1. Práce s hesly

1.3. Volba hesla

Heslo lze prolomit zkoušením všech možných kombinací znaků (a, b, c, …, aa, ab, ...). Z tohoto důvodu jsou nevhodná jak hesla s příliš malou množinou znaků (6549821, vihaiuvt), tak hesla příliš krátká (@H0j). Útočník může také využít faktu, že lidé rádi používají existující slova či fráze (heslo, slunicko, LordOfTheRings), notoricky známá hesla (password, abc123, toor) nebo hesla s očividným vzorcem (12345, qwertz, asdfjklů). V neposlední řadě může útočník využít informací, které k dané osobě má - jméno, datum narození, jméno partnera, jméno psa, přezdívka, oblíbený film. Tyto informace lze jednoduše získat rychlým prohlédnutím sociálních sítí nebo pomocí sociálního inženýrství.

Dobrá hesla tedy musí být zároveň dostatečně dlouhá a dostatečně neuhodnutelná. V zásadě lze postupovat dvěma způsoby:

  • dlouhá nesmyslná fráze (PlejtvakSiKoupilPrilisMaleBotyOjojoj),

  • náhodná hesla, např. vygenerovaná speciálním nástrojem (b#6ArsQ8/XUh9U5e).

V heslech je typicky možné používat mezeru (útočníci s tím málokdy počítají), v některých případech však s tím může mít služba problém.

Nicneříkající frázi si zapamatujete velmi snadno, nicméně služby často definují pravidla pro tvorbu hesel (délka min. 10 znaků, alespoň jedno číslo apod.) Náhodná hesla je naopak obtížné si zapamatovat. Je tedy vhodné postupovat tak, že všechna hesla máme uložena ve Správci hesel (klíčence), kde jsou bezpečně zašifrována, hlavní heslo ke klíčence a případně další často používaná hesla pak mají podobu fráze bez dalšího jazykového významu a proto si je snadno pamatujeme i bez klíčenky.

Příklady

  • admin - jedno z nejpoužívanějších hesel na světě

  • defenestrace - existující slovo

  • koupiljsemprosynovcezimnistadion

  • Mnohe, co kdysi bylo, je ztraceno. - známý citát z Pána Prstenů

  • qaywsxedcrfvtgbzhnujmikolp - písmena shora dolů

  • zoh7rud3raiv#hChohVu

  • lucinka1993 - dohledatelné osobní údaje

  • WeWillRockYou! - text notoricky známé písně

  • BanikPyco!!!