V minulosti byly rady ohledně vytváření a používání hesel často pouze pedantsky korektní a naprosto neužitečné. Řekněme si upřímně, asi se nenecháte přesvědčit k používání hesel jako „!r4%^s2A“. A i kdybyste se k tomu přesvědčit nechali, pořád jste nesplnili úkol vytvořit opravdu dobré heslo.

Tajemství dobrého hesla je v jeho délce a také v nepoužití, byť i sebedelšího, slova ze slovníku. Problém s hesly jako „!r4%^s2A“ je, kromě faktu, že si je nikdy nezapamatujete, hlavně v tom, že je příliš krátké. Vypadá to tedy jako dilema. Vytvořit kvalitní heslo je ale ve skutečnosti poměrně snadné. Heslo, které by znělo například – „Opravdu nenávidím hesla“ je mnohem lepší volba než !r4%^s2A. A nelze popřít, že je rozhodně i zapamatovatelnější.

Nebuďte osobní

Největšími pomocníky útočníků při odhalování přístupových hesel do systému jsou samotní uživatelé. Nejsnadnější cestou k získání hesla je totiž shromáždit informace o dané osobě a v první fázi vycházet z nich. Jména partnerů, dětí, domácích mazlíčků, data narození či jejich kombinace. Stejně tak krátká hesla týkající se jejich osobního či pracovního života jsou velmi lehce prolomitelná. Pro úspěšný útok na tyto typy hesel stačí jednoduché „sociální inženýrství“ nebo prostá krádež dat. Ať už je máte na papírku nebo v počítači.

Psychologický phishingový nátlak

Útočník může vyzkoušet také odvrácenou stranu sociálního inženýrství, a to přímý psychologický nátlak. Metody takového nátlaku mají většinou podobu zprávy, která ať už přijde jakýmkoliv kanálem, imituje styl a dikci instituce, kterou uznáváte v dané oblasti za autoritu (administrátor, zaměstnavatel, hot-line, apod.) Zpráva vypadá na první pohled formálně, možná trošku autoritativně, ale zároveň je elegantní a srozumitelná. Obecně se pro tuto metodu vžilo označení phishing.

Například obdržíte zprávu, že váš profil používal v minulém účetním období nelegálně jisté zpoplatněné služby. Dopisem (e-mailem) je uživatel požádán, aby přestal dané služby využívat neb je nemá předplacené. Zároveň však útočník zmíní, že k porušení dohodnutých podmínek provozu mohlo dojít ze strany někoho jiného. Pro pomoc při zamezení nelegálních aktivit budete vyzváni k zaslání přihlašovacích údajů (ideálně většího množství a i méně relevantních informací, aby se tam login a heslo lépe skryly). Jako hrozba může být použita výhružka, že při nesplnění předchozích podmínek, ukončí vaši registraci a vzniklou škodu budou vymáhat například soudní cestou.

Hrubá síla

Abychom problematice tvorby správného hesla lépe porozuměli, podíváme se, jakým způsobem se prolamují kódy pomocí slovníkové metody a pomocí technologie tzv. hrubé síly (brute force).

Existují počítačové aplikace, které na základě svých databází zkoušejí k prolomení hesla nejrůznější slova a jejich variace. Pokud zadáte jako heslo například „leden“ bude uhádnuto speciálním programem dříve, než stačíte říct únor. Mnohem lepší heslo by mohlo být například „Nenávidím všechny tyhle hloupý hesla.“ Použití nespisovných výrazů značně sníží možnost uhádnutí pomocí počítačového programu. Zvlášť pokud si vyberete slova, která žádný slovník neobsahuje. Můžete samozřejmě používat i existující a správně napsaná slova, ovšem ne pouze jedno. Úspěch je ukrytý v umění kombinovat.

Existují počítačové aplikace, které na základě svých databází zkoušejí k prolomení hesla nejrůznější slova a jejich variace. Pokud zadáte jako heslo například „leden“ bude uhádnuto speciálním programem dříve, než stačíte říct únor.

Kreativní kombinací slov výrazně omezíte nebo zcela překazíte prolomení hesla pomocí slovníkové metody. V průběhu času však může být jakékoli heslo rozluštěno za pomocí hrubé síly. Hrubá síla znamená, že budou vyzkoušeny všechny kombinace použitelných znaků. Jak dlouho to bude útočníkovi trvat záleží i na vás. Za pomocí dostatečně dlouhého hesla může doba potřebná k prolomení dosáhnout týdnů, ale i měsíců. Používáte-li jen malá písmena bez diakritiky a máte kupříkladu heslo dlouhé 7 znaků, bude počítač potřebovat k jeho rozluštění vyzkoušet přibližně 8 miliard kombinací. To může znít člověku jako spousta práce, ale pro počítač je to jen extrémně malá chvilka v jeho křemíkovém vesmíru. Při použití i velkých písmen, číslic, interpunkčních znamének a speciálních znaků se dostáváme někam k 70 bilionům kombinací. Pro počítač je to i tak poměrně triviální úkol.

Oproti tomu u hesla složeného z deseti znaků a čistě z malých písmen, se automaticky dostáváme ke 140 bilionům opakování. Tedy slovo s deseti znaky složené z malých písmen je lepší, než jakákoliv kombinace znaků na sedm.

Heslo znějící například „Letos jen 8 předsevzetí!“ je celkem 24 znaků dlouhé, poměrně snadno zapamatovatelné a používá 5 různých znakových sad (velká písmena, malá písmena, diakritika, čísla a interpunkční znaménka). Pro metodu hrubé síly je to velmi obtížný oříšek a jestli zadáváte heslo často, určitě si ho dobře zapamatujete.

Heslo si můžete i napsat na papír

Předpokládejme, že se chováte rozumně a své heslo jste nikomu aktivně nesdělili. Pak možná již dlouhá léta respektujete rady IT oddělení, že psát si své heslo na papírek může jen opravdový ignorant. Ve skutečnosti to ale není tak zásadně špatný zlozvyk a může v určitých případech vést k efektivnímu zmatení nepřítele.

Určitě si dokážete zapamatovat, že 21+80=101. To je sice poměrně krátká rovnice, ale zkusme to jinak. „Dvacet1 plus osmdesát je 100jedna “. To už je 34 znaků!

Například i hodně bezpečné heslo (které si také dobře zapamatujete) si můžete bez problému zapsat do poznámkového bloku a potenciální útočník to vůbec nemusí poznat. Můžete třeba použít otázku složenou ze slov v několika jazycích, přičemž odpověď na ni, a tedy vaše heslo, bude v jazyce třetím. Například věta: „Kde seděl starý Beutlin, když psal své paměti?“ a odpověď na ni – „By the fireplace in Rivendell“. Tak nějak může vypadat kombinace hesla formou otázky a odpovědi z přečtené knížky či příběhu, který znáte, Celá otázka je v češtině, až na slovo Beutlin, které je německou variantou názvu dané postavy. Odpověď je v angličtině, k čemuž v otázce není žádná indicie.

Jednou z dalších oblíbených metod je například použití matematických rovnic. Určitě si dokážete zapamatovat, že 21+80=101. To je sice poměrně krátká rovnice, ale zkusme to jinak. „Dvacet1 plus osmdesát je 100jedna “. To už je 34 znaků! Přičemž mezery jsou povolené znaky a když si zapamatujete i tu jednu až úplně na konci, můžete si klidně napsat celé heslo v podobě „Dvacet1 plus osmdesát je 100jedna“ do poznámek, na kousek papíru či kamkoliv budete chtít. Zapamatujte si, že jste napsali mezeru na jeho konci a šance na uhádnutí hesla pomocí krádeže se výrazně zmenší. Když přidáte těch mezer na konci několik, bude to heslo zabiják.

Na závěr jen poznámka – rozhodně nepoužívejte žádný z uvedených příkladů jako skutečné heslo – jednoduše proto, že zveřejněním článku se staly věcí veřejnou a tudíž bezpečnostním rizikem jako kterékoli jiné neoriginální řešení.