V dnešní době má každý z nás spoustu hesel do různých služeb. Jedno do počítače, další do e-mailové schránky, pro přihlášení do sociálních síti, či různorodých internetových stránek. Samozřejmě je skoro nemožné si je pamatovat a velké procento lidí proto používá stejné heslo všude, kde je to možné. Víte například, že podle posledních průzkumů vítězem mezi hesly v České republice je: „jméno uživatele, nebo jméno člena rodiny“ s více než 22 % mezi ostatními hesly. S tím, že více než 45 % uživatelů používá stejné heslo do více služeb, můžeme si představit jenom v tomto jednom příkladu potenciální dopad.
Dobrým příkladem je má manželka. Používá stejné heslo na web, kde nakupuje oblečení, stejné na nákup knih a potravin přes internet i na facebook. Co jí například hrozí? Někdo pustí na jejím facebookovém profilu nevhodné video, bude zveřejňovat názory, které manželka nesdílí. Prostě a jednoduše, ukradne jí identitu, profil už nikdy nezíská zpět. Na platebním portále, kde má uložené karty, za ní útočník zaplatí… Naštěstí se manželka nechala přesvědčit a změnila si heslo a nastavila vícefaktorové přihlášení všude, kde to šlo. Terminologií IT bezpečnosti: minimalizovala riziko.
Dokážete si domyslet důsledky u vašich ukradených hesel?
Vzhledem k povaze naší práce v oblasti kybernetické bezpečnosti stále sledujeme různé úniky hesel a jejich publikace na veřejné, či „neveřejné“ (darkweb) části internetu. Když se podíváme na aktuální čísla, celkový počet ukradených hesel je v řádech desítek miliónů a samozřejmě je tam možné najít i ta v českém prostředí.
Tuto skutečnost samozřejmě sledují i velcí hráči a tyto zdroje také sledují a integrují do svých služeb. Například v prohlížeči Chrome jste upozorňováni o kompromitovaném hesle.
Řešení této problematiky není určitě příjemné pro každého uživatele. Pamatovat si stovky hesel je nemožné a používat hesla napsaná do kalendáře také není vhodné. Z vlastní praxe mohu doporučit používat různá hesla do různých služeb. Tato hesla ukládat do služeb, které umožňují jejich bezpečné uložení. V dnešní době umí velké množství služeb zasílání zapomenutého hesla. Ano, čekáte u počítače napjatě, až vám heslo dojde, ale stojí za to si počkat.
Dalším velmi dobrým řešením je samozřejmě používání vícefaktorového přihlašování. A to nejlépe všude, kde je to možné. Používání vícefaktorového přihlašování například do firemního prostředí, soukromého emailu nebo profilů na sociálních sítích není o moc rozdílnější než například přihlašování do banky. Jenom s tím rozdílem, že druhý faktor není vyžadován vždy, ale pouze v určitém intervalu. Samozřejmě tím nemusíte řešit jenom přístupy do firemního prostředí, ale také snížit riziko například neoprávněného převzetí profilu na sociální síti a možnosti se vydávat za někoho dalšího.
Na závěr přidávám doporučení k dodržování následujících bodů:
- Heslo nemá být kratší, než 8 znaků.
- Heslo má obsahovat velká, malá písmena, čísla a speciální znaky.
- Nepoužívejte stejná hesla ve více službách.
- Kdekoliv je to technicky možné, používejte vícefaktorové přihlašování.
- Pokud možno nepoužívejte hesla, která je možné spojit s Vaší osobou, či okolím.
- Heslo kontrolujte vůči seznamům uniklých hesel.