Útočník, ktorý sa snaží dostať do nejakej heslom zabezpečenej aplikácie (zaheslovaná web stránka, archív, email,…) má niekoľko možností, ako sa bez znalosti hesla dopracovať k výsledku. Niektoré z nich vyžadujú istú dávku inteligencie, dôvtipu a znalostí, iné zase vyžadujú trochu šťastia a fyzickej prípravy. Takže poďme si najskôr zhrnúť, aké má útočník možnosti.
Ako preraziť niekoho heslo
- Nájsť toho, kto heslo pozná (majiteľa emailu, napríklad) a heslo od neho získať – ukecať ho, podplatiť, zmlátiť. Tento spôsob nebudem ďalej v článku popisovať :-).
- Skúsiť od majiteľa heslo vymámiť nejako nenápadne, napríklad podvodným mailom, odbornejšie sa tomu hovorí phishing. Metóda spočíva v tom, že majiteľovi účtu pošlete email, kde ho vyzvete, aby vám späť poslal prihlasovacie meno a heslo. Záleží len na vás, ako veľmi sa bude správa tváriť dôveryhodne, samotná prosba by asi totiž nestačila, je nutné k tomu pridať nejaký príbeh. Často sa môžeme stretnúť s tým, že sa pokazili databázy a preto vyzývame všetkých používateľov, aby zadali znova svoje meno a heslo, inak že im schránku zrušíme a podobne. Pokiaľ tá správa vyzerá naozaj seriózne, percento úspešnosti nebýva malé.
- Slovníkový útok – stiahneme si z internetu nejaké balíky najčastejších hesiel a všetky vyskúšame. Ak budeme mať šťastie a majiteľ má nejaké frekventovanejšie heslo, skutočne sa veľmi ľahko dostaneme k jeho účtu. Z toho vyplýva prvé veľmi zásadné pravidlo – nepoužívajte heslá, ktoré dávajú zmysel. Dajte si napríklad heslo „eminem“ a garantujem vám, že prvý (aj nie príliš skúsený) hacker vám to prelomí za pár sekúnd. Toto je asi najúčinnejšia metóda. Ak máte naozaj veľký slovník hesiel, tak ste schopní uhádnuť heslo veľkej časti používateľov bez väčšej námahy.
- Brute force je zrejme najblbšia metóda, ale zároveň je stále veľmi účinná. Ide o útok hrubou silou. Spočíva v skúšaní všetkých možných variácií hesiel, aké len na svete existujú. Program postupne skladá písmenká podľa určitého algoritmu a skúša, či sa netrafil do požadovaného hesla. Ak ho nájde, uloží si heslo a skončí.
Útoky hrubou silou
Program využívajúci túto metódu len vytvára rôzne variácie slov a skúša, či sa náhodou netrafil do hesla. Spočítame si, ako dlho mu také skúšanie môže trvať.
Predpokladajme, že máme heslo o piatich znakoch, ktoré sa skladá len z malých písmen anglickej abecedy (bez slovenských č, š a podobne). Počet písmen anglickej abecedy je dvadsaťšesť. Teraz už iba jednoducho spočítame, koľko rôznych hesiel môžeme z piatich takýchto písmen zostrojiť. Používame variácie s opakovaním, pretože písmená sa v heslách môžu opakovať. Vychádza nám dvanásť miliónov rôznych variácií. Je to veľa alebo málo?
To záleží aj na tom, aký máme k dispozícii stroj. Nejaká staršia šunka toho zvládne za sekundu málo, supermoderné počítače však desaťtisíckrát viac. Ak počítač zvládne desať miliónov kombinácií za sekundu, tak päťmiestne heslo odhalí do dvoch sekúnd, čo naozaj nie je pozitívny výsledok. A to ešte musíme brať do úvahy, že sofistikované hackerské skupiny zvyčajne majú k dispozícii niekoľko stoviek kvalitných strojov. Ale nevzdávajte sa.
Zosilňujeme svoje heslo
Päťmiestne heslo naozaj nie je bezpečné a to ani trocha. Viaceré systémy takto krátke heslo ani neumožňujú zvoliť. Hovorí sa, že Vaše heslo by nemalo byť kratšie ako osem znakov (a to je absolútne minimum). Poďme si teraz spočítať, koľko existuje variácií pre osemmiestne heslo. Rovnako ako v predchádzajúcom prípade budeme uvažovať iba malé písmená anglickej abecedy. Je to približne dvesto miliárd variácií. To už je oveľa lepšie číslo. Počítač by však všetky variácie aj tak vyhodnotil za necelých šesť hodín. Je to lepšie ako minule, ale pozrime sa, ako by narástla sila hesla, keby ste používali aj veľké písmená, číslice a špeciálne znaky ako sú pomlčky, hviezdičky a podobne.
Malých písmen je 26, veľkých písmen je tiež 26, to dáva dokopy 52 znakov. K tomu ešte musíme pripočítať 10 číslic a nejaké špeciálne znaky. Nie všade sú povolené všetky špeciálne znaky, tak pre jednoduchosť budem počítať iba s ôsmimi špeciálnymi znakmi, nech sa mi počet znakov zaokrúhli na pekných 70. Dĺžka hesla bude opäť osem znakov. Tu už dostávame päť miliónov miliárd variácií. To už je celkom úctyhodné číslo. Náš počítač by všetky variácie skontroloval za šestnásť tisíc hodín, čo sú necelé dva roky. Útočník by tak musel mať veľké šťastie, aby heslo objavil v nejakej reálnej dobe. Navyše by musel poznať dĺžku vášho hesla, v opačnom prípade by musel ešte preveriť variácie nižšieho počtu písmen.
Niektorí ľudia používajú číselné heslá. Tieto heslá sú veľmi dobre odolné proti slovníkovému útoku, pretože ťažko bude v nejakom slovníku často používaných hesiel napríklad 41274390553. Bohužiaľ takéto heslá sú síce odolné proti slovníkovému útoku, ale sú menej odolné proti útokom hrubou silou. Čísel je totiž len desať a to znamená, že počet variácií je vždy 10k. Silu heslá udržiava iba jeho dĺžka. Naše predchádzajúce osemmiestne heslo so všetkými druhmi znakov malo celkom 1014 variácií. Aby sme dosiahli to isté u číselného hesla, muselo by sme použiť minimálne štrnásť číslic, teda viac ako o polovicu viac znakov. Je jasne vidieť, že efektívnejšie je zvoliť si heslo kratšie, ale s viacerými druhmi znakov.
Tu je naše druhé zásadné pravidlo – používajte dostatočne dlhé heslá s použitím rôznych typov znakov.
Nepodceňujte útočníka
Útočník môže byť chytrý. Po prečítaní predchádzajúcich riadkov ste sa dajme tomu rozhodli, že vaše súčasné heslo „limonada“ prepíšete aspoň na „Limonada“, čím sa niekoľkonásobne zvýši počet možných variácií, pretože útočník už musí do algoritmu zahrnúť aj veľké písmená. Lenže útočník môže predpokladať, že veľké písmeno bude iba na prvom mieste, pretože sa to lepšie pamätá a nebýva zvyklosťou, aby bolo veľké písmeno uprostred slova. Takže si napíše algoritmus, ktorý preverí všetky variácie slov s malými písmenami a prípadne s jedným veľkým písmenom hneď na začiatku.
Vaše pôvodné heslo malo zložitosť 268. Ak by útočník nepremýšľal, nové heslo by malo zložitosť 528, ale ak by použil vyššie načrtnutý algoritmus, malo by heslo zložitosť 52 x 268. na prvom mieste hesla sa môžu striedať veľké a malé písmená, tých je dohromady 52 a na ďalších siedmich miestach sa môžu striedať už len malé písmená, čo už je štandardná variácia s opakovaním.
Ďalej útočník môže trebárs vedieť, že sa vaše heslo skladá zo štyroch písmen a štyroch číslic, vždy čísla za sebou a písmená za sebou. Zložitosť takého heslá by sme vyrátali takto: prvá štvorica písmen má celkom 264 variácií, druhá štvorica číslic má 104 variácií. Tieto dva výsledky následne vynásobíme: 264 x 104. Ak by útočník nevedel, či sú prvé číslice alebo písmená, museli by sme predchádzajúci výsledok ešte vynásobiť dvomi.
Neopakujte heslá pri rôznych účtoch
Predstavte si, že útočníkovi sa podarilo prelomiť vaše heslo. To ešte nemusí byť katastrofa. Ak však toto heslo používate úplne všade, tak ste mu práve poskytli kľúč ku všetkým vašim dátam.
Veľa používateľov internetu má rovnaké prístupové heslo pri niekoľkých rôznych účtoch. To je ale celkom zle. Každé heslo by malo otvárať práve jedny dvere.
Vysvetlenie ponúka celkom jednoduchá matematika – heslo použité na desiatich miestach je desaťkrát slabšie ako podobné, použité len pre jednu stránku. Používaním rovnakého hesla na viacerých stránkach sa teda vystavujete väčšiemu riziku, že jedno z nich unikne. Kyberzločinec sa potom ľahko dostane hneď do niekoľkých vašich účtov. Rovnaké heslo v niekoľkých systémoch tiež údajne stáli za nedávnym podvodným nakupovaním cez cudzie účty cez nákupný portál Alza.
Zásadné pravidlo číslo tri – používajte unikátne heslá pre každú web stránku či aplikáciu, ktorú používate.
Nechajte starosti s heslami na správcu hesiel
Zapamätať si množstvo náhodných a zložitých hesiel a zakaždým ich ručne zadávať nie je žiadna prechádzka ružovým sadom. Kto si všetky tie zložité heslá bude pamätať? Bezpečný správca hesiel.
Život si môžete uľahčiť pomocou správcu hesiel, ako je napríklad NordPass, ktorý je v základnej verzii úplne zadarmo. S aplikáciou môžete generovať jedinečné a silné heslá, bezpečne ich ukladať v šifrovanom trezore a pomocou funkcie automatického dopĺňania sa prihlásiť ku svojim online účtom jedným kliknutím.
NordPass Premium poskytuje ešte viac bezpečnostných funkcií, ako napríklad overovanie kvality a sily hesla či online kontrolu, či dané heslo už nebolo útočníkmi prelomené.
Viac o správcoch hesiel tiež nájdete v našom samostatnom článku tu.