Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
security:modules:basic:password [2019/03/07 19:55] mdivecky [Úvod] |
security:modules:basic:password [2021/08/09 13:54] berkmane [O správcích hesel] |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== Hesla ====== | ====== Hesla ====== | ||
| + | Navzdory všeobecnému přesvědčení, bezpečnost hesla nezávisí čistě na jeho délce, ani na tom, jestli použijete jedno číslo a jeden speciální znak. Místo toho závisí na něčem, čemu se říká složitost, a ta je určena počtem pokusů, který by útočník potřeboval k jeho uhodnutí. Dost často se měří v bitech, a v tom případě se počet potřebných pokusů spočítá jako 2^(počet bitů). Lidé jsou bohužel ve vymýšlení hesel hodně předvídatelní, což umožňuje útočníkům se soustředit na konkrétní vzorce, takže složitější hesla typicky získáš jejich náhodným generováním. | ||
| - | <WRAP round download 30%> | + | Ideálně bys měla používat hesla dlouhá, náhodně generovaná a na každé službě jiná, ale protože taková se nedají moc zapamatovat, je lepší na ně používat [[security:modules:basic:bitwarden|správce hesel]]. Na ta, která si zapamatovat musíš - jako třeba právě hlavní heslo pro správce hesel - můžeš používat třeba [[security:modules:basic:password#heslova_fraze|diceware]], který je pro člověka mnohem snáz zapamatovatelný. |
| - | ** Software (Linux, Windows, Mac):** | + | |
| - | [[https://keepassxc.org|KeePassXC]] | + | ===== Jak se bezpečné heslo stavět nedá ===== |
| - | </WRAP> | + | |
| - | ===== Úvod ===== | + | ==== O délce ==== |
| - | **Hesla jsou důležitá** | + | |
| - | Všechna naše bezpečnost na nich stojí a padá, bez silných hesel ztrácí velká část dalších technik smysl. | + | |
| - | Bezpečnost, jak ta osobní, tak skupinová má více vrstev. Jen proto že chráníme jednu z nich, neznamená to že jsme v bezpečí. Podle [[security:modules:advanced:thread-model|thread modelu]] je potřeba uvážit co potřebujeme chránit a jak k tomu přistoupit. Kolik vytvořit vrstev ochrany než dojde k úplnému prolomení. | + | Heslo "nejkulatoulinkatejsi" je nesrovnatelně slabší než třeba "sglgxqmqptvzfwcfgnji", i přesto, že obě obsahují jen malá písmena a jsou stejně dlouhá, protože zatímco to druhé je náhodně vygenerovaná kombinace, to první je existující slovo. |
| - | ===== Průběh ===== | + | To ale neznamená, že by délka hesla na bezpečnost neměla vliv. Heslo o šestnácti znacích složené ze stejných sad znaků bude skutečně asi dvakrát složitější - a tedy významně bezpečnější než heslo ze znaků osmi. |
| - | Na začátku je vhodné zeptat se na aktuální praktiky. | + | |
| - | * Kolik máte hesel? | + | ==== O speciálních znacích ==== |
| - | * Jak jsou složitá? | + | |
| - | * Kde je používáte? | + | |
| - | ==== Silné heslo ==== | + | Hodně pravidel pro zadávání hesel vynucuje použití více skupin znaků - typicky malých i velkých písmen a číslic, případně speciálních znaků jako jsou tečky či vykřičníky. Hodně uživatelek to vede k tomu, že takový znak třeba přidají na konec nebo s ním nahradí nějaká podobně vypadající písmena. Potíž je v tom, že takové nahrazování znaků je hned druhým krokem po tzv. slovníkovém útoku - útočník tedy nejprve vyzkouší hesla ze seznamu normálních slov, třeba "kocicka", ale hned jako další stupeň vyzkouší i "koc!ck4". |
| - | V běžném fungování budeme používat hesla generovaná klíčenkou, pro klíčenku ale budeme muset mít silné heslo které si budeme pamatovat. | + | Význam použití více skupin je v tom, že by mělo zvyšovat počet možných znaků, které se v hesle mohou na každé pozici objevit, což ale opět platí pouze v případě, že je heslo dostatečně nahodilé. |
| - | K tomu pro nás bude sloužit metoda [[http://world.std.com/~reinhold/diceware.html|Diceware]]. Ta používá kostky a slovník k vytvoření silného, ale zapamatovatelného hesla. | + | ==== O osobních údajích ==== |
| - | Je důležité nepoužít jen prostý text vytvořený touto metodou, ale **přidat do něj čísla a speciální znaky**, jinak je heslo snadno prolomitelné [[https://en.wikipedia.org/wiki/Dictionary_attack | slovníkovým útokem]]. | + | Použití osobních údajů je častá berlička pro snazší zapamatování hesla. Potíž je v tom, že jméno a rok narození tvojí sestry může dost možná z internetu zjistit v podstatě kdokoliv, takže to heslo "Eliska1996" by to možná chtělo přehodnotit, stejně jako jméno tvého psa, kterého jménem taguješ na Facebooku. Teoreticky do téhle kategorie spadá úplně všechno, co s tebou nějak osobně souvisí, zkrátka cokoliv, co někdo ví, protože tě zná. |
| - | === Různé služby, různá hesla === | + | ==== O opětovném používání hesel ==== |
| - | Hesla mají různé vektory útoku. Ať už je to lámání nebo kradení. Tohle téma by mělo být popsané v [[:security:modules:advanced:password|pokročilé lekci]]. | + | |
| - | Prozatím si řekneme hlavně to, že hesla ke klíčenkám nebo šifrovaným diskům musí být dostatečně dlouhá aby odolala lámání [[https://en.wikipedia.org/wiki/Brute-force_attack | hrubou silou]], oproti webům, kde je obvykle jen omezený počet pokusů. | + | Je naprosto pochopitelné, že si nedokážeš zapamatovat adekvátně složitá hesla pro všech svých 172 účtů. Bohužel, ne všechny služby mají databáze hesel svých uživatelek adekvátně zabezpečené, a občas se najde útočník, který se k takové databázi dokáže dostat a seznam hesel, občas i v kombinaci s uživatelskými jmény, pak často začne volně kolovat po internetu. To znamená, že pokud někdo prolomí jednu databázi, a ty máš stejné heslo na všech 172 účtech, je to nakonec stejné, jako kdyby byly účty prolomeny všechny. Proto je důležité hesla nepoužívat opakovaně. |
| - | ==== Klíčenky ==== | + | ===== Jak se bezpečné heslo stavět dá ===== |
| - | Pro jednoduchost představujeme hlavně keepass(xc), je multiplatformní a pravidelně aktualizovaný. | + | |
| + | ==== O správcích hesel ==== | ||
| + | |||
| + | Pokud si nedokážeš zapamatovat náhodná dlouhá hesla ke všem svým účtům, existuje řešení v podobě tzv. správce hesel nebo klíčenky. Jedná se o program, kterému zadáš všechna svoje hesla a následně je zašifruješ jedním hlavním heslem, takže bez zadání hlavního hesla se k nim nikdo nedostane. Více se o nich a jejich použití dočteš v článku [[security:modules:basic:bitwarden|Správce hesel]]. | ||
| + | Nepamatovat si hesla ke svým účtům může být i úmyslná strategie - co si nepamatuješ, nemůžeš nikomu prozradit. | ||
| + | |||
| + | ==== O nutných heslech ==== | ||
| + | |||
| + | I v případě použití správce hesel bude ale existovat nějaké množství hesel, které si pamatovat musíš - za prvé heslo k samotnému správci, ale pokud máš zašifrovaný systém, tak také heslo k němu, aby ses vůbec ke správci hesel dostal, nebo třeba heslo k mobilu. Takových hesel by mělo být dost málo, aby bylo možné si zapamatovat i hesla skutečně náhodná, ale existuje i jedna metoda pro lidský mozek značně příjemnější. | ||
| + | |||
| + | ==== Heslová fráze ==== | ||
| + | |||
| + | Heslová fráze, často nazývaná diceware, využívá jako heslo řadu několika náhodných slov. Tato slova se vezmou ze slovníku, kde jsou nějak očíslovaná, a volí se odtud buď vygenerováním a nebo právě hodem kostky - proto diceware. Heslové fráze mají obrovskou výhodu v tom, že jsou poměrně složité (za každým slovem stojí náhodná řada pěti čísel), ale přitom pro člověka snadno zapamatovatelné ve srovnání s řadou náhodných znaků. | ||
| + | A jak to udělat? Otevři si [[https://theworld.com/~reinhold/diceware_wordlist_cz.txt|český diceware slovník]], vem si házecí kostku a naházej pět čísel. Ta ti řeknou první slovo. A pak házej tolikrát, dokud nemáš dost slov - mělo bych jich být nejméně šest, ale čím víc, tím líp. Teď můžeš nějaké slovo taky vyčasovat nebo vyskloňovat, ještě tím zvýšíš složitost, protože se odchýlíš od seznamu. Pokud používáš správce hesel, dost možná umí takové heslo vygenerovat za tebe - Bitwarden bohužel jen v angličtině, KeePassXC ti umožní nahrát i vlastní slovník. Stačí v generátoru hesel hledat možnost pro heslovou frázi. | ||
| - | * Vytvoření databáze (vysvětlit že jde o soubor) | ||
| - | * | ||