Tipy pro uživatelské heslo

Zde najdete několik rad, jak pracovat s hesly pohodlně a zároveň bezpečně. Zapomeňte na zásady nařizující kolik máte mít v hesle jakých znaků a jak často máte heslo pravidelně měnit. Jsou dávno přežité a prokazatelně kontraproduktivní.

 

 

Používejte správce hesel

Naučte se používat správce hesel. Hesla už si nebudete muset pamatovat. Jedná se o velmi pohodlný způsob uchovávání hesel, na který si rychle zvyknete. Zároveň pomáhá dodržovat při tvorbě hesel důležité zásady.

Musí jít samozřejmě o důvěryhodného správce hesel, proto se zajímejte o reputaci jeho autora či provozovatele. Z naší zkušenosti můžeme doporučit např. 1password.com, lastpass.com či keepass.info

Pamatovat si pak stačí jen jedno kvalitní heslo, kterým chráníte samotného správce hesel a ostatní hesla se vám budou do www stránek (nebo i aplikací na mobilu) vyplňovat dle potřeby sama. Budete-li chtít, můžete je spravovat synchronizovaně na všech zařízeních, která používáte (počítač, telefon, tablet). 

Je pochopitelné, že ne každý má přirozeně důvěru k tomu, aby uložil všechna svá hesla na jedno místo, uvažte ale níže popsané důvody:

  • Výše uvedení správci chrání přístup k vaší důkladně zašifrované peněžence nejen hlavním heslem, ale ještě tím, že jsou uložena pouze na zařízeních, která si sami vyberete (1password.com či keepass.info) nebo si můžete přístup k peněžence chránit vícekrokovým ověřením (lastpass.com).
  • Správce hesel za vás kontroluje URL adresy, kam heslo zadáváte, čímž vás účinně chrání proti tzv. phishingu.
  • Už dnes máte jedno místo a jedno heslo, přes které se lze dostat k většině vašich účtů. Je to emailová schránka a heslo k ní, protože přes emailovou schránku si u drtivé většiny služeb můžete heslo resetovat. Přístup k emailové schránce si proto chraňte dvojnásob, i kdybyste správce hesel nepoužívali.
  • I když má správce hesel své chyby jako každá jiná aplikace, nevadí to, pokud jej provozuje důvěryhodná organizace, která chyby obratem opravuje. Správce není a nemusí být dokonalý. Stačí, když bude jeho použití výrazně bezpečnější a pohodlnější, než jaká je situace bez něj. Je totiž zásadně bezpečnější a pohodlnější používat vygenerovaná unikátní hesla, která mám snadno k dispozici a nemusím je ani opisovat, než zadávat hesla zapamatovaná a tím pádem stejná či podobná na více službách nebo než si hesla ukládat kamkoliv (i offline) do obyčejné textové tabulky.

 

Pro každou službu používejte unikátní heslo

Nejčastější způsob, jak jsou v praxi hesla skutečně zneužívána, využívá toho, že má uživatel na více službách nastaveno heslo stejné nebo podobné.

Protože heslo je obvykle uloženo společně s vaší emailovou adresou, je nejhorší případ používat na webových službách stejné heslo, jakým se hlásíte právě do emailu. Přes email lze pak resetovat heslo do téměř každého účtu, který používáte.

Nikdy nevíte, jak s vaším heslem nakládá ten který provozovatel služby (jestli jej např. ukládá správně nebo naopak v čitelné podobě) a kdo k němu má přístup (např. najatý brigádník pracující pro provozovatele služby apod.).

Navíc i přes dodržování bezpečnostních zásad dochází k únikům a zveřejňování hesel z veřejných služeb, které dnes a denně čelí kybernetickým útokům.

Protože k výše popsaným incidentům běžně dochází, je zásadně důležité, aby se případný únik hesla omezil pouze na tu jednu službu, u které k němu došlo a nebyly ohroženy účty, které máte u zcela nesouvisejících služeb.

Pokud si nastavíte u ACTIVE 24 stejné heslo, jaké jste použili např. v nějakém eshopu, může pak prozrazení hesla z eshopu vážně ohrozit vaši doménu či emailové schránky, které u nás provozujete.

Protože samozřejmě není v lidských silách pamatovat si desítky unikátních hesel, doporučujeme používat důvěryhodného správce hesel.

TIP: Pokud zadáte svou emailovou adresu do služby haveibeenpwned.com, ověříte si, jestli k vaší emailové adrese nekoluje po internetu nějaké uniklé heslo. Navíc se můžete zaregistrovat, abyste obdrželi notifikaci, pokud by k tomu v budoucnu došlo.

 

Hesla nevymýšlejte, ale generujte

Určitě platí, že byste se měli vyvarovat jednoduchých hesel, která obsahují známá slova, jména, číselné či znakové posloupnosti, data narození nebo taková, která jsou odhadnutelná v kontextu s navštívenou stránkou.

Používáte-li správce hesel, použijte jej i pro generování hesel a nebojte se hesel dlouhých (běžně i více než 20 znaků), protože heslo nepotřebujete znát a v drtivé většině případů ho ani nemusíte ručně opisovat.

Jak má být heslo dlouhé a komplexní si snadno navolíte i s ohledem na požadavky té které služby.

Pokud se i přes výše uvedené rozhodnete správce hesel nepoužívat, vězte, že záleží více na délce hesla než na tom, jaké obsahuje znaky.

Používejte tedy alespoň hesla složená z více delších a vzájemně nesouvisejících slov, ideálně vč. diakritiky, nějakého speciálního znaku a kreativním PraVoPiSem.

Upozornění: Je-li vám heslo přiděleno samotnou službou, co nejdříve jej změňte.


Pokud heslo s někým sdílíte, ověřte nejprve jeho identitu

Běžně nastávají situace, kdy dává smysl vybrané přístupové údaje s někým sdílet, např. s webmasterem, kterému důvěřujete. Na druhou stranu je vylákání hesla od uživatele velmi častý způsob, jak úspěšně odcizit něčí účet.

Vylákání hesla bývá jednodušší, než překonávat technické překážky zabezpečeného systému. 

Obvyklý způsob loudění přístupových údajů bývá vydávání se za technickou podporu, často spojené s vyvoláváním pocitu urgentnosti.

V dnešní době je také oblíbené vylákat údaje na sociálních sítích, kdy vám najednou píše osoba, kterou na první pohled znáte (stejné jméno, fotografie aj.), ale jde o falešný profil.

TIP:: Pokud jste nějakou osobou nebo formulářem požádáni o poskytnutí hesla, velmi zpozorněte! Nespěchejte a důkladně si nejprve ověřte, zda skutečně komunikujete s tím, za koho se dotyčný vydává - počínaje kontrolou URL adresy, emailové adresy, facebookového profilu nebo např. telefonickým ověřením!

Jestliže žadateli důvěřujete, zvolte vhodný způsob předání hesla. Nejlépe použijte jiný komunikační kanál, než kterým bylo o heslo požádáno, například heslo pošlete pomocí SMS, když žádost přišla emailem apod. 

Nepředávejte heslo, které používáte u více služeb! Mějte na paměti, že zákaznická podpora by od vás přístupové údaje nikdy požadovat neměla – nepotřebuje je.

Předpokladem pro bezpečné předávání hesel je používání unikátních hesla. Po předání heslo z emailu/SMS historie vymažte.


 

Máte-li podezření na únik hesla, změňte jej!

V případech, kdy jste heslo použili na nějakém nedůvěryhodném počítači, poslali jej přes nedůvěryhodný kanál, zadali ho do podezřelého formuláře (naletět na phishing může i profík) nebo pominul důvod, pro který jste heslo sdíleli s někým dalším, bez zbytečného odkladu jej změňte! 

S použitím správce hesel je vygenerování a uložení nového bezpečného hesla otázkou chviličky a nic nového si nemusíte pamatovat.


Aktivujte si ověření přihlášení (dvoufaktorovou autorizaci)

Pokud to služba umožňuje, aktivujte si ověření přihlášení (tzv. 2FA či 2SV). Nejčastěji jde o jednorázová číselná hesla generovaná aplikací v telefonu nebo ověřovací notifikací přes aplikaci v telefonu.

Pokud u ACTIVE 24 registrujete důležitou doménu či provozujete libovolnou službu, na které vám záleží, důrazně doporučujeme aktivaci ověření přihlášení u vašeho zákaznického účtu.

V každém případě si takto chraňte svého správce hesel, který ukládá hesla online (lastpass.com) nebo službu pro synchronizaci souborů, kterou používáte na ukládání souboru se zašifrovanými hesly (např. dropbox.com).

 


Jak chráníme hesla v ACTIVE 24?

Hesla jsou vaše osobní údaje. Z důvodů jejich ochrany je proto nikdy neukládáme v čitelné podobě, aby se k nim nedostal nikdo nepovolaný a to ani naši zaměstnanci (nepotřebují je znát). Pokud heslo zapomenete, neumíme je zpětně zjistit a musíte postupovat podle návodu pro nastavení nového. Odkazy na nastavení hesla nového, které dostanete do emailu, mají časově omezenou platnost, aby se omezila možnost jejich pozdějšího zneužití.

Na ukládání hesel používáme jednosměrné hash funkce. V případě hesla k zákaznickému účtu se jedná o funkci bcrypt s cost hodnotou 12, která zajišťuje silnou odolnost proti tzv. bruteforce útokům. Všechna hesla k zákaznickým účtům, která byla dříve uložena v jiném formátu, jsou také znovu zahashována funkcí bcrypt. Tedy i kdyby se databáze s takto uloženými hesly dostala do rukou útočníkovi, nebude z ní schopen získat hesla v čitelném formátu, pokud nejsou vyloženě triviální (123456, password apod.), přičemž použití triviálních hesel brání naše validace při nastavování hesla nového. Nedovolíme nastavit heslo, o kterém víme, že v minulosti uniklo na veřejnost, protože je součástí veřejné databáze uniklých hesel. Vaše heslo ale s touto službou nesdílíme - kontrola probíhá přes tzv. k-anonymity protokol. Obecně vyžadujeme heslo dlouhé minimálně 12 znaků a jeho sílu při nastavování vizuálně indikujeme.

Nikdy po vás nebudeme vyžadovat, abyste si heslo pravidelně měnili, protože víme, že je to nejen otravné, ale zabezpečení to ve skutečnosti paradoxně snižuje. V případě, že by se někdo snažil vaše heslo na dálku hádat, narazí na tzv. rate limit, který ho po několika neúspěšných pokusech zastaví a nedovolí mu hádat dále. Pokud taková situace nastane, dostanete od nás ihned varovný email s informacemi, které k útoku máme a jak dále postupovat. Další druhy hesel, které u nás uchováváme (na FTP účty, emailové schránky, databáze apod.), využívají různé typy hash funkcí dle možností konkrétní backend platformy. Kde je to možné a účelné, přecházíme na pomalejší hash funkce, které jsou odolné proti bruteforce útokům.