Mít skutečně silné heslo, ideálně pokaždé jiné, je jeden z důležitých faktorů, jak chránit svá citlivá data v online prostoru. I přesto se stále mnoho osob přihlašuje do všech svých účtů hesly tak slabými, že by je prolomil i středně schopný žák informatiky na základní škole. Světový den hesel, který připadá právě na dnešní den, je proto ideální příležitostí připomenout si, jaké heslo je skutečně silné a podívat se na to, co se s hesly bude dít v blízké budoucnosti.

123456, qwerty, admin či vizxy, to jsou podle CNN a finské společnosti F-Secure jedny z vůbec nejčastěji používaných hesel. Pokud jste mezi nimi objevili i to své, znamená to jediné – vaše heslo je v podstatě úplně k ničemu, a pokud by se jakýkoliv hacker rozhodl nabourat do vašich účtů, bezpečnostní prvek v podobě hesla by překonal dříve, než byste řekli švec.

K lámání hesla by v takovém případě nepotřeboval ani pomoc umělé inteligence, kterou hackeři při své práci používají a která si je schopna poradit i s daleko složitějšími hesly, jež mohou na první pohled vypadat neprolomitelně.

„Význam hesel v dnešní digitální době stále roste a vzhledem k narůstajícím hackerským útokům je naprosto nezbytné si svoje soukromí na internetu dobře chránit. Hesla používáme prakticky všude, ať už se přihlašujeme k profilům na sociálních sítích, do e-mailu nebo ke svému účtu v bance,“ upozorňuje Petr Loužecký, ředitel cloudových služeb technologické společnosti Algotech.

I přesto má většina osob heslo jednoduché, případně využívá totožné heslo pro přístup ke všem svým účtům. V momentě, kdy hacker toto heslo získá, například únikem informací, nebo hrubou silou, otevře se mu hned několik cest k citlivým údajům napadaného uživatele.

V praxi to můžeme přirovnat k domu, ve kterém je hned několik trezorů, ale majitel nechal do všech trezorů i do dveří domu nainstalovat stejný zámek, aby s sebou nemusel nosit velký svazek klíčů.

Za vším hledej lenost

Bohužel nešvar slabého hesla platí i pro české uživatele internetu. Podle tuzemské antivirové společnosti Avast používá slabá hesla až 95 % z nich. Jen málokdo používá heslo, které je složené z číslic, písmen, velkých a malých znaků a speciálních znaků. Navíc až polovina z nich má stejné heslo pro více účtů.

„Lidé si volí špatná hesla a používají je na více účtech z velmi prostého důvodu. Je jednodušší si je zapamatovat. Útočníci ale vyvíjejí a vylepšují své nástroje a tím navyšují své schopnosti napadat naše účty. Rychlost jejich útoku, objem pokusů, schopnost maskovat jejich lokalizaci, identitu a umělá inteligence, kterou vyvinuli pro lepší výpočty, činí ochranu našich účtů obtížnější než kdykoli předtím,“ uvedl pro magazín TechRepublic Matt Wilson, hlavní bezpečnostní poradce v BTB Security.

Heslo, které například obsahuje méně než 10 znaků a je složeno pouze z číslic, je průměrný hacker schopen prolomit za 4 sekundy. Ovšem pokud je součástí desetimístného hesla i velké a malé písmeno, doba na prolomení se protáhne na 4 dny. A pokud heslo ještě doplníme o speciální znak, může lámání zabrat celé týdny, někdy dokonce i roky.

Dalším způsobem, jak své účty chránit, je jejich častá obměna. Někteří provozovatelé online rozhraní, u kterých je pro vstup zapotřebí uživatelské jméno a heslo, dokonce sami nutí uživatele k pravidelným změnám hesla. Tento postup ale podle Bena Goodmana ze společnosti ForgeRock, která se zabývá službami spojenými s digitální identitou, není nejšťastnějším řešením.

„I když se organizace rozhodnou zavést časté resetování hesla pro své zákazníky a zaměstnance, uživatelé stále mohou vybírat heslo, které používají na jiném profilu. Tato praxe je také drahá. Velké organizace mohou ročně utratit za obnovování hesel i 1 milion dolarů. Neustálé resetování hesla také přispívá k nepřívětivému uživatelskému rozhraní,“ vysvětluje Goodman.

Řešením navýšení bezpečnosti je i víceúrovňové ověřování, které vyžaduje pro vstup do účtů hned několik složek. Mezi ně patří kupříkladu kombinace hesla, kódu zaslaného prostřednictvím SMS a otisku prstů. Toto ověřování si lze nastavit prostřednictvím různých autentifikačních aplikací a jeho používání je poměrně jednoduché.

Mít silné heslo nestačí

I u nás se v poslední době staly terčem útoku hackerů nemocnice, které jsou jasným důkazem toho, že v některých případech nestačí silné heslo, ani kvalitní antivirový program.

„Stále častěji slýcháme o kyberútocích na firmy, nemocnice a státní instituce, které v řadě případů způsobí jednotlivci svým nezodpovědným chováním. Hodně lidí si totiž neuvědomuje rizika, která mohou způsobit například využíváním svých soukromých e-mailů, kde navíc bez jakékoliv kontroly otevírají podezřelé přílohy. Přesně to většinou bývá důvodem napadení firemní sítě hackery,“ vysvětluje Karel Diviš, ředitel společnosti IDC-softwarehouse.

„Dnes je opravdu nezbytné, aby každý člověk věděl, jak se má v kyberprostoru chovat, protože přes 60 procent malwaru chodí e-mailem, a nejspíš právě proto se už třetina tuzemských firem stala obětí phishingového útoku,“ dodává Diviš.

S nutností vzdělávání se ztotožňuje i Matt Davey z 1Password, který taktéž v rozhovoru pro TechRepublic poukázal na důležitost vzdělanosti zaměstnanců společností v oblasti kybernetické bezpečnosti.

1Password představuje další elegantní a bezpečné řešení ochrany účtů. Jedná se o správce hesel, tedy jakýsi virtuální diář, který si k jednotlivým účtům pamatuje vytvořená unikátní hesla a pro jeho obsluhu si stačí pamatovat jedno jediné heslo. Takový správce je nejen užitečný, ale může svým způsobem pomoci vzdělávat uživatele.

 „Zabezpečení musí být pohodlné. Lidé přirozeně vybírají cestu nejmenšího odporu, takže musí být proces vytváření a používání silných hesel pro zaměstnance co nejjednodušší. Když se stane součástí jejich pracovního postupu, nakonec se dobré bezpečnostní návyky stanou druhou přirozeností. V opačném případě se zaměstnanci vrátí do nezabezpečených řešení, jako je opětovné používání stejných hesel,“ řekl Davey.

Budoucnost zabezpečení

V budoucnosti však s největší pravděpodobností již hesla vůbec potřebovat nebudeme. Hesla začínají být spíše přežitkem, který se jednoho dne stane pouze součástí kybernetické historie. Na scénu totiž přicházejí zcela nová bezpečnostní řešení.

Mezi ně patří například biometrika, kterou dnes dost možná používáte například pro odemčení vašeho mobilního telefonu. Otisk prstů, ruky či rozpoznání obličeje začíná využívat stále více systémů a společností. Ostatně již dnes standardně odemykáme své telefony přiložením prstu k tlačítku nebo displeji či pouhým pohledem a skenem obličeje. Amazon chce pak například umožnit placení nákupů otiskem dlaně.

Dalším řešením je metoda Single Sign-On, která umožňuje použít jedno přihlášení do více aplikací najednou. A pak je tu také metoda autentizace na základě míry rizika, během které umělá inteligence vyhodnotí riskantnost všech požadavků, a buď umožní přístup bez zadávání hesla, nebo začne vyžadovat identifikační údaje, pokud je míra rizika vyhodnocena jako středně vysoká, případně operaci zcela zablokuje.

Podle poradenské společnosti Gartner bude již v roce 2022 využívat jiné přístupové metody než hesla ve více než polovině případů zhruba 60 % společností a 90 % středních podniků. Podle Matta Daveyho z 1Passwordu je ale i taková biometrická identifikace problematická.

„Pokud jsou vaše údaje o rozpoznávání obličeje nebo otiscích prstů odcizeny, budete mít znovu stejné problémy jako při opětovném používání hesla. Útočník může použít tato data k přístupu k jiným účtům, které používají k ověření biometriku. Navíc problém je i ten, že nemůžete resetovat své biometrické údaje, jako byste to udělali u hesla, jsou totiž trvalé.“

Rick McElroy, hlavní bezpečnostní stratég společnosti VMware Carbon Black, jde v předpovědi moderních způsobů ověření identity ještě dál. Mluví především o použití DNA pro identifikaci nejen v oblasti medicíny. Dokáže si také představit identifikaci na základě mozkových vln či tepové frekvence. Jak ale sám přiznává, takové způsoby ověřování jsou otázkou spíše vzdálenější budoucnosti, i když je jejich používání testováno již nyní například v armádě.

S rozvíjející se technikou však souvisí i nutnost uvědomit si, že cílem hackerů již dávno nemusí být pouze účty, které navštěvujeme na našich počítačích. Do jejich hledáčku se dostávají naše chytré telefony, firemní servery a díky stále chytřejší domácnosti třeba i naše žárovky. I skrze ně se totiž mohou hackeři dostat do dalších částí sítě a na jiná zařízení. Je tedy zapotřebí dbát na svou bezpečnost i v online prostoru a neustále se v této oblasti vzdělávat.