RNDr. Michal Černý, Ph.D.
řešitel projektu, asistent na KISKu
Pokud se díváme na to, jak si lidé volí hesla, je možné vysledovat čtyři obecné tendence, které nejsou úplně šťastné. První je práce s prostorovým uspořádáním znaků na klávesnici – například dvacáté nejčastější heslo „!@#$%^&*“ nebo deváté „qwerty“ nemusí na první pohled vypadat nebezpečně, ale jen do té chvíle, než zjistíte, že znaky v něm jdou na klávesnici za sebou. Podobně všechny výše zmíněné řady čísel jsou z této kategorie. Ale pozor – i mnoho poučenějších uživatelů, kteří by takové slabé heslo nezvolili, si něco podobného nastaví u odemykání telefonu pomocí gesta. Toto prosíme nikdy nedělejte, jde o nejsnáze uhádnutelná hesla, navíc na mobilu snadno viditelná tím, že váš prst na něm nechává mastnou stopu.
Druhou skupinou špatných hesel jsou ta, která bychom mohli označit jako slovníková – tady spadá „password“ nebo v českém prostředí populární „heslo“, „heslo123“ nebo světová desítka „iloveyou“. Pokud budete chtít hádat hesla, slovníkové metody jsou jedny z nejrychlejších a nejúspěšnějších.
Do třetí skupiny hesel patří ta, která vygenerovala služba nebo administrátor, ale jsou natolik složitá, že si je uživatel nedokáže zapamatovat. A tak si je napíše na lísteček vedle monitoru, strčí do peněženky nebo kamkoliv jinam. Hesla na lístečcích jsou zlo, které nedává smysl. Zbavte se jich, dokud je čas. Vůbec nejčastěji se asi objevují jako přihlašovací hesla do pracovních nebo školních počítačových sítí.
Poslední metoda na špatná hesla spočívá v tom, že heslo spojíte s něčím, co máte v bezprostředním okolí – „alik“ nebo „natálka“ nejsou dobrý nápad, pokud se váš pes jmenuje Alík a kamarádka Natálka, protože vaše heslo bude často chtít uhodnout někdo z vašeho bezprostředního okolí. A právě toto se mu bude hádat docela snadno.
Jak tedy zvolit dobré heslo? Obecně platí, že by mělo jít o kombinaci velkých a malých písmen, číslic a speciálních znaků, ideálně ještě tak, abyste si ho mohli zapamatovat. Třeba heslo „19Kdmkdmvhplbsps18“ je docela pěkné heslo, které vychází z prvních písmen začátku české státní hymny a roku 1918. Právě první písmena v básni nebo písni mohou být dobrým vodítkem. Čím je heslo delší, tím je lepší, většinou ho ale nepotřebujete tak dlouhé, jak jsme vám ukázali, ale vystačíte si s šesti až deseti znaky – „19Kdmkdm?“. Takové heslo také jen tak někdo neuhodne.
Pokud můžete, snažte se využívat nějakého správce hesel – stačí si pak pamatovat jedno nebo dvě silná hesla a do jednotlivých služeb vám systém pak sám generuje poměrně dlouhá a vlastně zcela neprolomitelná hesla. Například pro prohlížeč Chrome je možné doporučit LastPass či Password App, ale nabídka je podstatně širší.
Určitě je nutné provádět pravidelnou kontrolu hesel. Pro to slouží dvě užitečné služby. Pokud využíváte (jako asi 70 % uživatelů) Chrome, pak je zde nástroj Správce hesel a v něm možnost zkontrolovat hesla, která máte uložená v prohlížeči (což má skoro každý, ale je to samozřejmě nebezpečné, pokud odcházíte z počítače a neodhlásíte se).
Ukázka z webu Have I Been Pwned, který zjistil, že ze zadaného emailu uniklo heslo. Zdroj: Have I Been Pwned. Autor screenshotu: KISK.
Určitě vyzkoušejte Have I Been Pwned. Této službě dáte svůj e-mail a ona se podívá, zda není náhodou ve veřejně dostupných datasetech z úniků hesel. Pokud ano, znamená to, že vaše heslo je známé nebo ohrožené, a musíte ho změnit. Služba samozřejmě neví, zda máte jedno heslo ke všem službám, nebo jen k jedné, takže podle toho musíte provést patřičnou akci nebo sadu akcí. Tyto veřejné datasety jsou snadno dostupné a pokud bych chtěl uhodnout vaše heslo, koukal bych se napřed právě tam. Služba umožňuje i nastavení upozornění, pokud se váš e-mail v nějakém takovém úniku objeví.
A na závěr ještě dvě doporučení. Předně, říká se, že byste do každé služby měli mít unikátní heslo. Pokud nepoužíváte správce hesel a nemáte dokonalou paměť, je takový postup nemožný. Zkuste tak alespoň rozlišit, zda jde o heslo nedůležité a pak může být všude docela stejné (třeba na eshopech a podobných službách) nebo cenné a pak mu skutečně věnujte patřičnou pozornost (třeba sociální sítě a e-mail). A za druhé – tam, kde to je možné, používejte dvoufázovou autentizaci (tedy kombinaci hesla a zaslaného kódu na mobil přes SMS nebo skrze notifikaci aplikací). Není to nejpohodlnější, ale šance na prolomení je v tu chvíli velice malá.