Väčšina našej práce a sociálnych aktivít sa presúva do online priestoru, a preto je dôležité sa v ňom chrániť v najvyššej možnej miere. Či už sa pripájaš k domácej Wi-Fi alebo odomykáš telefón, určite sa stretávaš so zadávaním hesiel, ktoré sú, žiaľ, v mnohých prípadoch až komický jednoduché.

Ďalším segmentom, kde sa môžeš stretnúť s prihlasovaním skrz dedikované používateľské meno a k nemu priradené heslo, sú rôzne portály alebo sociálne siete, pri ktorých v závislosti od poskytovaných dát vzniká potenciálnemu útočníkovi zámienka k nabúraniu sa do osobného účtu.

www.themoviedb.org

Poďme si teda popísať niekoľko zásad bezpečného prehliadania internetu. Toto sú 3 základné kroky, ktoré by si mal zvážiť pri zakladaní nového účtu:

  1. Uisti sa, či daná služba podporuje dvojfaktorové overovanie. Overovanie účtov ďalším dodatočným spôsobom je jedným z najsilnejších nástrojov, ako sa pred útokmi hackerov chrániť. Ešte bezpečnejším spôsobom autentifikácie ako generovaný e-mail, je voľba SMS, keďže v tomto prípade potrebuješ s určitosťou mobilné zariadenie a mobilné číslo napísané na teba, čo iba vytvorí ďalšiu neviditeľnú bariéru pre útočníka. Väčšina webov dnes už dvojfaktorovú autentifikáciu poskytuje.
  2. Vyhni sa prihlasovaniu na nové portály pomocou účtu Googlu, Facebooku alebo ďalších ponúkaných služieb. Pri čerstvej registrácii tak radšej zvoľ o niekoľko minút dlhšiu cestu skrz dedikovaný formulár a účet vytvor nanovo so špecifickým prihlasovacím menom a heslom. Kapitolou samou o sebe je prihlasovanie pomocou relatívne novej prihlasovacej metódy Apple. Spoločnosť si v podstate presadila svoju metódu prihlasovania prostredníctvom Apple ID, kedy sa však vyhýbaš akémukoľvek zdieľaniu účtu za pomoci premyslenej šifrovacej techniky, skrytej za biometrickú bariéru Face ID alebo Touch ID. „Sign with Apple ID“ je teda už od úplných základov metóda sústreďujúca sa na bezpečnosť a kontrolu osobných informácií. Pri registrácií na podporovaných stránkach / aplikáciách tak Apple využíva len meno a e-mailovú adresu, ktorú môžeš skryť, takže sa poskytovateľ služby, do ktorej sa prihlasuješ, nikdy jej reálnu formu nemusí dozvedieť.
  3. Ako sme už naznačili v predošlom kroku, v každom prípade si vymýšľaj nové a predtým nepoužité heslá. Práve tento krok je najdôležitejší z trojice, keďže potenciálnemu útočníkovi stačí už raz prelomené heslo opakovane skúšať na ďalších miestach a je len otázkou času, ku koľkým účtom sa skrz získané heslo dostane. Určite tak zaisti, aby boli jednotlivé heslá od seba čo najviac odlíšené nielen použitými znakmi, ale aj aby nedokázala medzi nimi nájsť útočník žiadnu významovú spojitosť. Jednoduchým príkladom je tak dvojica výrazov Pes a Mačka. Zatiaľ čo ani jeden z použitých znakov sa nezhoduje, významovo ide o podobné výrazy, keďže v oboch prípadoch ide o domáce zvieratá.

blog.malwarebytes.com

Snaž sa vyššie popísané aspekty držať v hlave pri každej novej registrácií a riziko úniku osobných dát znížiš o niekoľko nezanedbateľných percent. Útočníci nabádajú používateľov dvomi spôsobmi, ktorých definície môžu pomôcť zmeniť myslenie pri budovaní hesla. Sú to tieto metódy:

  • Sociálne inžinierstvo – v samotnej podstate je sociálne inžinierstvo súbor psychologických nástrojov, ktorými útočník môže zmanipulovať majiteľa účtu, aby mu dobrovoľne odovzdal informácie o svojom zabezpečení. V praxi to tak predstavuje hľadanie rôznych záchytných bodov, od ktorých sa hacker môže pri lámaní heslá odraziť. Používateľ by mal voliť takú sadu znakov, ktorá v žiadnej miere nie je  spojiteľná s jeho osobou. Ďalej je potrebné sa vyhýbať akémukoľvek spomínaniu hesla alebo len jeho súčastí v internetovej komunikácií, a to aj v kruhu najbližších.
  • Brute-Force metóda – poučka definuje túto metódu ako sadu konzistentne opakovaných tipov s potenciálom finálneho odhalenia zašifrovanej správy. Hacker v prvom kroku navolí vstupné parametre, ktoré bude následne sofistikovaný počítač pomocou zložitej kombinatoriky skúšať, transformovať alebo dopĺňať o pravdepodobné parametre. V závislosti od zložitosti hesla je tak k tejto metóde potrebná extrémna výpočtová sila, ktorá je v komerčnom segmente finančne neudržateľná, a tak najlepším spôsobom ochrany je voľba dlhého hesla zloženého nielen z písem, ale aj čísel a znakov.
Ako teda zostaviť neprelomiteľné heslo?

Ešte predtým, ako prejdeme k samotnému skladaniu „neprelomiteľného“ hesla si predstavme graf čerpajúci informácie zo služby How Secure Is My Password. Ten prezentuje šesť základných aspektov, ktoré by mal každý používateľ budujúci bezpečné heslo zohľadňovať:

  • Počet znakov
  • Nepoužívanie len čísel
  • Kombinácia malých a veľkých písmen
  • Kombinácia čísiel s veľkými a malými písmenami
  • Obohatenie kombinácie čísel, veľkých a malých písmen o symboly

Reddit

S vyššie popísanými parametrami a utriedenými myšlienkami sa tak môžeme pustiť do skladania neprelomiteľného hesla.

V prvom kroku sa tak riadime pravidlom, čím dlhšie heslo, tým bezpečnejšie. Heslá zostavené z menej ako ôsmich znakov navyše väčšina webov pri registrácii ani nepovolí, no radšej by aké nepodliezli hranicu desiatich znakov, čo je všeobecne známym nepísaným štandardom.

Nielen graf, ale aj zdravý rozum tak naznačuje, že by sme sa mali strániť len číselných hesiel a použitie len malých alebo len veľkých písmen. Ochranu tak posilní už aj jeden symbol, no rozhodne neuškodí zakomponovanie hneď viacerých špecifických znakov.

Po vymyslení kombinácie čísel, veľkých a malých písmen a niekoľkých symbolov musíš mať na pamäti:

  • Heslo nemôže byť nijako zlučiteľné s tvojou osobou – v praxi to teda znamená, že aj keď heslo X Æ A-12 by bolo metódou Brute-Force takmer neprelomiteľné, hacker nemá problém sa pozrieť na posledné správy zo sveta a náhodne skúsiť v prípade osobného účtu Elon Muska práve tento zhluk znakov. V reálnom svete je táto myšlienka aplikovateľná na mená rodinných príslušníkov alebo s tebou spojiteľných adries, miest či obľúbených produktov
  • S tým je úzko spojené aj využívanie všeobecne známych výrazov a fráz, ktoré dopomôžu útočníkovi k zmenšeniu databázy možných hesiel. Rovnako teda neodporúčame využívanie komplexných pomenovaní skloňovaných v médiách alebo použitých v rôznych oblastiach popkultúry ako hudobný priemysel, filmy a seriály alebo hry. V žiadnom prípade nepoužívaj plnovýznamové slová, a to ani v prípade, že jednotlivé písmena nahradíš na prvý pohľad odlišnými symbolmi. Heslo „@ut0mob1L“ síce pôsobí na prvý pohľad ako vynikajúce zabezpečenie, no aj v tomto prípade musíš zohľadňovať sociálne inžinierstvo, kedy hacker nemá problém prísť k finálnemu plnovýznamovému podstatnému menu automobil. Vymieňanie písmen za podobné znaky je aktuálne v kurze, a tak hackerovi bude trvať podstatne kratšie, kým danú šifru rozlúšti

Hackerské útoky prebiehajú hneď v niekoľkých krokoch. Útočníci v prvom rade určujú počet znakov, z ktorých daná ochrana pozostáva.

V tomto prípade tak často pracujú s predpokladom minimálneho počtu znakov 8 (keďže práve 8 znakov je rozšíreným štandardom na väčšine portálov) a „budú sa spoliehať“ na to, že používateľ je bežný konzument, ktorý si nenastaví heslo dlhšie ako 20 znakov.

Pri takomto scenári sa tak útočník opiera o prvý základný limit, a to je konečná štruktúra hesla s počtom znakov od 8 po 20. Ako sme si popísali, čím dlhšie bude heslo, tým dlhšie zaberie útočníkovi jeho prelomenie, keďže sa s navyšujúcim počtom pozícii vo výraze ráta s ďalšími neurčitými prvkami.

Heslo môže pozostávať z knižnice veľkých a malých písmen tradičnej abecedy (slovenská abeceda pozostáva z 43 veľkých a malých jedinečných písmen), 10 čísel alebo špecifických symbolov na klávesnici, reprezentujúcich 33 amerických štandardizovaných kódov pre elektronickú výmenu informácii (ASCII).

V konečnom čase prelomenia rovnako zaváži aj pravdepodobná možnosť duplikovania rovnakého znaku, vďaka čomu musí hackovací proces zhodnotiť opätovne celú veľkú knižnicu potenciálnych znakov.

Tu je dobré si pamätať, že vyššie spomínaná skladba znakov nemusí byť nutne aplikovateľná len na územie Slovenska. Ostatné svetové klávesnice totiž disponujú svojimi špecifickými znakmi, ktoré sa v mnohých prípadoch dajú napísať na akejkoľvek svetovej klávesnici za pomoci klávesových kombinácii, a tak napríklad zakomponovanie českého písmena „ř“ u slovenského používateľa môže byť síce drobným, no dodatočným prvkom bezpečnosti.

Nezanedbateľná hŕstka komerčných počítačov súčasnosti je schopná metódou pokus a omyl bezproblémovo prelomiť heslá pozostávajúce z maximálne šiestich znakov.

Práve preto sa často odporúča zvoliť kombináciu minimálne ôsmich znakov, kedy pridanie ďalšieho elementu (napríklad vo forme „netradičného“ znaku €) ešte väčšmi skomplikuje proces rátanej kombinatoriky.

Komplikácie vznikajú prirodzene už zo samotnej definície kombinatoriky, kedy útočníkom navrhnutý kód bude musieť kombinovať znaky v rozmedzí všetkých písmen, čísel a symbolov na úrovni špecificky stanovených pozícií (čiže v nami načrtnutom príklade na prvom alebo maximálne až na dvadsiatom mieste) až do momentu úspechu.

To teda znamená, že čím bude viac vypĺňaných pozícií (počet znakov) a čím bude väčšia knižnica znakov (všetky veľké a malé písmená, čísla a symboly), tým bude proces vyrátavania výsledku technologicky a časovo náročnejší, keďže procesy prelomenia hesiel si vyžadujú nezanedbateľný čas na kontrolu a vyhodnotenie výsledku. Pri dnešných počítačoch to teda môže, samozrejme v závislosti od komplexnosti hesla, trvať niekoľko sekúnd, ale aj stoviek rokov.

Nástroje a odporúčania

Ako teda splniť všetky vyššie popísané podmienky a nestratiť sa v nich? Používateľsky najpríjemnejšou formou je okamžité presunutie hesiel do dedikovaných manažérov, ktoré vo voľnej forme ponúkajú už aj viaceré etablované prehliadače s Google Chrome na čele.

Ešte bezpečnejšou a všestrannejšou formou je využívanie jednoúčelových aplikácií, navrhnutých primárne k uchovávaniu nekonečnej zásoby prihlasovacích údajov.

Medzi popredných velikánov tohto segmentu radíme aplikácie LastPass, 1Password alebo Dashlane, ktoré v mnohých prípadoch už vo voľnej verzii ponúkajú používateľom základné funkcionality a prihlasovanie do osobných trezorov pomocou biometrie.

Avast Hack Check

Rovnako ako tieto aplikácie, aj rôzne webové lokality dopomôžu k otestovaniu sily hesla. Rozhodne odporúčame už spomínanú službu howsecureismypassword.net, kde si nepriestrelnosť svojho hesla môžeš otestovať aj s okamžitou spätnou väzbou. Prostredníctvom služby Avast Hack Check si tak v ďalšom kroku môžeš skontrolovať svoje chyby minulosti, kedy Avast obratom pošle e-mail s podrobnými informáciami o podstate uniknutých dát a príležitosti, pri akej k tomuto prelomeniu došlo.

Pošli nám TIP na článok



Ako na to?