Autentizace: Jak vytvořit bezpečné heslo?
V tomto příspěvku se dozvíte, jak vytvořit silné heslo, které odolá i poměrně sofistikovaným útokům.
Obecně se za bezpečné považuje takové heslo, které obsahuje velká a malá písmena, čísla, speciální znaky, je dostatečně dlouhé a nemá vztah k uživateli nebo prostředí, ve kterém se používá. Za silné nelze považovat heslo obsahující opakující se znaky a posloupnosti, ať už číselné, abecední nebo posloupnosti odpovídající rozložení kláves na klávesnici.
Bezpečné heslo nebo chcete-li silné heslo (strong password) můžeme vytvořit tak, že si budeme v duchu např. říkat nějakou větu a pro tvorbu hesla použijeme jen první písmena z jednotlivých slov této věty. Abychom splnili podmínku použití malých a velkých písmen, můžeme psát třeba každé druhé písmeno jako velké a následně některá písmena ještě zaměnit za číslo a speciální znak.
Pokud vás nenapadá, jak takovou záměnu provést, můžete vyjít třeba z psané podoby některých znaků a substituci provést takto A=4 nebo A=@, E=3, S=$, I=1, O=0, C=(, N=2. Možností je spousta. Měli byste volit takovou substituci, která vám bude vyhovovat. Inspirovat se můžete např. na stránkách pojednávajících o leet žargonu. Pokud si budete v duchu říkat např. větu: „Můj nový počítač se širokoúhlým displejem stojí v rohu u okna.“, může vaše heslo vypadat např. takto: mnPsšd$vru[+].
Tímto způsobem vytvořené heslo je bezpečné a přitom by pro vás neměl být problém si ho zapamatovat. Pro útočníka však bude prolomení takového hesla představovat obrovský problém. Uhádnout takové heslo je prakticky nemožné a slovníkový útok bude též neúspěšný, protože tímto způsobem vytvořené heslo nebude existovat v žádném jazyce a tedy ani slovníku.
Čím delší, tím lepší
Pokud útočník získá hash hesla ve formátu LM, tak je v podstatě jedno, o jak dlouhé heslo se jedná, neboť bude rozděleno na dvě části po sedmi znacích a každá část bude lámána zvlášť. Systém Windows je proto vhodné nastavit tak, aby používal pouze NT hash, který je mnohem odolnější proti útokům hrubou silou. Pokud to neuděláte, může být během několika sekund prolomeno i 14 znakové „superheslo“, které jsme si vytvořili výše, protože bude rozloženo na dvě části po 7 znacích. Pokud nevíte, zda konkrétní instance systému MS Windows vytváří LM hash nebo NT hash, je rozumnější používat hesla minimálně 15 znaků dlouhá, neboť v takovém případě k ukládání hashů ve formátu LM nedochází.
Generátory hesel
Ač některé systémy dokážou bezpečná hesla generovat nebo lze stáhnout programy typu Password Generator, které umí bezpečné heslo vygenerovat, nedoporučuji je používat. Kromě toho, že je takové heslo zobrazeno na obrazovce a může být útočníkem snadno získáno, bývá obvykle i problém si ho zapamatovat. To uživatele svádí k tomu si heslo někam zapsat, aby ho nezapomněl, obzvlášť pokud je takových hesel více.
Passphrase
Ukazuje se, že místo takto dlouhých hesel je mnohem výhodnější a snazší používat tzv. passphrase, kterými může být jakákoliv věta. A vězte, že čím větší blbost, tím spíš si ji člověk zapamatuje. Např. passphrase „Bobr dojí z Milky čokoládu.“ je snadné si zapamatovat, ale obtížné ji uhodnout nebo prolomit hrubou silou. Nikdy ale nepoužívejte běžné slogany a říkadla, protože nevíte, zda se neobjeví nějaká zranitelnost a nebude možné z části passphrase odvodit její zbývající část. Stejně tak by mohl někdo, pokud si nebudete dávat pozor, část vaší passphrase odpozorovat a zbytek uhádnout.
Závěr: Vytvořit bezpečné heslo je poměrně snadné, stačí dodržovat několik základních pravidel, ale kdo si má všechna ta hesla pomatovat, že?
ČERMÁK, Miroslav, 2010. Autentizace: Jak vytvořit bezpečné heslo?. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/autentizace-jak-vytvorit-bezpecne-heslo/. [citováno 07.12.2024].
Štítky: autentizace, informační bezpečnost
K článku “Autentizace: Jak vytvořit bezpečné heslo?” se zde nachází 3 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
On se ještě původní NT hash používá?
Já myslel, že s Kerberosem je dnes NTLMv2?
No já si hesla nepamatuji – vytvořil jsem si metodu, která mi umožňuje si nic nepamatovat – mám desetiznakový literál (kombinace ANS), kterému předřazuji identifikátor dané služby a mezi to vkládám další speciální znaky podle služby a k tomu ještě jednu věc (neřeknu)
Je to nenáhodné, ale zapamatovatelné, minimálně 20 znakové.
Klasika. … For backward compatibility:
https://learn.microsoft.com/cs-CZ/troubleshoot/windows-server/windows-security/prevent-windows-store-lm-hash-password
Pokud jde o Kerberos, doporučuji článek od kolegy Libor Dostálka:
https://www.cleverandsmart.cz/wp-content/uploads/Kerberos-vcera-dnes-a-zitra.pdf