Heslový magazín

Entropie hesla popisuje, jak obtížné je heslo předvídat. Nevzniká z povrchní složitosti, ale ze skutečného prostoru možností.

Hesla i heslové fráze mohou být bezpečné. Rozdíl spočívá hlavně v délce, náhodnosti a praktické zapamatovatelnosti.

Délka hesla je jednou z nejsilnějších pák zabezpečení. U důležitých účtů je 16 nebo více znaků dobrým standardem.

Generátor hesel vytváří náhodné řetězce nebo heslové fráze, které je mnohem těžší uhodnout než ručně vymyšlená hesla.

Dobrá pravidla hesel chrání uživatele, aniž by je nutila k nebezpečným řešením. Špatná pravidla plodí jen frustraci a slabší praxi.

Nezabezpečená hesla lze často identifikovat podle předvídatelných vzorců, opakovaného použití a pokusu o splnění minimálních pravidel s co nejmenším úsilím.

Dobré příklady hesel neukazují přesné kopie šablon, ale spíše rozdíly mezi slabými vzory, použitelnými hesly a silnými, náhodnými variantami.

Nejčastějšími chybami hesla jsou předvídatelné vzory, opakované použití a příliš krátká hesla. Právě tyto chyby umožňují skutečné převzetí.

Speciální znaky mohou pomoci, ale nejsou jádrem zabezpečení hesel. Délka a náhodnost jsou téměř vždy silnější páky.

Silné heslo je dlouhé, jedinečné a dostatečně náhodné, aby nešlo snadno uhodnout ani zneužít s uniklými daty.

Správci hesel nejsou bez rizika, ale pro většinu uživatelů jsou výrazně bezpečnější než opakované použití, chaos v prohlížeči a ručně spravované seznamy hesel.

Hlavní heslo chrání celý trezor. Proto by měla být delší, unikátnější a volená pečlivěji než běžná přihlašovací hesla.

Úložiště prohlížeče je pohodlné, ale ne vždy odpovídá vyhrazenému správci hesel s jasnou architekturou zabezpečení a lepší správou.

Správce hesel ukládá, organizuje a generuje přihlašovací údaje, takže každý účet může mít své vlastní silné heslo.

Hesla by neměla končit v poznámkách, textových souborech prohlížeče nebo opakovaně používaných vzorcích. Nejbezpečnější je čistá administrace se správcem hesel.

Brute force a password spraying jsou oba útoky na přihlášení, ale liší se tím, zda testují mnoho hesel proti jednomu účtu, nebo několik hesel proti mnoha účtům.

Credential stuffing není magie, ale objem: uniklé přihlašovací údaje se automaticky zkoušejí v mnoha dalších službách.

Opětovné použití hesla je jedním z největších násobitelů poškození. V opačném případě může jeden únik okamžitě ohrozit několik účtů současně.

Kontrola úniku ukazuje, zda se heslo nebo související data objevila ve známých databázích kompromitovaných přihlašovacích údajů.

Pokud heslo uniklo, na rychlosti záleží: změňte heslo, zkontrolujte opětovné použití, ukončete aktivní relace a aktivujte MFA.

Ne každý účet je stejně důležitý. E-mail, bankovnictví a sociální média vyžadují trochu jiné priority, ale jedinečnost a silná hesla jsou základem každého z nich.

Společnosti nepotřebují příliš přísnou politiku hesel, ale takovou, která podporuje bezpečné návyky, MFA a jasné procesy.

Passkeys posouvají ověřování dál od klasického hesla. Neřeší ale všechny bezpečnostní otázky a nenahrazují hesla přes noc.

MFA nenahrazuje dobrá hesla. Snižuje riziko přihlášení, ale slabá nebo opakovaně používaná hesla zůstávají vektorem útoku.

Hesla by se neměla bezdůvodně měnit pořád dokola. Důležité je reagovat na konkrétní rizika, úniky nebo staré slabiny.

Pokud služba dokáže dešifrovat hesla, je to varovný signál. Dobré systémy pro práci s hesly by to vůbec neměly potřebovat.

Argon2, bcrypt a scrypt jsou metody hašování hesel s různou silou. Moderní systémy často spoléhají na Argon2, pokud jej prostředí správně podporuje.

Sůl a pepper jsou další ochranné vrstvy kolem hashů hesel. Znesnadňují hromadné útoky a zvyšují odolnost při únicích.

Hašování a šifrování jsou často zaměňovány. U hesel je správným přístupem hašování, protože server by neměl být schopen obnovit původní heslo.

Seriózní weby neukládají hesla v otevřeném textu, ale jako hashované hodnoty s další ochranou, jako je sůl a moderní hašovací metody.