Dnes je poslední den, kdy na stánku najdete jarní vydání Forbes NEXT. Dostupné je samozřejmě i nadále na našem e-shopu, přinášíme malou ochutnávku.
Podle nejnovějšího průzkumu společnosti Microsoft, který byl prezentován na bezpečnostní konferenci RSA, je 40 procent účtů hacknuto proto, že uživatel používá jedno heslo na více místech.
Jak? Útočníci si seženou databázi e-mailových adres a uniklých hesel k účtům s těmito adresami – a prostě je zkoušejí zadávat do přihlašovacích formulářů. Takovému útoku se říká „credential stuffing“.
Zapomeňte přitom na bájný darknet, protože databáze kradených údajů se dají obstarat na klasickém internetu a obsahují miliardy záznamů. Elektroničtí mizerové mají k dispozici 6,2 milionu unikátních e-mailových adres s koncovkou .cz a hesel, což na tuhle zemi, vzhledem k její velikosti, znamená setsakra hodně.
Jakých pravidel se tedy při tvorbě hesel držet?
Pravidlo č. 1
Jedno heslo musíte použít pouze na jednom místě a nikde jinde a každé by se od těch ostatních mělo lišit. Jenže – kdo si to všechno má pamatovat?!
Trikem je, že hesla si určitě pamatovat nemusíte. Klidně si je uložte do nějakého důvěryhodného správce hesel, nebo třeba do notýsku, na který přes internet jen tak někdo cizí nevidí. Mým oblíbeným password managerem je z mnoha důvodů rodinná edice 1Password, kterou dostanete zdarma v případě, kdy vám zaměstnavatel zaplatí firemní verzi (což by mělo být rozhodně v jeho zájmu).
Výzkum Microsoftu také ukázal, že dalších 40 procent účtů je hacknuto metodou „password spraying“. Ta spočívá ve zvolení jednoduchého hesla, třeba 1234, zkoušeného u různých uživatelských jmen. Právě tento útok nedávno potrápil třeba český Vodafone.
Pravidlo č. 2
Čím delší heslo, tím lepší. Heslem mohou být dokonce i věty s mezerami, i když i v dnešní době lze narazit na zastaralý systém, který vám dovolí zadat třeba jen osm znaků. Ve správci hesel si jich nastavte alespoň patnáct.
Pravidlo č. 3
Je jedno, jestli máte v heslu sp3ci@ln! znaky, nebo jestli ho měníte jednou za čtvrt roku – nic z toho vás ve skutečnosti tak moc neochrání. Útočníci počítají se vším a mají vás prokouknuté.
Pravidlo č. 4
Pojistěte si vše dvoufázovým ověřováním. Někdy se tomu říká dvoufaktorová autentizace (2FA) a není to náhrada silných hesel, ale jejich doplněk. Podle zmiňovaného výzkumu 99,9 procenta hacknutých účtů žádnou 2FA nepoužívalo.