
Jak si vzít k srdci Den bezpečných hesel?5. května je World Password Day, tedy Mezinárodní den hesel, a vezmeme-li v potaz i intenci svátku, tak pak spíš Den bezpečných hesel. Máme-li si vzít k srdci jeho poselství, pak je to čas aktualizovat své znalosti vytváření bezpečných hesel a jejich používání, přehodnocení vlastních hesel a nakládání s nimi, případně vytvoření hesel novým a změny bezpečnostních návyků. Jak všechno toto ustát?:)
Den bezpečných heselWorld Password Day vznikl coby iniciativa bezpečnostních expertů a počítačových gigantů (vč. Microsoftu, Intelu, Aceru, Samsungu, Toshiby) reagující na stále se neměnící, ne-bezpečná hesla uživatelů. Jejím cílem je osvítit internetový národ, poukázat na slabiny vytvářených hesel, nabídnout inspiraci k vytváření hesel silnějších a ke změně nakládání s bezpečnostními údaji vůbec. Opodstatnění takové iniciativy je nasnadě - stačí se podívat na statistiky nejčastějších hesel a jejich každoroční vítěze: 123456, password (v ČR heslo), 12345678, qwerty, internet... Možná, že i v rámci oslavy svátku v roce 2016 anonymní ruský cracker ukradl 1 170 000 000 přihlašovacích údajů ze služeb Gmail, Yahoo, Hotmail, Mail.ru - a dal o tom světu vědět prostřednictvím bezpečnostních expertů Hold Security, Ti je sice na jedné straně pročistili od duplicit a došli k 272 000 000 neduplicitních záznamů, na straně druhé ovšem konstatují: „Kupříkladu jen z přihlašovací záznamů začínajících písmenem a v počtu 80 000 000 jsme našli jen 19 000 000 unikátních dvojic. To znamená, že zcela běžnou praxí je opakované užívání stále těchtýž přihlašovacích údajů napříč mnohými služba. Nejenže je to závažná bezpečnostní chyba, ale také velmi rozšířená, když se vyskytuje v 75 % případů.“ Abychom se před důsledky obdobných nešvarů uchránili, iniciátoři World Password Day radí: Vytvářejte silná hesla„Heslo by mělo být alespoň 8 znaků dlouhé a těžko uhodnutelné. Vyhněte se užívání osobních informací, zvláště takových, které může kdokoliv odvodit z online informací dostupných prostřednictvím vyhledávání či sociálních sítí.“ K tomu lze jen dodat:
Ještě lépe uděláte kombinací obou způsobů, nalezením možnosti smysluplného zařazení číslovky a leetspeakem - tj. nahrazením písmen podobnými, avšak nepísmennými znaky (v€s3l€ s3 s€l3 sm@zi). Používejte pro každou službu unikátní hesloJakkoliv silné heslo vytvoříte, veškerá jeho síla končí s prozrazením. A v momentě, kdy je prozrazeno, je kompromitována služba - či úplně všechny služby - s ním spojené. Snadno tak může být nabourána vaše bezpečnost, aniž byste tušili, že jste se sami o to přičinili - stačí nakoupit v nezabezpečeném eshopu uchovávajícím přihlašovací údaje slabě zašifrované či nešifrované vůbec. Samozřejmě si nezapamatujete hesla ke 128 nicotným službám, jichž jste uživatelem. V takových případech se vyplatí:
Používejte správce hesel„Dobrý správce hesel bezpečně ukládá všechna hesla, často i nabízí generování velmi silných hesel. Díky tomu budete moci velmi snadno používat těžko zapamatovatelná hesla, unikátní pro každý jeden účet. Jediné, co musíte, je si zapamatovat heslo hlavní. Více zabezpečení - méně obtíží,“ popisuje stručně a výstižně fungování správce hesel web World Password Day. Správce hesel, také označovaný klíčenka, či anglickým password manager, nabývá různých podob: rozšíření prohlížeče, součást bezpečnostních balíků či samostatných aplikací. Z těch nejznámějších jmenujme 1password, KeePass, LastPass, Sticky Password či třeba český Gold! PassCage. Rizikem správce hesel je ztráta hlavního hesla - klíče odemykajícího všechny ostatní přístupy všude jinam. Ovšem kvalitní utility se snaží i toto riziko minimalizovat spárováním konkrétní instance/uživatele a jeho zařízení s danou aplikací. Pokud pak zaznamená neoprávněný přístup, zablokuje ho a využije sekundárního ověření - jinými slovy vícefaktorového ověření. Využívejte vícefaktorového ověřeníVícefaktorové ověření poskytuje extra vrstvu ochrany. Znají jej všichni uživatelé internetového bankovnictví - teda měli by. Služba, bez ohledu na ověření přihlášením, před provedením důležitých úkonů autentifikuje uživatele sekundární cestou - v případě netbankingu zasláním SMS. Po ověření autorizovaného spojení operaci provede. Krom SMS lze autentizovat zasláním emailu, telefonickým hovorem, využitím biometrické autentizace (otisk prst, rozpoznávání tváře jaké nabízí Windows Hello, sejmutí behaviorální biometriky pomocí adaptivní autentizace) či třeba pomocí spárovaných zařízení jednoho uživatele jako v případě Windows Unlock. Vícefaktorové ověření je snadno aplikovatelné a přitom vysoce přínosné z hlediska zabezpečení chráněných spojení. Proto se bezpodmínečně doporučuje u všech důležitých služeb. A dále?Typicky zjednodušený, amerikoidní seznam X-krát jak, lze dále rozšířit několika drobnými poznámkami téměř pod čarou:
Zdroje: Gizmodo.com, HoldSecurity.com, World Password Day
Daniel Beránek, 05.05.2016 17:14 X ztrácí přízeň uživatelů už doby, co se ještě jmenovala Twitter. První ránou byla akvizice platformy Elonem Muskem, následovalo přejmenování na X.com, veřejná podpora Donalda Trumpa Muskem a další aféry s tím spojené. Zatím... Aktualizace Google Chrome 124 přináší mj. změny v uživatelském rozhraní. Konkrétně je to vizuální přestylování písma panelů a jiných prvků na tučnou variantu fontu. Ovšem na některých instalacích se změna potýká s... AI Notebook je novou funkcí Copilotu (patrně nejen v rozhraní MS Edge), která pozměňuje možnosti interakce s textovou generativní AI. Upouští od chatu ve prospěch vytvoření souvislého finálního textu. Designer Image Editor je od toho oddělený, samostatný... Copilot je patrně první AI integrovaná přímo do operačního systému. Ovšem mimo vyhrazená území ho nevyužijete. A mezi ta území patří i starý kontinent. Tedy pokud nezkusíte Windows trošku potweakovat, aby z něj vypadl ten... |