Hesla: Jakých chyb se vyvarovat?

„Nepoužívejte jedno heslo pro více účtů.” Jedno heslo opravdu nestačí, proč je tomu tak?

Představme si, že se registruji na nějaký web. Je potřeba uvést svůj e-mail a zvolit si heslo. Hesla se mi špatně pamatují, tak zadám totéž, které mám u mailu – to snad nezapomenu. Tím ale potenciálně dávám cizí osobě přístup do mé e-mailové schránky. Zprávy v ní pak mohou vetřelci pomoci dobýt mé další účty ať už jsou herní, platební, sociální ...

Není snadné pamatovat si stovku hesel a s nimi také, které patří kam. Používáním stejného hesla nebo každým neúspěšným pokusem ale možná dávám heslo zločinci. Rozumný kompromis je asi rozdělit účty podle důležitosti. Ty nejdůležitější by měly mít každý své vlastní heslo (přičemž e-mail považuji za obzvlášť důležitý). Co s těmi méně důležitými? Buďto mohu použít společné heslo, nebo používat různé mutace téhož hesla (ale systematicky, ať dokážu odvodit, která mutace patří kam).

„Používejte silná hesla.” Špatná volba hesla může velice usnadnit jeho uhodnutí.

Řekněme, že mám slabé heslo. Dejme tomu křestní jméno manželky, datum narození (své či někoho z blízkých), oblíbenou činnost, 123456 apod. Rozhodně se pamatuje lépe, než např. eH83wX$Ay4. Lépe se ale také hádá lidem, kteří mě trochu znají. A i ti, kdo mě neznají, mají výrazně větší šance úspěšně se nabourat.

Co s tím? Se složitostí hesla to není nutné přehánět, osm znaků by mělo stačit, ale obecně se doporučuje zahrnout velká i malá písmena, čísla a nějaké jiné znaky, třeba #;%!)=-@?. Na použití mnemotechnických pomůcek myslím už při volbě hesla. Složitost hesla volím podle významu účtu, který heslem chráním. A občas heslo změním.

„Nikomu nesdělujte své heslo.” Proč heslo hádat, když stačí loudit a lhát.

Jsou různé způsoby, jak z člověka vylákat heslo. Stačí poslat nějaký dostatečně šokující e-mail (přihlašte se zde, jinak vám zrušíme účet) s odkazem na falešný web. Nebo předstírat, že jsem admin, ale přesto potřebuji jeho heslo, abych něco nastavil nebo povolil. Čím je útočník více přesvědčivý a oběť více důvěřivá, tím snáze útočník uspěje.

I pokud heslo sdělím někomu, komu téměř bezmezně důvěřuji, je to riziko. Nemusí mě zradit, stačí, aby nechtěně ohrozil bezpečnost hesla. Možná si to neuvědomí a ani mi o tom neřekne.

„Pravidelně měňte své heslo.” Pravidlo známé a propagované, ale hrozně otravné.

Někdo našel můj papírek s heslem. Musím si totiž hesla často měnit a mám pak problém si je zapamatovat, tak si je píšu na papírky. Našel ale staré heslo, takže si moc nepomohl.

Moje heslo by měl znát jen server (a i ten často zná jen hash). Dodržení pravidla mi může prospět asi jen pokud jsem se dopustil chyb, kterých lze stále zneužít, ale zatím se tak nestalo. Případně pokud lze pochybení zneužívat postupně (třeba ujídat kredit na obědy apod.) Určitě ale změňte heslo, pokud si nějaké ohrožení uvědomujete nebo si nejste jisti.