Protoze se stale objevuji nove a nove pripady ukradeni hesla, rozhodl jsem se tem mene znalym objasnit problematiku bezpecnosti. Budu se snazit byt strucny, ale zase na druhou stranu pochopit znamena dusledne se podle techto pravidel ridit … pouze neznaly clovek se domniva, ze prece to jeho „heslo“ nikdo zjistit nemuze …
Útočník, který se snaží dostat do nějaké heslem zabezpečené aplikace (zaheslovaný RAR, email…) má několik možností, jak se bez znalosti hesla dopracovat k výsledku. Některé z nich vyžadují jistou dávku inteligence, důvtipu a znalostí, jiné zase vyžadují trochu štěstí a fyzické průpravy. Takže pojďme si nejdřív shrnout, jaké má útočník možnosti:
- Najít toho, kdo heslo zná (majitele emailu, například) a heslo od něj získat – ukecat ho, uplatit, zmlátit. Tento způsob nebudu dále v článku popisovat .
- Zkusit od majitele heslo vymámit nějak nenápadně, například fake mailem, odborněji se tomu říká phishing, česky rhybaření. Metoda spočívá v tom, že majiteli účtu pošlete email, kde ho vyzvete, aby vám zpět poslal přihlašovací jméno a heslo. Záleží jen na vás, jak moc se bude zpráva tvářit důvěryhodně, samotná prosba by asi totiž nestačila, je nutné k tomu přidat nějaký příběh. Často se můžeme setkat s tím, že se porouchala databáze a proto vyzýváme všechny uživatele, aby zadali znova své heslo a jméno, jinak že jim schránku zrušíme apod. Pokud ta zpráva vypadá opravdu seriózně, procento úspěšnosti nebývá malé.
- Slovníkový útok – stáhneme si z internetu nějaké balíčky nejčastějších hesel a všechny prozkoušíme. Pokud budeme mít štěstí a majitel má nějaké frekventovanější heslo, skutečně ho snadno získáme. Z toho plyne ono zásadní ponaučení – nedávejte si hesla, která dávají smysl. Dejte si třeba heslo eminem a garantuji vám, že první lamoidní hacker vám to prolomí za pár vteřin.
- Brute force je nejblbější metoda. Spočívá ve zkoušení všech možných variací hesel, jaké jen na světě existují. Program skládá postupně písmenka podle určitého algoritmu a zkouší, zda se netrefil do požadovaného hesla. Až ho najde, uloží si heslo a skončí. Tuto metodu si dále probereme.
Toto jsou zakladni moznosti neprofesionalniho hackera … ale co dal ? Nyni vypustim teoretickou cast, kterou si muzete precist primo na webu, ze ktereho cerpam, ale presto vas torchu postrasim, jak snadno se mozna da prave to vase heslo pomoci vhodneho nastroje prolomit.
Predpokladejme situaci, ze mame pocitac, ktery zvladne 10.000.000 porovnani za vterinu (to je stredne vykonny HW). Jaka je tedy doba prolomeni takoveho hesla ?
Varianta 1. (kombinace 52 znaku)
heslo 5 znaku, bez ceskych znaku, bez cislic, kombinace velka mala pismena, napr. „StRom“, celkovy pocet kombinaci 380 milionu = doba prolomeni 38 sekund.
Varianta 1. je tedy velmi malo bezpecna a heslo je schopny prolomit kdokoliv bez extra specialni vybavy.
Varianta 2. (kombinace 52 znaku)
heslo 8 znaku, bez ceskych znaku, bez cislic, kombinace velka mala pismena, napr. „StRomOva“, celkovy pocet kombinaci 53 Trilionu = doba prolomeni 62 dnu.
Varianta 2. tedy je uz preci jen lepsi, ale i v tomto pripade se pripadny utocknik kyzeneho cile docka v relativne kratkem case.
Jak by tedy melo vypadat opravdu bezpecne heslo ?
zvol si heslo, které obsahuje čísla a písmená a má najmenej 8 znakov.
- nepoužívaj žiadne heslá ktoré sa dajú uhádnuť (dátum narodenia, meno a pod.).
- heslo doporučujeme pravidlene meniť.
- nepoužívaj rovnaké heslá u všetkých internetových poskytovateľov.
- nainštaluj si antivírusový program a pravidelne kontroluj svoj systém.
- neklikaj na všetky linky, ktoré sú ti poslané.
Mysli predovšetkým na to: My od teba nechceme nikdy vedieť tvoje heslo. Tvoje heslo nepotrebujeme na to aby sme ti vedeli pomôcť!
Varianta 3. (kombinace 62 znaku)
heslo 5 znaku, bez ceskych znaku, kombinace velka+mala pismena a cislice, napr. „StR0m“, celkovy pocet kombinaci 916 milionu = doba prolomeni 90 sekund
coze ? to jako jen 90 vterin ? ale ne … zadny strach, toto heslo je uz na dobre ceste k bezpecnemu, ale je pouze prilis kratke. Dalsi varianta s 8 znaky.
Varianta 4. (kombinace 62 znaku)
heslo 8 znaku, bez ceskych znaku, kombinace velka+mala pismena a cislice, napr. „StR0mOva“, celkovy pocet kombinaci 218 Trilionu = doba prolomeni 253 dnu.
To uz je hodne slusne, ale preci jen … porad to nesplnuje nejprisnejsi kriteria bezpecnosti. Takze ted jiz pridejte jen nicotne 2 znaky a ….
Doporuceni pro bezpecne heslo je tedy nasledujici:
Varianta 5. bezpecna varianta hesla. (kombinace 62 znaku)
heslo 10 znaku, bez ceskych znaku, kombinace velka+mala pismena a cislice, napr. „StR0mOvakA“, celkovy pocet kombinaci 839 Quadrilionu (62 na 10) = doba prolomeni 2 660 let.
Doufam tedy, ze nyni uz nebude nikdy zadny ucet nikomu ukraden … tedy aspon ne postupy, ktere jsem zde popsal.