Nepoužívejte špatná hesla, použijte správce hesel.
Stephen Shankland/CNET
Poznámka redakce: U příležitosti Světového dne hesel CNET znovu zveřejňuje výběr našich článků o zlepšování a nahrazování hesel.
Pokud patříte mezi nespočet lidí, kteří nerozumně používají snadno uhodnutelná hesla nebo opakovaně používají heslo pro několik účtů, odborníci na kybernetickou bezpečnost pro vás mají vzkaz: Není to vaše chyba. Zapamatovat si jedinečné a složité heslo pro každý účet je nemožné.
Ale to je přesně ten druh práce, ve které jsou počítače dobré. Proto mnoho odborníků na kybernetickou bezpečnost doporučuje používat správce hesel. Jedná se o softwarový nástroj, který bezpečně ukládá hesla a automaticky je vyplňuje do přihlašovacích stránek. Pomohou vám ochránit každý váš online účet silným heslem.
„Doporučuji to používat všem,“ říká Matias Woloski, technologický ředitel ověřovací firmy Auth0 a odborník na zabezpečení hesel. „Správci hesel jsou dnes nejlepší alternativou.“
Pomoc správce hesel by se vám pravděpodobně hodila. Podle údajů společnosti SplashData, která se zabývá kybernetickou bezpečností, je nejpoužívanějším heslem zjištěným při narušení bezpečnosti dat stále „123456“ a druhým nejčastějším heslem je samozřejmě „heslo“. Podle průzkumu společnosti McAfee, která se zabývá antivirovým softwarem, z roku 2018 průměrný člověk používá pouze 13 jedinečných hesel a téměř třetina uvedla, že pro všechny své účty používá pouze dvě nebo tři hesla.
Širší přehled najdete v reportáži CNET z tohoto týdne o problémech s hesly a jejich řešení, jako jsou hardwarové bezpečnostní klíče, důvody, proč jsou některá stará pravidla pro výběr hesla již zastaralá, a varovný příběh o tom, co se může pokazit se správcem hesel.
Máte několik možností správce hesel. Existují specializované nástroje jako LastPass, BitWarden, Dashlane, Keeper a 1Password. Webové prohlížeče včetně prohlížečů Safari, Chrome a Firefox mají také vestavěné nástroje pro správu hesel, které jsou sice omezenější, zejména pokud používáte více prohlížečů, ale jsou stále propracovanější.
Správci hesel mohou být bohužel složití a ne vždy hladce spolupracují s webovými stránkami a aplikacemi. Možná i proto se podle Pew Research Institute pouze 3 % uživatelů internetu spoléhají především na správce hesel. Woloski doporučuje začít s pomocí někoho technicky zdatnějšího.
Přesto vám správci hesel mohou pomoci pohybovat se na internetu s mnohem menším rizikem. Přestože technologický průmysl konečně přichází se skutečnými alternativami k heslům a způsoby, jak se jich úplně zbavit, budete muset ještě několik let počítat s desítkami nebo stovkami z nich. Správci hesel mohou pomoci, i když nejsou dokonalí
Co je to správce hesel?
Správci hesel vytvářejí jedinečná, složitá hesla pro každý web, bezpečně je ukládají a zadávají v různých prohlížečích a počítačových zařízeních. Můžete je používat jako rozšíření prohlížeče nebo mobilní aplikace, které za vás vyplní přihlašovací stránky s uživatelským jménem a heslem.
Mají spoustu výhod. Zaprvé si nemusíte pamatovat žádná hesla (kromě hesla ke správci hesel). To znamená, že můžete skutečně dodržovat nepříjemné, ale užitečné bezpečnostní rady, jako například nikdy nepoužívat heslo opakovaně a vždy používat dlouhá a složitá hesla jako $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Dále správci hesel pomáhají chránit před phishingovými útoky, které vás přesměrují na podvodné webové stránky a snaží se z vás vylákat heslo. Správci hesel nabízejí vaše přihlašovací údaje pouze tehdy, když jste na správné webové stránce.
Nakonec, mnoho správců hesel má funkce, které vás informují o tom, že na webu došlo k úniku dat. Mohou vám také sdělit, zda heslo, které používáte, bylo nalezeno ve skladu ukradených uživatelských údajů, jak se stalo nejméně u 555 milionů hesel. To jsou příznaky, že je třeba heslo okamžitě změnit. Správci hesel vám také mohou pomoci najít slabá nebo opakovaně používaná hesla.
Měli byste všechna svá hesla ukládat na jednom místě?
Standardní radou po celá desetiletí bylo zapamatovat si hesla, takže jejich ukládání na jednom místě mi připadá trochu špatné. A samozřejmě by bylo hrozné, kdyby hackeři mohli prolomit správce hesel a získat přístup ke všem vašim účtům.
Přesto se zabezpečení správců hesel ukázalo jako robustní. Hackeři dosáhli jen omezeného pokroku při krádežích uživatelských informací ze správců hesel – při jednom narušení se například dostali až k ohrožení nápověd pro bezpečnostní otázky uživatelů služby LastPass – ale žádný známý útok neměl přístup ke schránkám skutečných hesel.
Jistě, hackeři by nakonec mohli toto zabezpečení prolomit, ale je mnohem pravděpodobnější, že se na vás zaměří pomocí phishingového útoku, aby ukradli vaše hesla, řekl Mark Risher, vedoucí oddělení zabezpečení účtů ve společnosti Google. Používání správce hesel navíc omezuje pravděpodobnost, že naletíte phishingovému útoku.
Video: Ve světě špatných hesel může být bezpečnostním klíčem váš nový nejlepší přítel
Je ovšem třeba být opatrný. Když máte všechna vejce v jednom košíku správce hesel, nezapomeňte si najít způsob, jak si hlavní heslo nebo tajný klíč zapamatovat. Nevadí, když si ho zapíšete, pokud ho budete mít někde v bezpečí. Hesla můžete také čas od času exportovat do tabulky, pokud ji šifrovaně uzamknete (nebo její vytištěnou kopii uložíte do uzamčené zásuvky).
Pokud ztratíte přístup ke svému účtu, budete muset projít procesem obnovy hesla ke všem ostatním účtům, což by byl velmi velký problém.
Nevýhody správců hesel
Při používání správců hesel bohužel počítejte s hrubými záplatami. Už jen přidání informací ze všech vašich stávajících účtů do služby dá práci, i když většina správců hesel nabízí nástroje pro import dat z prohlížeče nebo jiných správců hesel. A povolení správce hesel v telefonu vyžaduje další kroky.
Možná největším problémem je, že některé webové stránky si se správci hesel nehrají dobře a způsobují takové fígle a nepříjemné problémy, že máte chuť vyhodit počítač z okna.
Správci hesel si například někdy nevšímají přihlašovacích polí. Nebo mohou tápat, když webové stránky požadují další informace, například kód PIN nebo oblíbený film.
Někdy si webové stránky nehrají se správci hesel dobře.
Brett Pearce/CNET
Ještě horší je, že některé webové stránky blokují funkci automatického vyplňování a brání tak správcům hesel v zadávání přihlašovacích údajů. Jedna australská banka, CommBank, doporučuje zákazníkům, aby neukládali přihlašovací údaje ke svému bankovnímu účtu do správce hesel. Ve svém prohlášení CommBank uvedla, že vidí význam správců hesel, ale domnívá se, že hackeři najdou způsoby, jak oklamat její zákazníky pomocí sofistikovaných phishingových schémat, pokud budou používat správce hesel.
„Pro hesla do internetového bankovnictví doporučujeme zákazníkům vytvořit si silné heslo, které je jedinečné pro každý účet, a nezapisovat si ho,“ uvedl mluvčí společnosti. Přesto bezpečnostní experti tvrdí, že je tak mnohem pravděpodobnější, že zákazníci budou používat slabá nebo opakovaně používaná hesla.
1Password blokaci automatického vyplňování řeší spoluprací s výrobci webových prohlížečů, kteří chtějí, aby webové stránky tuto funkci umožňovaly, uvedl Matt Davey, provozní ředitel společnosti.
„To, co se snaží udělat, je obejít je na úrovni webu a stejně je automaticky vyplnit,“ řekl Davey o výrobcích prohlížečů. Společnost 1Password se také obrátí přímo na webové stránky a sdělí jim, že by měly přistoupit na program a umožnit svým uživatelům přihlašování pomocí správce hesel.
S třením správců hesel mají problém i technicky zdatní lidé. Kimber Dowsettová, odbornice na kybernetickou bezpečnost, která dříve pomáhala zabezpečovat systémy NASA a nyní pracuje jako ředitelka bezpečnostního inženýrství ve firmě Truss zabývající se softwarovou infrastrukturou, byla nedávno frustrována, když se snažila přihlásit na webové stránky banky. Musela zadat své přihlašovací údaje ručně, protože webová stránka zablokovala jejího správce hesel.
Byl tu ještě jeden problém: nedokázala určit, zda je znak hesla číslice nula nebo písmeno O, takže musela hádat.
„Mnoho třecích ploch by zmírnilo, kdyby vývojáři aplikací prostě umožnili automatické vyplňování a vkládání, abychom mohli správce hesel skutečně používat tak, jak je zamýšleno,“ řekla Dowsettová. „Házením klacků pod nohy to nikomu z nás nepomůže.“
Méně používat hesla
Dobré zprávy jsou hned na dvou frontách. První je, že tvůrci prohlížečů Chrome, Safari a Firefox posilují své vlastní správce hesel. Společnost Apple jeden z nich zabudovala do systému iOS a ve výchozím nastavení jej povoluje. Je v pořádku, že tyto funkce používáte na zařízeních, která ovládáte pomocí hesla nebo biometrického přihlášení. Navíc by měly digitální ukládání hesel více rozšířit a potenciálně donutit vývojáře webových stránek, aby si pohrávali s funkcemi, jako je automatické vyplňování a vkládání.
Druhé, nové technologie vám umožní používat hesla méně. Biometrické údaje, jako jsou otisky prstů a obličej, snižují nutnost předkládat heslo při každém přístupu ke službě. Služby jednotného přihlášení umožňují přihlásit se k jednomu webu pomocí jiného účtu, například Google, Apple nebo Facebook. Musíte se však spokojit se sdílením dalších informací o službách, které používáte, s některým z těchto technologických titánů.
Zatřetí, vícefaktorové ověřování, bezpečnostní klíče a další ověřovací technologie pomáhají zlepšit bezpečnostní nedostatky hesel. Nakonec možná nebudete muset hesla používat vůbec.
Tyto inovace v dohledné době hesla nenahradí, řekl generální ředitel společnosti BigID Dimitri Sirota, jehož firma pomáhá firmám chránit osobní údaje. Začíná však oslabovat prvenství hesel při zajišťování bezpečnosti účtů. A to je podle něj dobře.
„Hesla byla dlouhou dobu standardem,“ řekl Sirota. „A to takovým, ze kterého nikdo nemá zvláštní radost.“
Poprvé publikováno 10. března 2020 v 5:00 SEČ.