...četa se prodírala vysokou travou zahalená mlhou tak hustou, že nebylo vidět ani na konec natažené ruky. Sluch byl jediným smyslem, kterým se muži mohli orientovat a tak postupovali mlčky a našlapovali tak tiše, jak jen to bylo možné. Vtom bylo slyšet prasknutí větve. Vteřinu hrobového ticha vystřídal překotné chrastění, jak muži odjišťovali své zbraně. Dobře však slyšeli, že ten samý zvuk vychází i z místa pár metrů před nimi. "Marco!" šeptl četař do mlhy před sebou a bezdyšně vyčkával, zda na tajné heslo SAS uslyší odpověď. Když už chtěl dát pokyn ke střelbě, z bílé tmy zaznělo nejisté "Polo?!" Uff, jsou to naši...
Hesla už dávno neplní tak dobrodružnou funkci, jako ve válečných románech. S počítači, mobily a elektronickou komunikací zevšedněly a výrazně jich přibylo. Jejich podstata však zůstává nezměněna - jednoduchým způsobem rozpoznat, kdo je přítel (kdo má přístup k zaheslované věci, přístroji, souboru, stránce,...) a kdo nepřítel (komu bude přístup odepřen). Jednoduchý a účinný způsob to však je jen tehdy, když jsou naplněny dva hlavní znaky dobrého hesla - nezjistitelnost pro cizí lidi a zapamatovatelnost pro osobu, co heslo vymyslela. Jak na to?
Dlouhé, silné, nesmyslné
Aby bylo heslo nezjistitelné, neodhadnutelné, zkrátka silné, je potřeba, aby bylo dostatečně dlouhé, aby obsahovalo více druhů znaků a aby nedávalo smysl. První dvě podmínky zajistí, že heslo neprolomí žádný bot, který by se snažil zjišťovat hesla systémem "pokus-omyl". Když tedy budu mít heslo "pes", automat k němu dojde za nepatrnou chvíli, protože má jenom tři písmena a to ještě všechna malá a bez diakritky. Aplikaci na otestování síly hesel trvalo prolomení pouhých 8 vteřin!
O trochu silnější by bylo heslo "PeJsÁnEčEk". Znaků už je deset a aby bot tohle heslo rozlousknul, musel by u každého znaku zkoušet zadávat několik sad znaků - malá písmena, velká písmena, malá písmena s diakritikou a velká písmena s diakritikou. Výše zmíněná aplikace mě pochválila, že heslo je dostatečně silné a jeho prolomení by při útoku hrubou silou trvalo více než 100 let. Jediná výhrada byla k nepoužití číslic a speciálních znaků (#&@{_-?!*+...) - to by heslo ještě posílilo. Potíž je však v tom, že pokud by chtěl "PeJsÁnEčKa" rozlousknout někdo, kdo mě zná a ví, že mám rád psy, byly by různé varianty slova 'pes' a jeho odvozenin vyzkoušeny jako první. Z toho důvodu by v heslu neměla být slovníková slova a nemělo by mít patrnou souvislost s osobností jeho vlastníka.
Suma sumárum by správné heslo mělo:
Takové ideální heslo by tedy vypadalo asi jako K5ř_Mu+4N+, jenže...
Heslo, které nezapomenu
Jenže není, protože kdo by si takové heslo zapamatoval? Kdyby ho člověk užíval denně, asi by si na něj zvyknul, ale co když to heslo potřebujeme třeba jen jednou za měsíc? Pak by to bylo asi bez šance. Heslo by proto mělo být lehce zapamatovatelné, ale jen pro osobu, která jej vymyslela. Toho jde docílit pomocí různých mnemotechnických pomůcek. Například asociací s nějakým zážitkem. Tak třeba heslo "autokámenhorakočky" je pro útok hrubou silou, slovníkový útok i útok založený na základě znalosti mé osoby naprosto bezpečné (přestože obsahuje jenom malá písmena); já si je však lehce zapamatuji, protože mi připomene historku, kdy jsem naboural autem do obrovského kamene, když jsem jel na hory s člověkem, jenž na svačinu připravoval sendviče, kterým říkal kočky. Tramtará, to už do smrti nezapomenu, i kdybych se snažil.
I v heslech je dobré mít systém
Další problém tvoří počet hesel, která k životu potřebujeme - to máš heslo k mailu, k facebooku, do počítače, do telefonu, do tabletu, do internetového bankovnictví, do školního ISu, do zákaznických účtů... Je jich hromada a jistě pochopíš, že není vhodné mít všude stejné heslo. Zároveň by bylo velmi složité pro každý účet vymýšlet úplně nové heslo s úplně novou mnemotechnickou pomůckou.
Řešením může být jednotná práce s hesly. Stačí si vymyslet jednotný princip, podle kterého budu tvořit originální hesla ke každému účtu. Například mohu jako hesla používat jména a vlastnosti, která začínají na stejné písmeno, jakým začíná i název daného účtu. K mailu M, k facebooku F apod. První a poslední písmena budou velká a po druhém písmenu prvního slova a druhém písmenu druhého slova uvedu datum poslední změny hesla. S tímto snadno zapamatovatelným principem mohu mít celou řadu originálních a silných hesel:
Princip vytváření hesel si samozřejmě vymysli vlastní.
Automaticky vyplněné heslo není heslo!
Sebesilnější heslo je úplně naprd, když je někde napsané. Webové prohlížeče už pěknou řádku let nabízejí funkci zapamatování hesel. Dovedou si pro každou stránku pamatovat i několik hesel a Ty si pak už jen vybereš, na který z účtů zrovna chceš vlézt. Je to nanejvýš pohodlné, ovšem krajně nebezpečné. Tenhle usnadňovák si troufnu používat na svém osobním nepřenosném počítači, který je však chráněn heslem, a pouze u účtů, jejichž nabourání by nemělo fatální následky (diskusní fóra, hráčské účty apod.). Tato funkce však v žádném případě není určena k zapamatování hesel třeba od internetového bankovnictví! Některé banky dokonce brání prohlížečům v uplatňování automaticky zadávaných hesel, vědí proč.
Stejně tak je nešikovné používat tzv. kontrolní otázky při zapomenutí hesla. Pokud by Tvoje heslo někde bylo jméno Tvojí maminky za svobodna (což rozhodně není bezpečné heslo), použití kontrolní otázky 'Jaké je jméno matky za svobodna?' už je holý nerozum. Asi jako kdybys na dveře od domu napsal 'Klíče jsou pod rohožkou...'
Jak tedy s hesly nakládat? Zkus následující desatero:
Související články:
Na návštěvě se chováme nejen slušně, ale i opatrně!
Slavným proti své vůli aneb O fotkách a videu na internetu
To (ne)vysvětlíš?!
Google jasnovidec
Hledej, stopa!
Welcome to the Internet - let me be your guide!
Příspěvek vznikl v rámci projektu Bezpečnost na internetu, který finančně podpořila Československá obchodní banka, a.s.