Jaké je správné heslo? Má minimálně 8-12 znaků délku, kombinuje velké písmena, malá písmena, číslice, divoké znaky atd. Dlouho jsme uživatelům opakovali tuto mantru a potom v roce 2015 se všechno změnilo – Bill Burr publikoval svoji „omluvu uživatelům“ a následně i NIST (US National Institutes of Standards & Technology) změnil své doporučení v Digital Identity Guidelines NIST SP 800-63.

Nyní je dle doporučení NIST spokojeno s délkou hesla kolem 8 znaků (já si však myslím, že délka je to co hraje roli). „Naštěstí“ se zdá, že většina organizací zůstala u „starých pravidel“, protože i doporučení NIST je potřebné číst správně.

Změna uvažování NIST je spojena s myšlenkou, že dlouhá a složitá hesla vedou k tomu, že si je uživatelé jednak nepamatují a také je opakovaně v jejich variantách používají. Což je určitě pravda. Dále to vede k tomu, že používají stejné heslo (ze strachu, že si je nepamatují) ve všech systémech, kde je nutná autentizace. Běžný uživatel se může hlásit řádově i do desítek navzájem nesouvisejících informačních systémů a přitom bude používat ve všech stejné heslo (to je asi také pravda). Navíc si to heslo nebudou měnit nebo aplikovat jiné části bezpečnostních politik (ano, i s touto úvahou je možné souhlasit, většina uživatelů má v systémech, které je k tomu nenutí, stejné heslo od okamžiku založení účtu, mimochodem, kolikrát jste si změnili heslo třeba na seznam.cz, freemail?). Kompromitace hesla v jednom systému pak snadno vede ke kompromitaci všech systémů. Určitě však nemůžu souhlasit s tézí, že pokud budeme aplikovat kratší hesla, že budou uživatelé používat do různých systémů, různá hesla. Tak zkrátka jako lidé nefungujeme.

Dalším pohledem NIST je skutečnost, že důvody pro dlouhá a komplexní hesla, měla jakoby vyprchávat. Nejčastější metodou útoku na hesla, byl dlouho útok hrubou silou (který měla otupovat právě délka) a dále pak „hádání“ hesla (to zase mělo být omezováno právě použitím různých neuhodnutelných kombinace). Je pravda, že v poslední době se zdálo, že převažujícím způsobem je prostá krádež hesla a je jedno, jestli k ní došlo sociální manipulací nebo zcizením databáze, nicméně k tomu bych měl dvě poznámky.

Za prvé, není důvodem toho, že se útočníci rozhodli získávat jiným způsobem, právě to, že dlouhá a komplexní hesla byla složitější na „zlomení“ hrubou silou nebo hádáním? A pokud tedy budeme změkčovat požadavky na hesla, stanou se tyto opět cílem těchto metod?

A za druhé, v poslední době jsme mohli zaznamenat velké množství útoků „hrubou silou“ zejména v souvislosti se šířením ransomware (útoky na RDP pro průnik do sítě, útoky na admin účty pro laterální šíření v napadené síti atd.), což svým způsobem podporuje i předchozí tvrzení. A závažný problém to je, protože podle odhadů (PreciseSecurity https://www.precisesecurity.com/articles/weak-passwords-caused-30-of-ransomware-infections-in-2019), až 30% všech úspěšných útoků ransomware bylo realizováno právě díky zlomení hesla!

Co tedy s hesly? Kde to jde, použijte multifaktorovou autentizaci. Kde to nejde, pracujete samozřejmě s hesly. Nezapomeňte, že delší heslo lépe odolá útoku. A pár doporučení:
  1. Heslo je VAŠE, jenom VAŠE. Nikdy a nikomu jej nesdělujte a nepředávejte. Hesla se nepůjčují.
  2. Všechno se dá hacknout, a proto si heslo NIKDY, NIKDY nepiště do žádného elektronického zařízení v čitelném formátu. Použití password manageru je v pořádku a v pořádku je i sešit se zakódovanými hesly zamčený v šuplíku.
  3. Heslo je TAJNÉ a tak si ho poznamenejte jen a pouze zakódovaně a nesmí být uložené a veřejně dostupném místě.
  4. Heslo kromě Vás NIKDO JINÝ NEZNÁ. Heslo musí být dlouhé a složité. Nepoužívejte ve své kombinaci jako první znak velké písmeno a jako poslední znak číslici.
  5. Heslo je UNIKÁTNÍ. Nepoužívejte do všech systémů stejná hesla, nepoužívejte svá „služební“ hesla v soukromí.
Téměř polovina Čechů (45 %) používá stejné heslo k ochraně více účtů, a tím dále vystavuje své účty nebezpečí hacknutí.
Jméno uživatele nebo jméno člena rodiny (22 %), jméno domácího mazlíčka (15 %), slova související s koníčkem uživatele (12 %), datum vlastních narozenin (10 %), část adresy bydliště (8 %) – uvedená čísla pocházejí z https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/slaba-hesla-pouziva-na-internetu-vetsina-cechu-40282626.

Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-). AUTOCONT ví jak.