Jen jedno heslo nestačí aneb Hackeři nikdy nespí
Bezpečnostní experti pořád dokola opakují, že kvalitní a dlouhé heslo je základem úspěchu, jak ochránit svá osobní data na internetu. Bohužel poslední průzkumy naznačují, že většina uživatelů si příliš neláme hlavu s tím, jaké heslo používají.
Hesla jsou jednoduše jako klíče od bytu: používáme je každý den, ale nemyslíme na ně až do té doby, než je ztratíme, či nám je někdo ukradne.
Minulý rok zveřejnili hackeři stovky tisíc uživatelských hesel populárních webových stránek jako Gawker, Gizmodo a Lifehacker. Magazín The Wall Street Journal hesla analyzoval a vytvořil “hitparádu” nejpopulárnějších slov a alfanumerických kombinací. Tato analýza pak dokazuje, že nejpopulárnějším heslem je „123456“, druhé místo obsadilo „heslo/password“ a na třetím místě je kombinace „12345678“.
Dalším příkladem může být starší útok na uživatele stránky Rockyou.com. Tam první místo opět obsadilo heslo „123456“, druhé místo „12345“, třetí místo „123456789“ a bramborovou medaili „heslo/password“.
[pullquote_right]Nejpopulárnějším heslem je „123456“, druhé místo obsadilo „heslo/password“ a na třetím místě je kombinace „12345678“.[/pullquote_right]
„Práce s množstvím přihlašovacích údajů může být frustrující. Komplexnost (síla), změna vynucená v krátkém časovém intervalu, různorodost a jedinečnost při volbě hesla, vede paradoxně uživatele k tvorbě slabých, avšak zapamatovatelných hesel. Uživatel si neuvědomuje, že takovou volbou neohrožuje pouze sám sebe, svůj účet, svou identitu. Prolomení jediného účtu může být rizikem pro celou síť a všechny její uživatele,“ upozorňuje Technical Support Manager Zbyněk Cvach z PCS, divize DataGuard.
Hack Gawkeru a stránky Rockyou.com zvýraznil dva největší problémy hesel. Prvním je samozřejmě skutečnost, že většina uživatelů používá prostá a lehce prolomitelná hesla; druhým nicméně také fakt, že si uživatelé vymyšlené heslo dávají k více účtům. Takže stačí hackerovi prolomit jedno heslo a následné má přístup k více účtům.
Je tedy velice důležité pro každý účet použít jiné heslo. A protože existují aplikace, jež dokáží během pár sekund projít tisíce kombinací, přičemž kladou důraz na ty nejpoužívanější či běžné slovníkové výrazy, není jednoduše dobrým nápadem použít heslo typu „12345“. Kreativní kombinací slov výrazně omezíte nebo zcela překazíte prolomení hesla pomocí slovníkové metody.
„Komplexní heslo lze vytvořit poměrně snadno, například na základě jedinečné fráze související s daným účtem. Např. "Zde pracuji. Výplatu dostanu každého 10." a jednoduchým přepisem dostanu heslo "Zp.Vdk10.". Takovéto heslo je vyhodnoceno jako velmi silné. S množstvím účtů však roste pravděpodobnost zapomenutí fráze; a je to nepohodlné,“ dodává Zbyněk Cvach.
Největšími pomocníky útočníků při odhalování přístupových hesel do systému jsou samotní uživatelé. Nejjednodušším způsobem k získání hesla je totiž shromáždit informace o vybrané osobě a v první fázi vycházet z nich. Jména partnerů, dětí, domácích mazlíčků, data narození či jejich kombinace. Stejně tak krátká hesla týkající se jejich osobního či pracovního života jsou velmi lehce prolomitelná. Pro úspěšný útok na tyto typy hesel stačí jednoduché „sociální inženýrství“ nebo prostá krádež dat.
„Výhodnější se jeví použití aplikace pro správu hesel. Kaspersky Password Manager představuje jednu z možností, kdy jednotlivé účty mohou být chráněny silnými, generovanými hesly. Přístup k heslům a jejich zašifrování je pak odvozeno od jediného (komplexního!) přístupového kódu. KPM nabízí pohodlí a bezpečnost zároveň,“ shrnuje Zbyněk Cvach.
„Komplexní heslo lze vytvořit poměrně snadno, například na základě jedinečné fráze související s daným účtem. Např. "Zde pracuji. Výplatu dostanu každého 10." a jednoduchým přepisem dostanu heslo "Zp.Vdk10.". Takovéto heslo je vyhodnoceno jako velmi silné. S množstvím účtů však roste pravděpodobnost zapomenutí fráze; a je to nepohodlné,“ dodává Zbyněk Cvach.
Největšími pomocníky útočníků při odhalování přístupových hesel do systému jsou samotní uživatelé. Nejjednodušším způsobem k získání hesla je totiž shromáždit informace o vybrané osobě a v první fázi vycházet z nich. Jména partnerů, dětí, domácích mazlíčků, data narození či jejich kombinace. Stejně tak krátká hesla týkající se jejich osobního či pracovního života jsou velmi lehce prolomitelná. Pro úspěšný útok na tyto typy hesel stačí jednoduché „sociální inženýrství“ nebo prostá krádež dat.
„Výhodnější se jeví použití aplikace pro správu hesel. Kaspersky Password Manager představuje jednu z možností, kdy jednotlivé účty mohou být chráněny silnými, generovanými hesly. Přístup k heslům a jejich zašifrování je pak odvozeno od jediného (komplexního!) přístupového kódu. KPM nabízí pohodlí a bezpečnost zároveň,“ shrnuje Zbyněk Cvach.
Publikováno: 07. 10. 2011
Kategorie: Technologie
