Vytváření silných hesel je snadnější, než si myslíte

18. 11. 2012

Sdílet

 Autor: © Kheng Guan Toh - Fotolia.com
I ve světě chytrých karet, biometrie a dalších vícefaktorových autentikačních řešení každý stále ještě používá základní přihlašovací kombinaci jména a hesla. Bezpečnostní experti vždy doporučují „silná hesla“. Co je ale postačující silné heslo a jak se současně vyhnout tak komplikovanému heslu, že si jej nedokážeme pamatovat?

Podle NIST (National Institute of Standards and Technology) by mělo silné heslo obsahovat minimálně 12 znaků a administrátorské heslo znaků 15, alespoň podle pravidel přijatých vládou USA v roce 2007. Samozřejmě řada běžných uživatelů má a nadále bude mít hesla kratší, nicméně s tím se zkracuje i období, po které se dají považovat za „relativně bezpečná“.

8 znaků může postačit pro několik dní, 12 znaků může obecně poskytnout ochranu na 90 dnů, u 15znakového hesla je často uváděným „bezpečným“ obdobím jeden rok.

Většina bezpečnostních metodik také vyžaduje určitou komplexnost hesla, což nejčastěji znamená trvání na tom, aby heslo bylo složeno ze znaků mnoha typů, ze sad velkých a malých písmen, čísel, speciálních symbolů atd. Nicméně komplikovanost hesla je méně důležitá než jeho délka. Heslo dostatečné délky může odolat lámání různými metodami, zatímco komplexnost může být dostatečně přínosná jen při téměř „náhodné složitosti“.

Při vnuceném požadavku na komplexnost uživatelé často vytvářejí podobná hesla, se stejnými typy znaků na stejných místech. Typicky je to tak kořen typického slova jejich nativního jazyku, začínající na velké písmeno, pravděpodobně souhlásku, na konec hesla potom přijde číslice. U symbolů to bude ten tvarem se podobající písmenu, které ve slově nahradí, pravděpodobně někde uprostřed. Tato fakta jsou tvůrcům programů pro hádání hesel dobře známa a hojně využívána.

Řada bezpečnostních řešení potom nesmyslně trvá na komplexnosti i u hesel, jejichž délka je limitována na několik znaků a jejichž zjištění je otázkou malého množství pokusů. Na druhé straně dlouhá a komplexní hesla jsou obtížná k zapamatování, řešením mohou být některé programy pro ukládání hesel, alternativou mohou být „procedurálně pojatá“ hesla, která jsou vymýšlena určitým způsobem, který je pro vlastníka očividný, ale ani prozrazení jednoho z hesel nepřinese útočníkovi klíč pro odhalení hesel dalších.

Skutečnou slabinou zabezpečení ale nakonec může být bezpečnostní otázka, kterou uživatel musí zodpovědět při požadavku na reset hesla. Typické příklady jako „příjmení matky za svobodna“ jsou snadno zodpověditelné po chvilce sociálního inženýrství nebo rešerše mezi příbuznými. Pokud tedy na ně uživatel odpověděl pravdivě nebo nedostal šanci vymyslet si otázku vlastní. Nicméně poslední dobou se i v tomto případě začíná blýskat na lepší časy, protože u některých účtů můžete narazit na předem připravené otázky typu „Ve kterém městě se seznámili vaši rodiče“ nebo „Jméno vašeho prvního vedoucího na dětském táboře“, na něž lze najít odpověď online podstatně obtížněji.