Na délce záleží! Jak zvolit správné heslo?
Průměrný uživatel používá k přihlášení na webové služby velmi slabá hesla. Tak slabá, že případný útočník dokáže za několik hodin, příp. dní heslo v plné své kráse odhalit. Lidé toto zbytečně podceňují, navíc zvolit si těžko prolomitelné heslo nemusí být vůbec složité!
Nejdříve pár čísel.
V souvislosti se statistikami hesel pocházejícími ze vzorku více než 800.000 uživatelských účtů vyplynuly tyto závěry: *
- 9% uživatelů má heslo dlouhé jen 4 znaky nebo méně
- ovšem heslo o maximální délce 6 znaků (pořád slabé) používá více než 50% lidí!
- počet hesel, který dokáže počítač automaticky tipnout za jednu sekundu, se pohybuje mezi 20 a 100 za sekundu **
- zjištění čtyřmístného hesla tedy brutal-force útokem zpravidla trval maximálně 40 hodin, v praxi je to ale mnohem méně
- odhalení pětimístného hesla by bylo jisté maximálně za 24 dní, ovšem za předpokladu zapojení více paralelních počítačů je možné proces urychlit
- pokud máte maximálně šestimístné heslo, prodloužila by se maximální doba zjištění na téměř 2,5 roku, nicméně také platí, že v případě zapojení více počítačů se doba zkrátí :)
* heslem se v tomto článku rozumí řetězec složený z malých písmen anglické abecedy a čísel
** podle výsledku testů několika velkých českých i světových freemailových serverů
Jak tedy zvolit správné heslo?
Nejlepší heslo by mělo splňovat všech 5 kritérií:
- jednoduše zapamatovatelné
- dostatečně dlouhé
- složeno z co největší škály znaků, včetně speciálních (např. pomlčka, lomítko, podtržítko)
- nemělo by obsahovat slovníkové výrazy (resp. smysluplná slova)
- mělo by být pro danou službu unikátní
Počítačoví experti často doporučují hesla generovaná počítačem (a používat software na automatické vyplňování). Tato hesla jsou dlouhá, složitá a unikátní, avšak chybí zásadní vlastnost – nikdy si je nezapamatujete. Jste odkázání pouze na software, který za vás bude hesla do formulářů sázet. Nejste u svého počítače? Chcete akutně přečíst e-mail na mobilu nebo se přihlásit do fóra? Smůla.
Proto nejvhodnější způsob hesla je frázové heslo.
Jak vytvořit frázové heslo?
Zvolte si nějakou větu, kterou si nepochybně zapamatujete. Třeba „Mám dva bratry, jednu sestru, psa a kočku“. Potom bude vaše heslo „M2b,1s,pak“ – počáteční písmena slov dané věty nebo čísla s vloženou interpunkcí. Pro zadání hesla si stačí tuto větu uvědomit a heslo máte hned na jazyku :)
Pokud by vám dělalo problém si zapamatovat i takovouto větu, můžete použít třeba frázi z oblíbené písničky, známý slogan nějaké firmy nebo kousek nějaké básně...
Dobrým řešením je používat různá frázová hesla na nejčastěji používané a důležité služby - e-mail, FTP, PayPal apod. U diskuzních fór či nějakých občasných "miniregistrací", o které ani tolik nejde, je možné používat jedno a to stejné heslo, případně použít již zmiňovaný software na automatické ukládání.
Máte nápady, jak lze ještě jinak zvolit efektivní heslo? Podělte se v diskuzi ;)
Pro zajímavost doporučuji přečíst i tento článek o statistikách nejčastěji používaných hesel.
Poznámka: některá zjištěná čísla vycházejí z článku na http://no.spam.ee/~tonu/passwords.html (použito se svolením autora).
Čtěte také:
- Zlo jménem Captcha (opisování znaků z obrázku)
- Jak se zdarma a účinně bránit počítačovým virům
- S XSS zranitelností se dá napáchat více škody, než si myslíte
Názory a komentáře k článku
| [1] mason | 29. 09. 2009, 14:07 |
| To máš pravdu, že automaticky generovaná hesla jsou přítěž. Já používám asi 5 hesel a střídám je. Ty fráze jsou dobrý napad:) | |
| [2] Tomáš Pučík e-mail www | 14. 11. 2009, 21:34 |
| Je pravda, že hodně lidí používá opravdu tragická hesla, jako svoje křestní jméno a ještě k tomu bez velkých a malých písmen, či nějakého čísla, nebo speciálního znaku. Přesto mi ale generování hesel příjde zbytečné, stačí si vymyslet pár dostatečně dlouhých kombinovaných hesel a je to. A ještě k tomu si to zapamatuješ. :D | |
| [3] Michal Smrčka admin | 14. 11. 2009, 21:46 |
|
Jako nejvhodnější způsob jsem uvedl frázové heslo, to si zapamatuješ snadno a je i dostatečně složité :)
Ale pravda je, že jsem já tento způsob nikdy nepoužil. Hesla si pamatuju, i když jich je spousta... | |
| [4] Daniel e-mail | 27. 02. 2010, 23:03 |
| Podělím se taky o svůj způsob. Mám vymyšlené jedno heslo, které připojím vždy za název dané služby a toto "slovo" použiju. Např: icqMOJEHESLO, lideMOJEHESLO atd. Pak je každé heslo unikátní, skládá se z mnoha znaků a nikdy ho nezapomenu. ;-) | |
| [5] Kosmopolitan | 12. 04. 2010, 18:27 |
|
Já mám za heslo vždy to, co mě napadne jako první - např Kosmopolitan. Neni to moje přezdívka, prakticky o tom nic nevim prostě mě to napadlo. Pak může být i heslo třeba K56gkol /:ká pět šest gé kol:/- důležité je, že když si to v duchu vyslovíte, musí to být plynulé nikdy se nezapamatujete dhgszzv. Taky se na server párkrát přihlásit, procvičit si to.
Co se týče velkých a malých písmen, v každém hesle mějte velké či naopak malé písmeno vždy např 2. a 5. Tak se vám nikdy nestane, že heslo pokazíte velikostí písmena. Nebo je dobré písmeno, typ vašeho oblíbeného letouna nebo zbraně, písmena. | |
| [6] grovik | 04. 09. 2010, 23:05 |
|
Tak samozřejmě záleží na momentální úrovni paranoii. Ale já používám jako heslo celé věty.
Bez mezer, takové heslo má běžně i dvacet znaků, včetně čísel a diakritiky. Z hlediska BrutalForce to vidím jako hodně dlouhou dřinu. | |
| [7] Nekdo | 26. 11. 2011, 13:22 |
|
Vim trosku starsi koment ale
grovik ma docela pravdu, na 16ti znacích je více jak 300biliard kombinací, já mám ještě hodně daleko k prolomení svého hesla, jelikož min. délka je 5znaků a max. 15, cimz se hesla omezují ca na 250biliard>>>za den mam 3 miliardy, tzn ze tvoje heslo neni asi az tak jednoduché :) | |
Přidat komentář
Kategorie blogu
Twitter feed
- Michal Smrčka:
Včera jsme zahráli trochu jazzu na konferenci Vítejte u nás ve Znojmě http://t.co/ehfj7iHM . Btw zdravím @zitbrno ;)
18.5.2012 22:47 - Michal Smrčka:
@MichalCerny To se mi jednou ve stavu opilosti taky stalo. O to horší, že více než 10 tisíc Kč peněženka odmítá a nejde zavřít
18.5.2012 22:46 - Michal Smrčka:
Rathův obhájce je Adam Černý - muž, který žaluje Lupu kvůli rozkrývání kauzy Tojecool. Náhodička
17.5.2012 07:57
@michalsmrcka