Přihlašování a hesla

Skoro každá služba na internetu po nás chce založit účet. Sposta z nich potřebuje relativně bezpečné heslo.

Bezpečné heslo

Má alespoň 12 znaků.
Obshauje alespoň jedno malé písmeno, velké písmeno, číslici a speciální znak (nejlépenějaký, pro jehož napsání je potřeba stisknout alepsoň dvě klávesy, třeba #&@).
Když nedáte velké písmeno na začátek a číslici na konec bude heslo hůř odhadnutelné.
Heslo splňující tyto podmínky má 3 226 266 762 397 899 821 056 variací, takže je pomocí brute-force attacku v podstatě neprolomitelné.

Heslo nemusí být řetězec náhodných znaků, to bychom si nemohli zapamatovat.
Můžete ho poskládat z nějakého citátu, nebo věty.
Jak dloho by trvalo prolomení vašeho hesla můžete zjistiit na https://www.security.org/how-secure-is-my-password/, ale radši tam nezadávejte opravdové heslo, ale jenom nějaké s podobným způsobem vytvoření (vysledek by měl být podobný).

počítačové programy uchovávající hesla, abychom si je nemuseli pamatovat
Někeří do něj ukládají rovnou hesla, jiní jenom pomůcky k nim.
Hela jsou uchovávány šifrovaně, takže jsou v bezpečí, v případě, že je správce hesel důvěryhodný.
Uživateli stačí si pamatovat heslo ke správci hesel.
Heslo do bankovnictví a do e-mailu jsou jediná dvě hesla, která do správce souborů nedoporučuji dát.

V současné době to není nic výjimečného.
Mohou uniknut přímo z databáze online služby, i když by správně měla být uchovávána v jiné podobě než v jaké se zadávají při přihlašování (třeba zahashovaná).

tzv. útok hrubou silou
Program (nebo útočník) zkouší všechny možné variace hesla, dokud ho neuhodne.
Je to velice časově náročná a neefetivní metoda, proto není moc používána.
U spousty webů je už v současnosti určitý limit pokusů na zadání hesla, což tento způsob eliminuje.

tzv. slovníkový útok
Útočník vytvoří "slovník" variací, které by mohly být heslem.
Tato metoda je ralativně efektivní, ale příprava na ni trvá hodně času.
Nejznámější univerzální "slovník" je RockYou.txt.
- seznam uniknutých hesel ze služby RockYou seřazených od nejpoužívanějších po nejméně používané.
- Má velikost 133 MB, i když je to jenou textový soubor bez formátování.
- Obsahuje asi 10 000 000 variací.

tzv. časovací útok
Ověření správnosti každého znaku trvá programu při přihlašování nějaký čas.
- Když zadáme správný znak, trvá to kratší dobu, než kdybychom zadali špatný znak, protože program zkouší více variací.
Program postupně zadává znaky a měří délku odezvy. Podle toho učuje, zda je znak správný. Potom pokračuje dalším znakem.
Tato metoda dříve byla efektivní, ale v současnosti mívají ověřovací scripty různá protiopatření.
- Mohou třeba přidávat k odezvě náhodný čas navíc, což omezí funkčnost tohoto způsobu.

Útočník odposlechne na síti (třeba metodou man-in-the-middle) ověřující zprávu (může být i zašifrovaná) a pošle ji znovu, čímž se ověří.
Tento způsob je stále rizikem pro spoustu služeb, protože neexistuje jednoduché řešení, jak ho eliminovat.

Je podstatně bezpečnější než pouhé zadávání hesla.
K zadávání hesla se přidá druhé ověření uživatele.
Nejčastěji se používají SMS, ale ty nejsou šifrované, takže je lze relativně jednoduše odsledovat.
Nejbezpečnější, ale také nejsložitější je biometrické ověření (otisk prstu, ...).

Jedná se o způsob přihlášení k účtu bez hesla.
Nejčastěji využívá fyzické potvrzení identity např. otiskem prstu, snímkem obličeje nebo použitím bezpečnostního kryptografického) klíče
Tento způsob je bezpečnější než používání hesla, protože cizí heslo lze získat (ukrást) spoustou způsobů, ale fyzické ověření za někoho jiného provést nelze.