Včera se konal Den hesla – propagační akce, za kterou stojí hromada technologických firem v čele s Intelem a která se pokouší vnuknout lidem myšlenku, aby si konečně přestali vybírat hesla typu 11111111 (nejen český Seznam.cz by mohl vyprávět), 123456789, milujijakuba a podobně.
Zapojila se i Nutella, která se tak pokusila dostat tematiku bezpečnosti mezi prostý lid, za což si zaslouží dík, ovšem tweet, který zveřejnila na svém účtu, se z bezpečnostního úhlu pohledu příliš nepovedl.
Nutella doporučuje, abyste si jako heslo vybrali slovo, které máte opravdu rádi. Už to je problém, v mnoha případech se totiž jedná o výraz, který je v některém slovníku pro brute-force útoky, anebo jej lze získat sociálním inženýringem; typicky jméno mazlíčka, jméno manžela, manželky, dětí…
Jelikož Nutella spojila osvětu s reklamou, nemohla si odpustit i tip na takové ideální slovíčko: NUTELLA!
Tento výraz má sedm znaků, což na dnešní poměry není zrovna moc, hlavně je to ale název brandu a tedy slovo, které je buď v holé formě nebo v kombinaci součástí téměř každé databáze uniklých hesel.
Stačí jej dohledat třeba v této sbírce (již starších) kompilátů hesel na GitHubu. V seznamu 1000000-password-seclists.txt je na 16 476. pozici a následuje hromada dalších kombinací, které už jsou alespoň osolené nějakými dalšími náhodnými znaky – typicky číslicemi. Díky za toto pravidlo vynucované stále větším množstvím služeb, které i naprostým laikům naordinuje výrazně vyšší bezpečnost.
Slovo nutella figuruje v hromadě seznamů uniklých hesel, čili si jej jako heslo opravdu nenastavujte. Ani když vám to bude na Den hesel doporučovat Nutella na svém Twitteru.
Takže si to shrňme. Nikdy, opravdu nikdy, nevolte jako heslo samostatné anglické slovo, název značky či jiný obecně známý výraz. Pokud však toto slovo doplníte dalšími znaky, jejichž řada dává smysl pouze vám, výsledkem bude v ideálním případě neprolomitelné heslo. Třeba:
NebuduSeŘýditPravidlyNutelly@ProtožeJsouDěsnáá__
