Na délce záleží! Jak zvolit správné heslo? | Michal Smrčka - blog

Na délce záleží! Jak zvolit správné heslo?

Průměrný uživatel používá k přihlášení na webové služby velmi slabá hesla. Tak slabá, že případný útočník dokáže za několik hodin, příp. dní heslo v plné své kráse odhalit. Lidé toto zbytečně podceňují, navíc zvolit si těžko prolomitelné heslo nemusí být vůbec složité!

Nejdříve pár čísel.

V souvislosti se statistikami hesel pocházejícími ze vzorku více než 800.000 uživatelských účtů vyplynuly tyto závěry: *

  • 9% uživatelů má heslo dlouhé jen 4 znaky nebo méně
  • ovšem heslo o maximální délce 6 znaků (pořád slabé) používá více než 50% lidí!
  • počet hesel, který dokáže počítač automaticky tipnout za jednu sekundu, se pohybuje mezi 20 a 100 za sekundu **
  • zjištění čtyřmístného hesla tedy brutal-force útokem zpravidla trval maximálně 40 hodin, v praxi je to ale mnohem méně
  • odhalení pětimístného hesla by bylo jisté maximálně za 24 dní, ovšem za předpokladu zapojení více paralelních počítačů je možné proces urychlit
  • pokud máte maximálně šestimístné heslo, prodloužila by se maximální doba zjištění na téměř 2,5 roku, nicméně také platí, že v případě zapojení více počítačů se doba zkrátí :)

Autor článku doporučuje: Internetový obchůdek zaměřený na produkty FairTrade, biopotraviny, přírodní kosmetiku, ekodrogerii a výrobky chráněných dílen.

* heslem se v tomto článku rozumí řetězec složený z malých písmen anglické abecedy a čísel

** podle výsledku testů několika velkých českých i světových freemailových serverů

Jak tedy zvolit správné heslo?

Nejlepší heslo by mělo splňovat všech 5 kritérií:

  1. jednoduše zapamatovatelné
  2. dostatečně dlouhé
  3. složeno z co největší škály znaků, včetně speciálních (např. pomlčka, lomítko, podtržítko)
  4. nemělo by obsahovat slovníkové výrazy (resp. smysluplná slova)
  5. mělo by být pro danou službu unikátní

Počítačoví experti často doporučují hesla generovaná počítačem (a používat software na automatické vyplňování). Tato hesla jsou dlouhá, složitá a unikátní, avšak chybí zásadní vlastnost – nikdy si je nezapamatujete. Jste odkázání pouze na software, který za vás bude hesla do formulářů sázet. Nejste u svého počítače? Chcete akutně přečíst e-mail na mobilu nebo se přihlásit do fóra? Smůla.

Proto nejvhodnější způsob hesla je frázové heslo.

Jak vytvořit frázové heslo?

Zvolte si nějakou větu, kterou si nepochybně zapamatujete. Třeba „Mám dva bratry, jednu sestru, psa a kočku“. Potom bude vaše heslo „M2b,1s,pak“ – počáteční písmena slov dané věty nebo čísla s vloženou interpunkcí. Pro zadání hesla si stačí tuto větu uvědomit a heslo máte hned na jazyku :)

Pokud by vám dělalo problém si zapamatovat i takovouto větu, můžete použít třeba frázi z oblíbené písničky, známý slogan nějaké firmy nebo kousek nějaké básně...

Dobrým řešením je používat různá frázová hesla na nejčastěji používané a důležité služby - e-mail, FTP, PayPal apod. U diskuzních fór či nějakých občasných "miniregistrací", o které ani tolik nejde, je možné používat jedno a to stejné heslo, případně použít již zmiňovaný software na automatické ukládání.

Máte nápady, jak lze ještě jinak zvolit efektivní heslo? Podělte se v diskuzi ;)

Pro zajímavost doporučuji přečíst i tento článek o statistikách nejčastěji používaných hesel.

Poznámka: některá zjištěná čísla vycházejí z článku na http://no.spam.ee/~tonu/passwords.html (použito se svolením autora).


Čtěte také:
20. 09. 2009 v 21:29 • Bezpečnost a hacking • autor Michal Smrčka
Přidat do: Linkuj.czDel.icio.usFacebookRSS všech článků
 

Názory a komentáře k článku


[1] mason 29. 09. 2009, 14:07
To máš pravdu, že automaticky generovaná hesla jsou přítěž. Já používám asi 5 hesel a střídám je. Ty fráze jsou dobrý napad:)

[2] Tomáš Pučík e-mail www14. 11. 2009, 21:34
Je pravda, že hodně lidí používá opravdu tragická hesla, jako svoje křestní jméno a ještě k tomu bez velkých a malých písmen, či nějakého čísla, nebo speciálního znaku. Přesto mi ale generování hesel příjde zbytečné, stačí si vymyslet pár dostatečně dlouhých kombinovaných hesel a je to. A ještě k tomu si to zapamatuješ. :D

[3] Michal Smrčka admin 14. 11. 2009, 21:46
Jako nejvhodnější způsob jsem uvedl frázové heslo, to si zapamatuješ snadno a je i dostatečně složité :)
Ale pravda je, že jsem já tento způsob nikdy nepoužil. Hesla si pamatuju, i když jich je spousta...

[4] Daniel e-mail 27. 02. 2010, 23:03
Podělím se taky o svůj způsob. Mám vymyšlené jedno heslo, které připojím vždy za název dané služby a toto "slovo" použiju. Např: icqMOJEHESLO, lideMOJEHESLO atd. Pak je každé heslo unikátní, skládá se z mnoha znaků a nikdy ho nezapomenu. ;-)

[5] Kosmopolitan 12. 04. 2010, 18:27
Já mám za heslo vždy to, co mě napadne jako první - např Kosmopolitan. Neni to moje přezdívka, prakticky o tom nic nevim prostě mě to napadlo. Pak může být i heslo třeba K56gkol /:ká pět šest gé kol:/- důležité je, že když si to v duchu vyslovíte, musí to být plynulé nikdy se nezapamatujete dhgszzv. Taky se na server párkrát přihlásit, procvičit si to.
Co se týče velkých a malých písmen, v každém hesle mějte velké či naopak malé písmeno vždy např 2. a 5. Tak se vám nikdy nestane, že heslo pokazíte velikostí písmena.
Nebo je dobré písmeno, typ vašeho oblíbeného letouna nebo zbraně, písmena.

[6] grovik 04. 09. 2010, 23:05
Tak samozřejmě záleží na momentální úrovni paranoii. Ale já používám jako heslo celé věty.
Bez mezer, takové heslo má běžně i dvacet znaků, včetně čísel a diakritiky. Z hlediska BrutalForce to vidím jako hodně dlouhou dřinu.

[7] Nekdo 26. 11. 2011, 13:22
Vim trosku starsi koment ale
grovik ma docela pravdu, na 16ti znacích je více jak 300biliard kombinací, já mám ještě hodně daleko k prolomení svého hesla, jelikož min. délka je 5znaků a max. 15, cimz se hesla omezují ca na 250biliard>>>za den mam 3 miliardy, tzn ze tvoje heslo neni asi az tak jednoduché :)

Přidat komentář

Jméno
E-mail
Web
Text
    Odesláním souhlasíte s pravidly.

Kategorie blogu

Twitter feed

    Twitter @michalsmrcka @michalsmrcka
  • Michal Smrčka: @ScottyCZE Největší prdel je, že dostala od vedoucího a oponenta návrh na známky C a E.
    5.2.2012 13:50
  • Michal Smrčka: Vodafone podmínil dotaci na tel. datovým tarifem, ale všimli jste si, že současně ZDRAŽIL? Např. iPhone z 12877 na 13377 při 477/měs.
    3.2.2012 19:28
  • Michal Smrčka: "Zdar vole, kolik berete piv?" - "Haló? Voláte správně?" #kurva #android
    2.2.2012 12:40

Poslední články

Aukro v nové soutěži odměnuje šikovné programátory (2011-11-18)
Vodafone lže a za data v zahraničí účtuje 2x tolik (2011-08-05)
Vlastní HTML podpis v GMailu (2011-08-02)

Poslední komentáře

Honyx: To se teda máte čím chlubit...A autorizovaný asi jen podle jména...Trošku jsem podráždil strejdu Gůgla a zjistil že se o vás nepíše jen tady...Je mi vás líto chlapci... Ukázat
Lopata: Ne.. děláme to pouze podle předpisů tak jak máme :)A ano správně AUTORIZOVANÝ servis :P Ukázat
Honyx: Ano a to je přesně přístup výše jmenovaného "autorizovaného"servisu...Než by něco udělali pořádně,tak plnou pusu nesmyslů o tom jak to nejde a "nezájem"...Jsem bohužel v Čechách... Ukázat
Lopata: Nezájem :) A nazdar bazar ;) Ukázat
Honyx: Nevím zad bych riskoval ale rozhodně bych vyměnil to v čem je problém pokud enebyl způsoben oxidací a pokud by se ten telefon vrátil s problémem který způsobila oxidace,po té bych to teprve řešil a ne že:nesvítí ti display,máš tam 1mm čtvereční oxidace,tak... Ukázat

Vyhledávání

Nastavení

Velikost písma: Abc Abc Abc