Obsah:
Znovu a znovu jsme vám poradili, že jediným bezpečným způsobem, jak ukládat a používat hesla, je spolehnout se na správce hesel, ale někteří z vás neposlouchají. V průzkumu PCMag o heslech se pouze 24 procent z vás hlásilo pomocí správce hesel. Co vy ostatní děláte? Používáte snadná hesla, jako je heslo nebo 12345678? Zapamatujete si jedno složité heslo a použijete ho všude? Poslouchejte, péče o bezpečnost hesel není malá záležitost, ale vzhledem k obrovskému rozsahu rizika - jak je znázorněno v nedávném porušení kolekce č. 1, které odhalilo 773 milionů hackovaných e-mailových adres -, musíte udělat vše, co můžete, aby vaše hesla zůstala bezpečný.
I když používáte nejlepší správce hesel, nezaručuje bezpečnost vašich účtů - ne pokud používáte správce hesel k zapamatování stejných starých a unavených hesel. Musíte se dostat dolů do zákopů a vypnout špatná hesla pro nová, silnější.
Z výše uvedeného průzkumu vyplynulo, že 35 procent čtenářů PCMag nikdy nezmění svá hesla, pokud k tomu nebudou nuceni narušení. Obecně to není tak špatná věc. Národní institut pro standardy a technologie již nedoporučuje měnit hesla každých 90 dní. Společnost NIST nyní doporučuje používat dlouhé přístupové fráze jako „Sešívačka s baterií pro koně“ a měnit je pouze v případě potřeby. Pokud ale používáte hrozná hesla, znamená to „ právě teď“ .
Co dělá špatné heslo? Podíváme se na některé atributy strašlivých hesel a poté vám ukážeme několik tipů, jak udělat hesla správným způsobem.
Zůstaňte mimo slovník
Každých několik měsíců zveřejní jeden zpravodajský kanál nebo jiný seznam nejhorších hesel. Vidíme mnoho snadno dostupných typů, například 123456 a 12345678 a qwerty. Snadné pro vás? Tak určitě. Ale hackerům také snadno prasknou. Další běžná (a špatná) hesla se skládají z jednoduchých slovníkových slov. V seznamu nejhorších hesel jsme viděli baseball, opice a hvězdné zbraně. I ty lze snadno rozbít.
Některé zabezpečené weby se po určitém počtu nesprávných pokusů o heslo zamknou, ale mnoho ne. Pro ty, kteří nemají uzamčení s nesprávným odhadem, mohou hackeři procházet seznam e-mailových adres se seznamem oblíbených hesel a nastavit automatizovaný proces, aby se snažili kombinovat, dokud se nedostanou dovnitř.
Správně zabezpečený web nikde neukládá vaše heslo. Místo toho spouští heslo pomocí hashovacího algoritmu, jakési jednosměrné šifrování. Stejný vstup vždy vytváří stejný výstup, ale neexistuje žádný způsob, jak se z výsledného hashe vrátit k původnímu heslu. Pokud heslo, které zadáte, hashuje na stejnou uloženou hodnotu, získáte přístup. I když hackeři zachycují uživatelská data webu, nedostanou hesla, pouze hashe.
Inteligentní hackeři však mohou crackovat slabá hesla, i když jsou hashovaní, pokud vědí, jakou hashovací funkci web používá. Začínají spuštěním obrovského slovníku běžných hesel pomocí hashovací funkce. Poté v zachycených datech vyhledají výsledné hashe. Každá shoda je prasklé heslo. Weby s nejlepším zabezpečením vylepšují hašovací funkci technikou zvanou solení, která znemožňuje tento druh praskání na základě tabulky, ale proč se riskovat? Jen zůstaňte mimo slovník.
Myslet jinak
Kamarádka mi jednou řekla své dokonalé heslo: 1qaz2wsx3edc4rfv. Mohla to „napsat“ pouhým posunutím prstu po čtyřech šikmých sloupcích klávesnice. Bylo to tak dokonalé, použila ho všude. A to byla velká chyba.
Sotva týden uběhne bez zpráv o narušení v některé společnosti nebo webové stránce, odhalí tisíce nebo miliony uživatelských jmen a hesel. Chytré oběti si okamžitě změní svá hesla. Ti, kdo tento problém ignorují, se mohou po resetování hesla hackery ocitnout mimo své účty.
Tito hackeři vědí, že příliš mnoho lidí recykluje svá hesla. Jakmile najdou funkční pár uživatelských jmen a hesel, zkusí stejná přihlašovací údaje i na jiných webech. Nemusíte mít strach ze ztráty přístupu ke svému účtu Club Penguin, ale pokud jste použili stejné přihlášení na webových stránkách své banky, máte velké potíže.
Zhoršuje se to. Pokud někdo jiný získá kontrolu nad vaším e-mailovým účtem, může vás nejprve zamknout změnou hesla. Poté se mohou do vašich dalších účtů dostat zasláním odkazu na resetování hesla na tento účet. Bojíš se ještě?
Nechápejte osobní
Používání osobních údajů jako základu pro vaše hesla je hrozně lákavé, ale je to špatný nápad. Šance jsou dobré, jméno vašeho psa se objevuje ve slovnících, které hackeři používají pro útoky hrubou silou. Další možnosti, jako jsou iniciály a datum narození člena rodiny, pravděpodobně nespadnou na útok hrubou silou, ale pokud někdo chce hacknout váš účet konkrétně, mohou tato osobní data podněcovat pokusný a hádající útok.
Nemysli si na chvíli, že vaše osobní údaje jsou soukromé. Existují desítky webů, které lidé mohou použít k nalezení podrobností o kohokoli: adresa, datum narození, rodinný stav a další. Vaše příspěvky na sociálních médiích mohou být dalším zdrojem osobních informací, zejména pokud nemáte řádně zabezpečené účty. Určený hacker (nebo zvědavý soused) může pravděpodobně uhodnout jakékoli heslo, které vytvoříte na základě svých vlastních dat.
Zavřete zadní dvířka
Pokud nepoužíváte správce hesel, určitě jste zapomněli heslo pro web. Je to až příliš běžné, a proto prakticky každá přihlašovací stránka obsahuje „Zapomněli jste heslo?“ odkaz. Některé weby odešlou odkaz na reset na vaši e-mailovou adresu, zatímco jiné vám umožní odpovědět na heslo po zodpovězení bezpečnostních otázek. A to otevírá zadní dveře každému, kdo chce hacknout váš účet.
Většina webů nabízí propastné možnosti pro bezpečnostní otázky. Jaké je příjmení vaší matky za svobodna? Kam jste chodil na střední školu? Jaká byla tvá první práce? Jak již bylo uvedeno, váš osobní život je otevřenou knihou pro každého, kdo má dovednosti vyhledávání na internetu. Pokud je to možné, ignorujte přednastavené otázky. Vytvořte si svou vlastní otázku, s jedinečnou odpovědí, na kterou si vždy vzpomenete, ale nikdo jiný ji nemohl uhodnout.
Je to těžší, když vám web nedovolí definovat své vlastní otázky. V takovém případě je nejlepší použít nezapomenutelnou odpověď, která je naprostou lež. Mateřské jméno mé matky je Obama. Šel jsem do školy na komunistické mučedníky. Pro své první zaměstnání jsem byl krotitel lvů. Existuje určitý prvek rizika, protože byste mohli zapomenout, kterou lež jste si vybrali. Navrhl bych uložit tyto podivné odpovědi jako zabezpečené poznámky do správce hesel… ale pokud jste používali správce hesel, zapamatovalo by si heslo pro vás.
Co dělat, že vám záleží
Doufám, že jsem vás přesvědčil, že používání běžných hesel je shnilý nápad, protože budování hesel z osobních údajů. A dokonce i to nejlepší silné, náhodné heslo se stává odpovědností, pokud jej používáte všude. Pokud jste připraveni jednat, zde uvádíme několik výchozích bodů:
- Použijte správce hesel.
- Přepněte na lepšího správce hesel.
- Nezapomeňte na své správce hesel šíleně zabezpečené hlavní heslo.
- Využijte generátoru náhodných hesel k upgradu starých, špatných hesel.
- V Excelu můžete dokonce vytvořit svůj vlastní generátor náhodných hesel.
- Povolte dvoufaktorové ověřování, kdekoli jsou k dispozici.
Pokud se zabezpečený web nestará o bezpečnost, můžete stále ztratit pověření tohoto webu k narušení dat, ale vytvořením všech svých hesel dlouhých, silných a jedinečných jste udělali vše pro ochranu svých online účtů.
A hej! Nyní, když jste na cestách, z hlediska zabezpečení, zvažte přidání virtuální privátní sítě nebo VPN. Používání silných hesel pro zabezpečené weby znamená, že ostatní nemohou proniknout do vašich účtů; přidání VPN znamená, že neexistuje žádná šance, že by někdo mohl zachytit vaše připojení k těmto zabezpečeným webům.
