Vítejte v nikdy nekončícím boji mezi uživatelskou leností, administrátorskou paranoiou a hackerskými zájmy. Administrátoři se snaží zabezpečit servery a účty uživatelů. Snaží se vymýšlet různé podmínky a mechanismy, aby co nejvíce znepříjemnit život útočníkům a zároveň umožnili uživatelům pracovat.
Uživatelé si silné hesla nepamatují. Proto se snaží vymýšlet slabá a lehce zapomatovatelná hesla. Jak najít rovnováhu mezi pohodlností a bezpečností?
Digitální identita se s tou fyzickou propojila natolik, že útok na naší osobu může být stejně zničující ve fyzickém světě i v tom online. Jsou online služby, kde vás prolomení hesla nijak neohrozí (konvertor souborů…) ale jsou také služby typu sociálních sítí nebo e-mailů, kde už útočník může napáchat nemalé škody.
V roce 2020 bylo odhadnuté heslo k Twitterovému účtu Donalda Trumpa. A to na pátý pokus. Jeho heslo bylo maga2020. Lehce zapamatovatelné a jednoduché. Útočník získal přístup k hlavnímu komunikačnímu kanálu nejmocnějšího muže planety. Co vše by s ním šlo dělat necháme na vaší fantazii. Doporučujeme přečíst článek o sociálním inženýrství, kde se dozvíte o podobných taktikách útoků mnohem víc.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
Vymýšlet slabá hesla, která jsou lehce prolomitelná a během chvíle na ně přijde i bot. Nepsat si hesla na lístečky, které pak budete nechávat všude možně. S nikým hesla nesdílet.
Každý ví, že nemá používat slabá hesla. Podle statistiky prolomených hesel v roce 2020 uživatelé používají těchto 10 hesel stále dokola.
1) 123456
2) 123456789
3) picture1
4) password
5) 12345678
6) 111111
7) 123123
8) 12345
9) 1234567890
10) senha
Mrkněte na statistiku 200 nejčastějších hesel. Krásný příklad, jak to nedělat.
Dále není vhodné používat jména, data narození, telefonní čísla a jakékoliv údaje vázané k vaší osobě.
Hesla si nepiště na lístečky pod klávesnicí atp. Je to stejné jako si schovat autorádio pod sedačku. Nejlepším řešením jsou peněženky na hesla, ale pokud hesla z nějakého důvodu potřebujete psát, pište je alespoň do speciálního bloku a mějte ho opravdu pod kontrolou.
Setkal jsem se mnohokrát se sdílením hesla mezi kolegy. To je ale zanedbání administrátora. Každý uživatel by měl mít svůj přístup s právy jaká potřebuje. Oblíbenou činností uživatelů je také sdělování hesel cizím lidem do telefonu nebo mailu.
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Žádná seriózní online služba od vás nikdy nebude chtít sdělit heslo. Jen pokud se přihlašujete k jejich službám. To stejné platí pro banky. Když si nejste jistí, tak raději telefon položte a zavolejte na oficiální číslo.
Dejte si do kalendáře opakovaný úkol na kontrolu hesel. Bezpečnostní odborníci dokonce radí změnu všech hesel jednou za dva týdny. Všichni víme, že to není úplně reálně, ale proč si alespoň jednou ročně nezrušit účty u služeb, které už nepoužíváme a neobměnit hesla ke klíčovým službám jako jsou sociální sítě, maily či internetové bankovnictví? Ta hodina práce ročně za klidnější spánek myslím stojí.
Rozhodně není dobrý nápad používat stejné heslo pro více služeb na internetu. Aktuálně jich používám 275. Do každé služby generujte nové heslo. Stává se totiž, že provozovatel služby přijde o data svých klientů včetně jejich přihlašovacích údajů. Podle GDPR má povinost klienty informovat, ale internet není jen v EU… Proto nepoužívejte stejná hesla k více službám. Když se to stane, přístupy k ostatním službám zůstávají v bezpečí.
Peněženky často obsahují generátory. Online generátorů a aplikací do telefonů pro tento účel jistě najdete nespočet.
Skvělou volbou je i vlastní systém na vymýšlení hesel. Mezi nejoblíbenější patří šifrování fráze:
Při generování vlastním vymyšleným systémem se vyhněte jedinému velkému písmenu na začátku a číslu na konci To jsou totiž statisticky nejčastější umístění těchto znaků v heslech.
Dvoufaktorovou autentifikaci už nenajdete jen u internetového bankovnictví. Metoda je stále častější. Dvoufaktorové ověření vyžaduje zpravidla znalost hesla a přístup k něčemu jinému. (karta, čip, telefon, biometrie, nebo HW token)
Skvělé je na tom to, že i když se útočník dostane k vašemu heslu, k přihlášení potřebuje ještě něco dalšího. Váš odemčený telefon nebo otisk prstu a to mu situaci značně komplikuje.
Dvoufaktorovou autentifikaci naleznete i u nás. V Zákaznickém centru i ve VPS Centru
Další možností je využití jedné registrace ve službě jako je Facebook či Google a pomocí ní se přihlašovat a registrovat i jinde. Konkrétně přihlášení přes soc. sítě moc rád nemám. Pamatuju si dobu, kdy aplikace na profily postovaly různé aktivity, které jste v nich prováděli. Jasně jde to nastavit, ale kdo to dělá? Na podobném principu funguje i český projekt mojeID. Jen nemá přesah na Facebooky.
MojeID je projekt CZ.NIC a CSIRT založený na OpenID, které usnadňuje registraci v různých online službách. Je také přizpůsobený českému prostředí. Podporují ho státní instituce, eshopy a vlastně většina B2C služeb které cílí na český trh.
Peněženky nebo správci hesel jsou aplikace které se prací s hesly zabývají. Jsou jich k dispozici stovky.
Co by měla mít:
Proč řešit speciální nástroje na práci s hesly. Proč se nespokojit s ukládáním v prohlížeči či Apple klíčenkou?
Řešit hesla přes Apple klíčenku či prohlížeče je určitě lepší než mít na ploše wordovský dokument s hesly, či sešitek v šuplíku. Na druhou stranu specializované programy toho umí daleko víc. Mezi takové funkce patří například:
Protože je peněženek na hesla obrovské množství, podělíme se o tři, které sami používáme.
1Password je dílem firmy AgileBits. Pyšní se základnou 15ti mil. uživatelů. Nabízí roční a měsíční předplatné. Nevýhodou může pro někoho být nutnost uchovávat hesla na serverech 1password. Aplikace je špičkou v oboru, ale stojí 3 USD/m.
Výhody:
Nevýhody:
Za službou LastPass stojí americká LogMeIn. Pamatujete si ještě na stejnojmenný nástroj na vzdálenou správu počítačů? LastPass může být takovou alternativou k 1Password. Narozdíl od něj má i verzi zdarma. Stále ale potřebuje pro synchronizaci ukládat vaše hesla k sobě na servery.
LastPass má déle integrovanou dvoufaktorovou autentifikaci při zadávání hesla.
Výhody:
SafeInCloud má trochu jinou filozofii. Desktopové aplikace jsou zdarma, synchronizace také, jen aplikace pro mobilní zařízení jsou placené. Stojí ale jednorázově jen 8 USD. Navíc pro synchronizaci šifrovaného souboru s hesly nepoužívají servery své společnosti, ale využívají cloudové služby jako Google Drive či OneDrive. Skvělé je, že si SafeInCloud rozumí i s NextCloudem, který můžete provozovat třeba i na našem VPS. Hesla pak máte pod kontrolou celou dobu.
Výhody:
Nevýhody:
Poslechněte si také podcast Z podpalubí kde náš Karel s Vladimírem Smitkou probírá nejen problematiku hesel.
Zdroje:
https://www.wikihow.cz/Jak-si-vytvo%C5%99it-heslo,-kter%C3%A9-si-zapamatujete
https://www.avast.com/cs-cz/random-password-generator
https://nordpass.com/most-common-passwords-list/
https://www.novinky.cz/zahranicni/amerika/clanek/expert-se-naboural-trumpovi-na-twitter-heslo-bez-problemu-uhodl-40340141
https://1password.com/
https://proprivacy.com/password-manager/review/safeincloud
https://www.lastpass.com/
Volejte +420 776 200 137 nebo pište info@vas-hosting.cz