Tipy pre užívateľské heslo

Úvod > Bezpečnosť > Tipy pre užívateľské heslo

Tu nájdete niekoľko rád, ako pracovať s heslami pohodlne a zároveň bezpečne. Zabudnite na zásady nariaďujúce koľko máte mať v hesle akých znakov a ako často máte heslo pravidelne meniť. Sú dávno prežité a preukázeteľne kontraproduktívne.
 


Používajte správcu hesiel

Naučte sa používať správcu hesiel. Heslá už si nebudete musieť pamätať. Ide o veľmi pohodlný spôsob uchovávania hesiel, na ktorý si rýchlo zvyknete. Zároveň pomáha dodržiavať pri tvorbe hesiel dôležité zásady.

Musí ísť samozrejme o dôveryhodného správcu hesiel, preto sa zaujímajte o reputáciu jeho autora či prevádzkovateľa. Z našej skúsenosti môžeme odporučiť napr. 1password.com, lastpass.com či keepass.info

Pamätať si potom stačí len jedno kvalitné heslo, ktorým chránite samotného správcu hesiel a ostatné heslá sa vám budú do www stránok (alebo i aplikácií na mobile) vypĺňať podľa potreby samé. Ak budete chcieť, môžete ich spravovať synchronizovane na všetkých zariadeniach, ktoré používate (počítač, telefón, tablet). 

Je pochopiteľné, že nie každý má prirodzene dôveru k tomu, aby uložil všetky svoje heslá na jedno miesto, zvážte ale nižšie popísané dôvody:

  • Vyššie uvedení správcovia chránia prístup k vašej dôkladne zašifrovanej peňaženke nielen hlavným heslom, ale ešte tým, že sú uložené len na zariadeniach, ktoré si sami vyberiete (1password.com či keepass.info) alebo si môžete prístup k peňaženke chrániť viackrokovým overením (lastpass.com).

  • Správca hesiel za vás kontroluje URL adresy, kam heslo zadávate, čím vás účinne chráni pred tzv. phishingom.

  • Už dnes máte jedno miesto a jedno heslo, cez ktoré sa dá dostať k väčšine vašich účtov. Je to emailová schránka a heslo k nej, pretože cez emailovú schránku si u väčšiny služieb môžete heslo resetovať. Prístup k emailovej schránke si preto chráňte dvojnásobne, i keby ste správcu hesiel nepoužívali.

  • I keď má správca hesiel svoje chyby ako každá iná aplikácia, nevadí to, ak ju prevádzkuje dôveryhodná organizácia, ktorá chyby obratom opravuje. Správca nie je a nemusí byť dokonalý. Stačí, keď bude jeho použitie výrazne bezpečnejšie a pohodlnejšie, než aká je situácia bez neho. Je totiž zásadne bezpečnejšie a pohodlnejšie používať vygenerované unikátne heslá, ktoré mám ľahko k dispozícii a nemusím ich ani opisovať, než zadávať heslá zapamätané a tým pádom rovnaké či podobné na viacerých službách alebo si heslá ukladať kamkoľvek (i offline) do obyčajnej textovej tabuľky.


Pre každú službu používajte unikátne heslo

Najčastejší spôsob, ako sú v praxi heslá skutočne zneužívané, využívajú to, že má užívateľ na viacerých službách nastavené heslo rovnaké alebo podobné.

Pretože heslo je obvykle uložené spoločne s vašou emailovou adresou, je najhorší prípad používať na webových službách rovnaké heslo, akým sa prihlasujete práve do emailu. Cez email sa potom dá resetovať heslo do takmer každého účtu, ktorý používate.

Nikdy neviete, ako s vašim heslom nakladá ten který prevádzkovateľ služby (či ho napr. ukladá správne alebo naopak v čitateľnej podobe) a kto k nemu má prístup (napr. najatý brigádnik pracujúci pre prevádzkovateľa služby a pod.).

Navyše i napriek dodržiavaniu bezpečnostných zásad dochádza k únikom a zverejňovaniu hesiel z verejných služieb, ktoré dnes a denne čelia kybernetickým útokom.

Pretože k vyššie popísaným incidentom bežne dochádza, je zásadne dôležité, aby sa prípadný únik hesla obmedzil len na tú jednu službu, u ktorej k nemu došlo a neboli ohrozené účty, ktoré máte u nesúvisiacich služieb.

Ak si nastavíte u ACTIVE 24 rovnaké heslo, aké ste použili napr. v nejakom eshope, môže potom prezradenie hesla z eshopu vážne ohroziť vašu doménu či emailové schránky, ktoré u nás prevádzkujete.

Pretože samozrejme nie je v ľudských silách pamätať si desiatky unikátnych hesiel, odporúčame používať dôveryhodného správcu hesiel.

TIP: Ak zadáte svoju emailovú adresu do služby haveibeenpwned.com, overíte si, či k vašej emailovej adrese nekoluje po internete nejaké uniknuté heslo. Naviac sa môžete zaregistrovať, aby ste dostali notifikáciu, ak by k tomu v budúcnosti došlo.


Heslá nevymýšľajte, ale generujte

Určite platí, aby ste sa vyvarovali jednoduchých hesiel, ktoré obsahujú známe slová, mená, číselné či znakové postupnosti, dátumy narodenia alebo také ktoré sú odhadnuteľné v kontexte s navštívenou stránkou.

Ak používate správcu hesiel, použite ho i pre generovanie hesiel a nebojte sa hesiel dlhých (bežne i viac ako 20 znakov), pretože heslo nepotrebujete poznať a v drvivej väčšine prípadov ho ani nemusíte ručne opisovať.

Ako má byť heslo dlhé a komplexné ľahko navolíte i s ohľadom na požiadavky tej ktorej služby.

Ak sa i napriek vyššie uvedenému rozhodnete správcu hesiel nepoužívať, vedzte, že omnoho viac záleží na dĺžke hesla ako na tom, aké obsahuje znaky.

Používajte teda aspoň heslá zložené z viacerých dlhších a vzájomne nesúvisiacich slov, ideálne vrátane diakritiky a kreatívnym pravopisom.

Upozornenie: Ak je vám heslo pridelené samotnou službou, čo najskôr ho zmeňte.


Ak heslo s niekým zdieľate, overte najskôr jeho identitu

Bežne nastávajú situácie, kedy dáva zmysel vybrané prístupové údaje s niekým zdieľať, napr. s webmasterom, ktorému dôverujete. Na druhú stranu je vylákanie hesla od užívateľa veľmi častý spôsob, ako úspešne odcudziť niečí účet.

Vylákanie hesla býva jednoduchšie ako prekonávať technické prekážky zabezpečeného systému. 

Obvyklý spôsob získavania prístupových údajov býva vydávanie sa za technickú podporu, často spojené s vyvolávaním pocitu urgentnosti.

V dnešnej dobe je tiež obľúbené vylákať údaje na sociálnych síeťach, kedy vám píše osoba, ktorú na prvý pohľad poznáte (rovnaké meno, fotografia a.i.), ale ide o falošný profil.

TIP: Ak ste nejakou osobou alebo formulárom požiadaní o poskytnutie hesla, veľmi spozornite! Neponáhľajte sa a dôkladne si najskôr overte, či skutočne komunikujete s tým, za koho sa dotyčný vydáva - od kontroly URL adresy, emailovej adresy, facebookového profilu alebo napr. telefonickým overením!

Ak žiadateľovi dôverujete, zvoľte vhodný spôsob predania hesla. Najleošie použite iný komunikačný kanál, než ktorým bolo o heslo požiadené, napríklad heslo pošlite pomocou SMS, ak žiadosť prišla emailom a pod. 

Nepredávajte heslo, ktoré používate u viacerých služieb! Majte na pamäti, že zákaznícka podpora by od vás prístupové údaje nikdy požadovať nemala – nepotrebuje ich.

Predpokladom pre bezpečné predávanie hesiel je používať unikátne heslá. Po predaní heslo z emailu/SMS histórie vymažte.


Ak máte podozrenie na únik hesla, zmeňte ho!

V prípadoch, kedy ste heslo použili na nejakom nedôveryhodnom počítači, poslali ho cez nedôveryhodný kanál, zadali ho do podozrivého formulára (naletieť na phishing môže i profík) alebo pominul dôvod, pre ktorý ste heslo zdieľali s niekým ďalším, bez zbytočného odkladu ho zmeňte! 

S použitím správcu hesiel je vygenerovanie a uloženie nového bezpečného hesla otázkou chvíľky a nič nové si nemusíte pamätať.


Aktivujte si viackrokové overenie

Ak to služba umožňuje, aktivujte si viackrokové overenie pri prihlásení (tzv. 2SV či 2FA). Najčastejšie ide o jednorazové číselné heslá generované aplikáciou v telefóne alebo overovaciu notifikáciu cez aplikáciu v telefóne.

Overovanie pomocou SMS sa už nepovažuje za dostatočne dôveryhodné a odporúča sa od neho ustúpiť.

V každom prípade si takto chráňte svojho správcu hesiel, ktorý ukladá heslá online (lastpass.com) alebo službu pre synchronizáciu súborov, ktorú používate na ukladanie súborov zo zašifrovanými heslami (napr. dropbox.com).

Aktualizováno:

Ostatní články