Moderní prokletí: Používáte bezpečná hesla?

Denně používáme různá hesla pro přístup do počítače i k rozličným webovým službám. Dají se v té spleti ještě tvořit a pamatovat dle definice silná a bezpečná hesla?
Moderní prokletí: Používáte bezpečná hesla?

Námětem dnešních bezpečnostních komentářů se mi nestala žádná celosvětová superhrozba nebo průběžné strašení bezpečnostních firem, ale příhoda z konce minulého týdne. Známý mi půjčil notebook za účelem několika drobných softwarových úprav, účet tamních Windows Vista byl však chráněn heslem, a tak se na mě vyzývavě šklebilo prázdné textové pole. Nu nic, zvedl jsem telefon, nicméně přesně podle Murphyho zákonů nebyl majitel dostupný. Po třetím pokusu o dovolání se jsem vyzkoušel heslo shodné s uživatelským jménem, a hle, okamžitě úspěšně. Pan X sice porušil základní pravidlo tisíckrát psaného kodexu, ale vnukl mi myšlenku: Mají vlastně uživatelé volit silné heslo, i když většinou nemají co důležitého chránit?

Lidé posedlí bezpečností i pouzí vytrvalí nadšenci vždy dbají na to, aby doporučili tvorbu silného hesla, tedy krkolomnou změť znaků o délce X z abecedy Y. Zpravidla však bývá zapomínáno na to, že heslo jako jeden z autentizačních a autorizačních prostředků musí odpovídat tomu, co je třeba chránit. Pokud jde o citlivé obchodní nebo jim podobné údaje, určitě se vyplatí volit silnou variantu. Naopak v případě přístupu do počítače, který bývá využíván doma jedním uživatelem a třeba ani není připojen k internetu, by šlo o mírnou paranoiu. Pojďme se tedy blíže podívat na to, jak se vyplatí zacházet s hesly.

Každý stisk klávesy pod drobnohledem

Hesla mají v historii IT pevně danou pozici, bez nich si nejen počítačový svět lze jen těžko představit. Základní doporučení zní, že by se stejné heslo nemělo používat pro více služeb, což ale dnes není zrovna jednoduché. Kolik hesel potřebuje běžný, internetem extrémně posedlý uživatel? Přihlášení do systému, e-mail, internetové bankovnictví, Facebook, přihlášení do nejrůznějších diskuzních fór atd. Přičtěme k tomu průměrné požadavky na silné heslo (délka osm až deset znaků, kombinace alfanumerických i speciálních znaků) a máme vcelku slušnou zátěž na omylnou lidskou paměť. Také proto se zrodilo několik základních způsobů, jak si práci ušetřit, mezi nejpopulárnější patří například softwarové trezory na hesla, automatické přihlášení, certifikáty, biometriky, nejrůznější tokeny.

Druhá strana mince je však zajímavější: Jak lze na hesla ve skutečnosti zaútočit? Nechejme stranou nahlížení přes rameno a mafiánské techniky fyzického vydírání, zaměřme se na metody temnější části současného počítačového světa. Klasikou se stal phishing, případně jiné sociotechniky, zde se však lze poměrně úspěšně bránit použitím zdravého rozumu. Čas od času svou někdejší velkou slávu oprašují také keyloggery, ty však již čestné místo malwarového výsluní přepustily jiným.

Osobně musím přiznat, že se mi u právě zmíněných keyloggerů do určité míry líbila invence tvůrců, kdy je nejrůzněji vylepšují podle toho, jak se mění techniky zabezpečení. Do této kategorie spadají především útoky na grafické klávesnice (kterou používá například i Česká spořitelna), jež dovolují zadat heslo klepáním na znaky přímo na obrazovce. „Grafické keyloggery“ se specializují na konkrétní službu a jednoduše snímají danou oblast, jednotlivá klepnutí jsou pak odeslána útočníkovi.

Lámání? Říkejme radši rekonstrukce

Časy, kdy hesla byla uchovávána v otevřené podobě, jsou již zpravidla naštěstí pryč, dnes tedy operační systémy i servery volí některou variantu šifrování, otisky, resp. otisky s přidáním soli. Otisky mohou využít nejrůznějších hashovacích funkcí, nejčastěji MD5, SHA-1 nebo RIPEMD-160. Také proto se nevyplatí důvěřovat službám, které vám při zapomenutí hesla zašlou jeho původní znění namísto nově vygenerovaného s možností následné změny. Nezapomínejme, že hesla jsou nejtěsnějším pojítkem našich reálných identit s počítačovým světem, a tak se vyplatí je nevyzradit například za tabulku čokolády – některé dřívější průzkumy bohužel ukázaly úspěšnost i těchto nabídek…

Klepněte pro větší obrázek
Jednou z možností, jak útočit na hash kódy, je využití předpřipravených tabulek. Mezi takovéto projekty patří například i RainbowCrack

Šifrovaná nebo jinak zabezpečená hesla se samozřejmě ukládají i na straně klienta, ať už přímo přihlašovací heslo do systému, nebo jednotlivých aplikací. Z klientů v praxi jmenujme například oblíbený Total Commander, který dovoluje uložit šifrovaná hesla FTP přístupu ve svém konfiguračním souboru, a tedy napříště nabízí rychlé přihlášení. Pokud nevíte, jaký algoritmus se kterým klíčem je použit, raději tuto možnost u důležitých hesel nevolte – například právě Total Commander proslul útoky na uložená FTP hesla, stejná neplecha může postihnout jakékoliv jiné klienty z různých oblastí.

Na lámání hesel (vznešeněji řečeno jejich rekonstrukci) dokumentů, tabulek a prezentací, lámání hesel místních účtů Windows a útoky na komprimované archivy si někteří vývojáři dokonce založili byznys, nabízejí programy pro lámání hesel všeho druhu. Pokud máte rádi ruční lámání, které nabízí i náhled do principu přenášených hesel, můžete vyzkoušet například populární Cain & Abel, jenž dovoluje i testy útoků na vybrané hash kódy, duhové útoky proti hash kódům nevyjímaje.

Jak se na bezpečnost počítačových i síťových hesel díváte vy, kolik jich zhruba používáte? Snažíte se tvořit co možná nejsilnější hesla a využíváte některé nástroje pro jejich správu? Podělte se s ostatními čtenáři v diskuzi pod článkem.

Diskuze (42) Další článek: Vyzkoušejte finální verzi linuxové distribuce openSUSE 11.2

Témata článku: Bezpečnost, Heslo, MD5, Přihlašovací obrazovka, Stejný tvůrce, Paranoia, Ramen, Ruční úprava, Přihlašovací heslo, Soli, Jednoduchá rekonstrukce, Základní doporučení, Trezory, Token, Přihlášení, Počítačový svět, Mode, Abel, Hashovací funkce, Populární test, Rychlé přihlášení, Následné uložení, Třetí pokus


Určitě si přečtěte

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 99

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

** Wi-Fi zásuvky nevyrábí pouze Čína ** Vyzkoušeli jsme českou Netio PowerCable ** Je přímo určená pro vývojáře, má totiž jednoduché JSON API

Jakub Čížek | 43

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 28


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky