CLOUDY podcast | #2 123456 nebo password jako heslo je smutná pravda
- Novinky
Dozvěděl jsem se, že až 85 % lidí má jedno heslo pro více služeb. Například k mailu či Facebooku. A více než 75 % lidí má slabé heslo. Co znamená, že mám slabé heslo?
Možná nejprve k tomu, proč ti lidé mají jedno a totéž heslo, případně jen s malými variacemi.. třeba si uvědomit, že není úplně pro nás lidi přirozené si pamatovat sekvence znaků a ještě navíc tyto sekvence by měly mít dobrou entropii, tedy měly by být náhodné. Dnes je běžné, že mladí lidé mají dvacet, třicet účtů na sociálních sítích či bankovních aplikacích. A mít takto 30 sekvencí znaků uložených v hlavě, není úplně triviální záležitost. Nemůžeme se tedy uživatelům divit, že si to zjednodušují.
Je pravda, že stále lidé využívají hesla jako 123456?
To je smutná pravda. Každý rok vychází seznam nejběžnějších hesel a pravidelně vede 123456, druhé místo je myslím password, atp. Útočníci zneužívají takový seznam 10 000 nejpoužívanějších hesel a ty první příčky se skoro nemění. Toto je pro ně nultý krok, tento seznam si stáhnout a hesla porovnat.
Dělají to ručně nebo je k tomu nějaký nástroj?
Určitě to nedělají ručně. K tomu jsou přesně automatizované nástroje. Jsou vlastně dvě metody, ale nejčastěji je, že já vezmu to heslo a jedno po druhém to budu zkoušet v určité službě, ale to je ta méně sofistikovaná metoda.
Ta sofistikovanější je, že si stáhnu tu databázi hesel a zkouším jedno po druhém offline na nějakém výkonném stroji, popřípadě v cloudu.
Jak se umí hacker dostat k heslu? Už jsem kdysi dávno slyšel, že i podle otisků jak máš otištěná písmenka, respektive čísla na klávesnici to je možné, četl jsem i dokonce, že AI to dokáže udělat podle zvuku kláves.
Kdyby si dnes vzal mikrofony, které jsou již u webkamer nebo v těch kvalitních noteboocích, tak jsou velmi citlivé a podle toho jak rychle a jak vlastně zní ty klávesnice, tak na to, ten model AI umím natrénovat. S velmi velkou pravděpodobností bude umět jen ze zvuku pak vyčíst, že jaké heslo vlastně uživatel ťukal.
To už je sofistikovaná metoda. Přece jen i ti útočníci chtějí za minimum úsilí mít co nejvíce „muziky. Je to otázka motivace. Je mnohem jednodušší vyzkoušet prolomit ta slabá hesla, než hackovat někomu počítač a mikrofon a mít vytrénovaný AI model.
Při tvorbě hesel už často napíše, že toto heslo je slabé. Co tedy opravdu znamená, že je heslo slabé?
Odpověď na tuto otázku, že co je silné a slabé heslo je paradoxně docela jednoduchá. My máme tu entropii v hesle, kterou umíme docela dobře měřit a umíme vypočítat jak rychle heslo zlomíme hrubou silou.
Když chci, aby bylo to heslo nezlomitelné nebo tedy velmi těžko zlomitelné (protože zlomení hesla je vždy jen otázkou času a námahy), tak víme, že musí mít alespoň dvanáct a více znaků s dobrou entropií, nějaké kombinace malých velkých písmen a tak dále.
Heslo, které má 12 znaků s malými a velkými písmeny, čísly, má speciální znaky je poměrně komplexní heslo. Ale pokud do hesla dám po sobě 6“ Áček“, jedno „Béčko“ a na konec zavináč (@), tak také to bude snadno uhodnutelné heslo.
Právě prvek té entropie je velmi důležitý, tzn. jak náhodně ty znaky tam jsou vygenerovány.
Mají také hesla nějaké trendy, že nějakým způsobem to postupuje?
Na jedné straně zde máme seznam hesel, který se rok co rok nemění, pak jsou zde i specifika daného roku: jaká písnička je hitem, kdo vyhrál jakou sklenici, atp.které uživatelé zakomponují do tvorby hesla.
Není ani tak důležitá ta znaková sada, kterou se použije, ale délka hesla. Raději mít delší heslo např. šestnáct znakové a upustím od speciálních znaků. Může to být nějaká věta nebo dvě nesouvislá slova, při kterých střídám malá a velká písmena.
Je bezpečné ukládat hesla do prohlížeče? Jak si je mám zapamatovat, když jich mám víc?
Je to určitě bezpečnější než mít je v nějakém textovém souboru kde jsou nešifrované, nebo mít jedno heslo všude.Ale heslo od bankovního účtu bych tam nedával.
Existují tzv. password manažeři, čili správci hesel, kteří se za nás pamatují tato hesla. Fungují také online, například. mám nějaký plugin do prohlížeče nebo počítačovou aplikaci, popřípadě i v mobilu je můžu mít. Zde se není třeba bát neboť databáze je šifrována naším „master“ heslem. Je to jako trezor od kterého mám hlavní klíč já sám a stačí mi jedno silné heslo nebo biometrie.
A co multifaktorové ověřování?
Je to další dodatečný prvek k bezpečnosti. Většinou se používají 3 faktory. Buď použiji něco, co jsem, něco, co vím nebo něco, co mám.
Něco co jsem, to je klasická biometrie – tvář, otisk prstu atp. Něco co mám může být hardwarový token, kdysi to byly GRID kartičky. A něco co vím je heslo. Je třeba použít dva z těchto tří faktorů. Čili například heslo a biometrie.
Na co je třeba myslet je, že ty prvky musí být nezávislé. Nemohu mít heslo a zároveň hardwarový token zapamatovaný ve správci hesel.
Článek byl vytvořen na základě podcastu. Celý podcast si můžete poslechnout na SPOTIFY nebo prohlédnout na YouTube.