows 10 May 2020 Update je venku. Odstraňuje hesla a přináší Linux

** Jarní aktualizace Desítek přináší dost novinek, jsou ale spíš menší ** Zlepšují se stabilita, rychlost i komfort ovládání ** Revoluce ve Windows 10 teprve přijde

Vladislav Kluska | 93

12 netradičních map České republiky, které jste ještě nikdy neviděli

12 netradičních map České republiky, které jste ještě nikdy neviděli

** Tušíte, kolik je u nás hřbitovů a jak jsou velké? ** Dokážete si představit mapu českých řek a potoků? ** Udělali jsme to všechno za vás nad daty ČÚZK

Jakub Čížek | 10

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

** Total Commander je fernomén mezi správci souborů ** Našli jsme 11 povedených alternativ ** Zvládnou to samé a ke všemu jsou většinou zadarmo

Karel Kilián | 86


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11