V rebríčkoch sa objavujú pravidelne na popredných miestach. A to rozhodne nie v dobrom. Heslá, ktoré bezpečnostné spoločnosti zverejňujú na pomyselnej tabuli hanby ako odstrašujúci príklad.
Hoci sa opakovane apeluje na to, aby používatelia pri vytváraní hesiel pre svoje kontá či dokonca Wi-Fi routre nepoužívali jednoduché ani prednastavené heslá, každoročné správy neustále poukazujú na smutný trend – ľudia heslá stále podceňujú.
Admin, root, 1234, 123456, heslo, password či qwerty. Všetky takéto extrémne jednoduché heslové podoby sa používajú bežne, a nie v malom počte. Experti neustále radia, varujú a pripomínajú, no veľká časť ľudí je, zdá sa, nepoučitelná.
10 najčastejších slabých hesiel Wi-Fi routerov
Spoločnosť ESET koncom augusta 2020 zverejnila ďalšiu zo svojich správ, v ktorej sa venovala problematike používania nedostatočne silných hesiel. Tentokrát sa konkrétne pozrela na zabezpečenie Wi-Fi router, pretože práve to je jedna z najčastejšie prehliadaných oblastí.
Všeobecne známe hesla nastavené výrobcom, ale aj zbierky najpoužívanejších hesiel vytvorené na základe rôznych únikov, sú tým prvým, čo útočníci pri snahe o prienik do siete vyskúšajú. Dostatočne silné heslo preto určite má svoj zmysel, aby ste sa nestali zbytočne ľahkou obeťou.
1. | admin |
2. | root |
3. | 1234 |
4. | guest |
5. | password |
6. | 12345 |
7. | support |
8. | super |
9. | Admin |
10. | pass |
25 najhorších hesiel za rok 2019, ktorým by ste sa určite mali vyhnúť
Prvý zoznam poukazoval na heslá používané vyslovene pre Wi-Fi routre, tento druhý už vychádza z analýzy všeobecne používaných hesiel.
Zoznam 200 najhorších hesiel za rok 2019 zverejnil NordPass na základe analýzy nezávislých bezpečnostných výskumníkov. Tí vychádzali z databázy až 500 miliónov hesiel, ktoré do obehu postupne unikli pri útokoch na rôzne služby.
Ide pritom len o vrchol ľadovca, každoročne v nesprávnych rukách končia miliardy hesiel. Tie sú buď ďalej predávané ako celé databázy alebo ako podklady pre slovníkové útoky.
Heslá v tabuľke predstavujú TOP25 za rok 2019. Teda úplne nedostatočných 25 hesiel, ktoré sa používali najčastejšie. Množstvo z nich je možno považovať za stálice – objavujú sa rok za rokom, akurát v inej frekvencii.
1. | 12345 |
2. | 123456 |
3. | 123456789 |
4. | test1 |
5. | password |
6. | 12345678 |
7. | zinch |
8. | g_czechout |
9. | asdf |
10. | qwerty |
11. | 1234567890 |
12. | 1234567 |
13. | Aa123456. |
14. | iloveyou |
15. | 1234 |
16. | abc123 |
17. | 111111 |
18. | 123123 |
19. | dubsmash |
20. | test |
21. | princess |
22. | qwertyuiop |
23. | sunshine |
24. | BvtTest123 |
25. | 11111 |
Najpoužívanejšie heslá Slovákov v roku 2022. Sme nepoučiteľní?
K prehľadu toho ako vyzerajú najčastejšie heslá Slovákov som sa vrátil takmer po troch rokoch, v polovičke novembra 2022. A musím povedať, že to dopadlo presne podľa očakávaní. Kybernetické hrozby, podvody a rôzne snahy o získanie prístupu k našim účtom sa za ostatné roky len stupňujú, no my sme sa vôbec nepoučili.
Najpoužívanejšie heslá sú presne prototypom najhorších hesiel, ktoré by sme mali obchádzať veľkým oblúkom. Komu sa však chce vymýšľať komplikované heslo, ktoré si potom musí pamätať? A komu sa už len chce takýchto hesiel vytvoriť niekoľko pre rozličné služby? No, skoro nikomu… Pohodlie nad bezpečnosťou vyhráva na plnej čiare. Stále sme sa nepoučili. Neriešime to, až kým nie je neskoro.
Nevadí. Možno raz.
Prehľad 200 najčastejších hesiel roka 2022 pripravila spoločnosť NordPass v spolupráci s odborníkmi na kybernetické incidenty (úniky hesiel, útoky…), ktorí mali skúmať databázy s veľkosťou viac ako 3 TB. Dáta analyzovali a rozdelili na základe krajín pôvodu alebo pohlavia majiteľa hesla. Mňa zaujímali najčastejšie heslá na Slovensku. Takto to teda dopadlo:
- 123456
- 12345678
- 123456789
- 110110jp
- 000000
- 1234
- password
- 12345
- 111111
- martin
- heslo
- veronika
- 666666
- qwerty
- monika
- 123123
- dominika
- kokot (no, nezaprieme sa)
- milacik
- 123
- killer
- tomasko
- martinko
- patrik
- 1111
Toto je TOP 25 najčastejšie používaných hesiel zoradený podľa počtu unikátnych výskytov – celý zoznam tu. Smutné je na nich hlavne to, že sú úplne jednoduché.
Aké náročné je ich prelomenie? Prinajlepšom 6 sekúnd. Našla sa aj jedna výnimka. Aj to nie nejaká extrémne silná – pri jedinom jednom hesle z vyššie uvedeného zoznamu má prelomenie trvať “až” 3 minúty.
Aké sú odporúčania pre vytvorenie silného hesla?
Stretnúť sa môžete s rôznymi názormi a nepísanými pravidlami. Vo všeobecnosti, a odporúča to aj ESET, sa za silné heslo považuje také, ktoré bolo náhodne vygenerované a má dĺžku minimálne 8 znakov (ideálne 10-12), pričom obsahuje malé, veľké písmená, aspoň jeden špeciálny znak a číslicu. Dôrazne sa pritom odporúča vyhnúť súvislej sekvencii znakov.
Druhou odporúčanou metódou je zvolenie takzvanej “heslovej frázy”. Ide o niekoľko slov, ktoré majú spolu väčšiu dĺžku ako 16 znakov. Malo by ísť o pre používateľa ľahko zapamätateľné slová využívajúce malé písmená, veľké písmená a ideálne aj čísla. Pointa je v tom, že dĺžka hesla kompenzuje absenciu špeciálnych znakov.
“Vytvorte si frázové heslo. Môže to byť konkrétna fráza, ktorá má pre vás nejaký význam, a pritom sa vám ľahko pamätá. Zároveň, aby ste znížili šancu jej uhádnutia, zámerne zameňte poradie slov vo vete. Vyhnite sa slávnych citátom, zaužívaným frazeologizmom, výrokom či školským poučkám, vďaka čomu sa vyvarujete slovníkovym útokom.”- radí ESET .
Príkladom môže byť: Ed0MaRadK0sti alebo DnesSomKupilKiloZemiakov
Všeobecné tipy
Súčasne sa vo všeobecnosti odporúča, aby ste pre každú službu používali unikátne heslo. To dnes môže byť skutočne komplikované, preto sú často odporúčané rôzne aplikácie na vytváranie a správu hesiel – správca hesiel.
Navyše by vaše heslá nemali byť až príliš prekombinované do takej miery, že by ste si ich museli niekde značiť. Napríklad na papierik položený pri PC alebo do poznámky pripnutej na pracovnej ploche. To by skutočne nedávalo žiaden zmysel.
Netreba zabúdať ani na to, že heslo by nemalo byť žiadnym spôsobom spojené s vašou osobou. Napríklad by nemalo obsahovať vaše meno, dátum narodenia, telefónne číslo, obľúbené jedlo, ani nič podobné.
V súvislosti s ochranou používateľských účtov sa dnes už dôrazne odporúča používanie 2-faktorovej autentifikácie. Samozrejmosťou je aj pravidelná aktualizácia operačného systému, aplikácií či firmvéru.
Podceňovať by ste z pohľadu ochrany nemali ani tradičné bezpečnostné riešenia, ktoré môžu ochrániť pre nástrahami ako je keylogger, teda škodlivý kód, ktorý zaznamenáva stlačené klávesy. V prípade Windows 10 vás štandardne chráni Windows Defender.
Svetový deň hesla
V prvý májový štvrtok na Svetový deň hesla si každoročne pripomíname, ako sa treba starať o našu bezpečnosť. Používanie hesiel v súvislosti s počítačmi uviedol do života Fernando J. Carbató a IT heslo má 60 rokov.
Aj svet hesiel sa vyvíja tak ako všetko. Dnes nás už mnohé systémy a portály nepustia ďalej, v prípade, že zadáme slabé heslo. Našťastie…
Spoločnosť ASUS pri príležitosti 60 výročia vzniku IT hesiel pripravila stručný pohľad na aktuálny stav. Súčasne tento malý IT sviatok využila na pripomenutie, že pre posilnenie kybernetickej bezpečnosti je dôležité, aby výrobcovia komunikovali s používateľmi.
Súčasťou toho je aj nahlasovanie prípadných zraniteľností a nedostatkov.
Prehľad o heslách, ktorý pripravila spoločnosť ASUS pod názvom “Aký majiteľ, také heslo” pokračuje nižšie.
Matematické modely
Pokročilé systémy zabezpečenia dnes používajú aj behaviorálnu analýzu používateľa, aby si overili, či prístup nebol kompromitovaný. Podozrivý pokus identifikujú napríklad s využitím geolokačných údajov či časového obdobia.
O kvalitu hesiel sa nám starajú v prvom rade matematické modely. Dokument Národného inštitútu štandardov a technológií (NIST) z roku 2016 Návod na elektronické overovanie priniesol odporúčania pre bezpečnostné systémy na úrovni administrátorov a implementáciu elektronickej autentifikácie.
Tieto návody sa opierajú o metódy s algoritmickými výpočtami, ktoré merajú silu a účinnosti používaných hesiel.
Ďalšou metódou, ktorá hodnotí kvalitu hesiel, je Meranie adaptívnej sily hesiel (Adaptive Password Strenght Meters) na princípoch Markovho modelu, čiže kolektívnej pravdepodobnosti jednotlivého charakteru v hesle v súvislosti s tým predošlým znakom.
Tento model kvantifikuje silné heslá ako tie, ktoré majú dostatočnú dĺžku a menej pravdepodobné písmená, špeciálne symboly či číslice nasledujúce po sebe.
Šifrovanie aj biometria
Súčasťou bezpečnej komunikácie na internete sú šifrované protokoly masovo rozšírené od roku 1994. Bezpečnostné certifikáty TLS (Transport Layer Security) a SSL (Secure Socket Layer) šifrujú spojenie medzi serverom a internetovým prehliadačom používateľa.
Vznikli koncom 80. rokov ako výsledok spolupráce bezpečnostných agentúr, korporácií a Národného úradu štandardov v USA a sú dnes štandardom na weboch, kde používatelia vkladajú citlivé údaje – platby kartou, prihlasovacie údaje.
Biometrické heslá, ktoré využívajú odtlačok prsta, tvár alebo hlas, zabezpečujú vysokú pravdepodobnosť pravdivej identifikácie oprávneného používateľa. Rokom 1995 sa začalo široké využitie biometrických identifikácií, keď sa na trh dostal prototyp zariadenia na rozpoznávanie zreničiek.
Umelá inteligencia (AI) a kvantová bezpečnosť
Fyzické biometrické riešenia pracujú so zreteľnými a merateľnými charakteristikami časti tela – tvár, zrenička, DNA, odtlačok prsta alebo žily, ktoré transformujú do kódu zrozumiteľného systému AI. Behaviorálne biometrické heslá fungujú na rovnakom princípe a využívajú aj charakteristiky ako rytmus písania, spôsob komunikácie so zariadením, chôdza alebo práca s hlasom.
Získané dáta sa šifrujú a ukladajú v zabezpečenej databáze a následne sa počas verifikácie a autentifikácie digitálne vzorkujú . Bezpečnostné nástroje postavené na AI a strojovom učení sledujú niekoľko hodnôt: záverečné správanie (čím a ako ukončujeme náš úkon), správanie na sieti (s ktorými bodmi a ako reagujeme) a používateľské zvyklosti (čas prístupu, opakované využitie aplikácií, množstvo využívaných dát) .
Vývoj kvantových počítačov prináša na jednej strane efektívny nástroj na prelomenie hesiel a na druhej strane vývoj mimoriadne silných hesiel. Kvantový počítač so 4 099 perfektne stabilnými qubitmi (kvantovými bitmi) môže zlomiť šifrované štandardy, ako je napríklad RSA-2048, v priebehu 10 sekúnd namiesto 300 triliónov rokov .
Našťastie, takýto kvantový počítač zatiaľ neexistuje…