Hesla jako „1234“ nebo „heslo“ s velkou pravděpodobností povedou k ukradení účtu. To je jen jedna z mnoha hrozeb, která na uživatele ve světě internetu číhá. Jak se ale bránit a předcházet možných virtuálním rizikům?
Nejprve se ovšem zaměřme právě na hesla. Na internetu se člověk dostane k dlouhé řadě služeb, a do všech se musí nějakým způsobem přihlásit. Byť existují i další metody a dodatečné způsoby zabezpečení, o nichž si ještě povíme, hesla jsou jakousi stálicí a jednoduchým základem, první obrannou linií před kybernetickým zločinem.
Jak si vytvořit co nejbezpečnější heslo?
Přejděme rovnou k tipům, přehledně uspořádaným v seznamu:
- Volte hesla, která kombinují malá a velká písmena, číslovky, ideálně také speciální znaky typu @ nebo #. Ujistěte se, že má heslo jako absolutní minimum 6 znaků, byť 9 a více je výrazně bezpečnější proti typu útoku zvanému brute force („tvrdá síla“). Ten závisí na výpočetní síle zapojených počítačů, a čím je heslo delší, tím více práce s tím systém má. Platí tedy, že délka hesla je velmi důležitým faktorem.
- Heslo si, pokud možno, pamatujte. Pokud se bojíte, že jej zapomenete, rozhodně si jej nezapisujte nikam do počítače. Do většiny služeb je možné se v případě zapomenutí hesla dostat např. přes mobilní telefon a zvolit si heslo nové. Pokud si přesto chcete heslo někam zapsat, udělejte to mimo digitální svět, mějte jej třeba na papírku uloženém mezi důležitými úředními dokumenty v trezoru. Existují i zabezpečené aplikace pro ukládání hesel přímo do PC, takzvaní správci hesel, o těch si však povíme jindy.
- Nepoužívejte jako hesla reálně existující slova v běžném tvaru. Pokud už pro lepší zapamatovatelnost chcete využít skutečný pojem, obměňte ho pomocí speciálních znaků a číslic. Kupříkladu heslo VeproveKnedlikySeZelim je mnohem snáze prolomitelné než v3Pr0v3k9EDl7ky@#Z3l7M, a přitom takové heslo je pro vás lépe zapamatovatelné. Vyměnit některé písmena za čísla (ideálně však podle vašeho osobního vzorce) a speciální znaky je bezpečné a jednoduché. Je důležité, aby slova nebyla obsažena ve slovnících a literatuře, a to kvůli slovníkovým útokům, poddruhu brute force metody.
- Pozor na osobní informace. Datum narození, adresa, výročí svatby, název střední školy či jméno psa jsou velmi nevhodné údaje pro heslo, protože se dají velmi snadno uhodnout.
- Pokuste se používat na každou službu unikátní heslo. V praxi je značně lákavé vkládat jen jedno heslo pro všechny služby, ale jde o velmi nebezpečnou záležitost. V případě úniku dat z velkých společností – a ty se dějí poměrně často – tak má totiž hacker nejen přihlašovací údaje k jedné službě, ale teoreticky i ke všem ostatním, kde máte stejné heslo.
Teď už si umíme vytvořit silné heslo, které je základní úrovní zabezpečení na webových stránkách a službách téměř všech společností. Ale heslo samotné nás neochrání spolehlivě: kybernetičtí zločinci jsou mnohdy šikovní a zběhlí ve využívání chyb a často se k němu mohou dostat i bez vašeho přičinění.
Dvoufázové zabezpečení aneb jistota je jistota
V takovém případě pomohou dodatečné metody zabezpečení. Mnohé servery dnes nabízí, jakožto dodatečnou bariéru před neoprávněným přístupem k účtu uživatele, dvoufázové ověření. Jde o proces, který zahrnuje dva na sobě nezávislé způsoby, jak ověřit totožnost uživatele; případný zločinec by se tak musel dostat kromě hesla ještě k dalším vašim osobním údajům, mnohdy jen extrémně těžce získatelným.
Služby jako Google a Facebook dnes dobrovolné dvoufázové ověření nabízejí. Doporučujeme si jej zařídit, neboť ačkoliv vám někdy proces přihlášení může připadat zdlouhavý, je velice bezpečný. Nejběžnějším dvoufázovým ověřením současnosti je kombinace přihlášení skrze vybrané jméno a heslo a zasláním SMS kódu na mobil uživatele, které je nutné do systému zadat. Pokud se tedy hacker dostane k vašemu heslu, je mu k ničemu: zkrátka si jej změníte, až budete moci, protože přístup k vašemu telefonnímu číslu máte jen vy.
Při dvoustupňovém ověření je však důležité neztratit mobilní telefon. Pokud se vám něco takového děje častěji, doporučujeme využít jinou metodu dvoufázového ověření.
Mezi takové, běžně dostupné právě při přihlašování do služeb skrze mobilní telefon, patří biometrické údaje uživatele – tj. sken obličeje, oční rohovky nebo otisku prstu. Jde o rychlou a poměrně spolehlivou metodu, byť není bezchybná. Každopádně však jde o další bariéru v případě krádeže vašeho chytrého telefonu.
Nejznámějším příkladem dvoufázového ověření jsou bankomaty. Potřebujete platební kartu a PIN – pokud má zloděj PIN, ale nemá kartu, je mu k ničemu; a platí to i naopak.
Další možností dvoustupňového ověření jsou fyzická zařízení – tzv. bezpečnostní tokeny. Práce s nimi však vyžaduje pokročilejší znalosti užívání počítače a je vhodnější pro digitálně zdatné jedince.
Dvoufázové ověření je s postupem času stále častější, což je pro bezpečnost dobrá zpráva.
Sociální inženýrství, falešné weby a pozor na e-mail
Bezpečnost však není zajištěna pouze přihlašováním ke službám. Velký pozor si je nutné dát na sociální inženýrství. Bezskrupulózní jedinci využijí nepřeberné množství metod, aby z vás heslo vylákali, pokud budou chtít; proti tomu se lze bránit jen zdravým rozumem, který je vždy tou nejlepší metodou ochrany proti kybernetickému zločinu.
To samé platí pro případ, kdy přistupujeme k webům, které neznáme, a které po nás chtějí přihlašovací údaje; případně do webů, které zdánlivě působí jako originály, ale nejsou. Existuje mnoho pochybných stránek, které vsází na to, že napíšete špatně název vašeho oblíbeného portálu – třeba faceook.com místo facebook.com (tento konkrétní případ nikoliv, přesměruje vás na Facebook). Taková stránka na první pohled vypadá jako originál, ale ve skutečnosti je falešná. Pouze chce, abyste do tabulky napsali vaše přihlašovací údaje a heslo, které pak může majitel falešného webu zneužít. V tomto případě je nutné být pozorný a vždy se ujistit, že přistupujete k zabezpečenému webu. Malá zelená ikonka zámku v levé části adresního řádku vyhledávače (ať už jde o Chrome, Firefox, Edge nebo jiný) je jednou ze spolehlivějších metod, jak toto rozpoznat. Sám vyhledávač vás obvykle bude před nebezpečnými stránkami varovat. Pokud ne, stačí se ujistit, že máte v adresním řádku správně vypsaný název webu a nekončí třeba na .org místo .com a podobně.
Pokud už se někdo k vašemu heslu dostane (mnohdy v takovém případě dostanete upozornění na e-mail), nezoufejte: zkrátka zažádejte o nové heslo, případně zablokujte přístup ověřením své identity jiným způsobem.
S tím souvisí jedna dobrá rada: dvoufázové ověření je nejdůležitější u služeb, které „spravují“ hesla pro další služby. U většiny webů a aplikací si můžete v případě zapomenutí hesla nechat vygenerovat nové skrze váš e-mail; ten proto musí mít co nejlepší možné zabezpečení.
Bezpečnost je základem digitální gramotnosti
Při dodržení zmíněných postupů budete ve světě internetu v bezpečí. Shrňme si nyní získané poznatky:
- Heslo by mělo být dlouhé, zahrnovat speciální znaky a čísla, musíme si jej pamatovat nebo jej mít fyzicky napsané na bezpečném místě. Nemělo by obsahovat nezměněné reálné slovo, jednoduše uhodnutelné informace typu jméno domácího mazlíčka nebo datum narození a měli bychom mít jiné heslo pro každou službu, kterou používáme.
- Je-li to možné, využijeme dvoufázového ověření, a to hlavně na stránkách, které jsou pro nás kriticky důležité – například e-mail nebo internetové bankovnictví. K dispozici máme ověření SMS zprávou, biometrické údaje, někdy také třeba číslo platební karty nebo fyzický bezpečnostní token.
- Nebudeme nikomu heslo a další údaje sdělovat, za žádných okolností. Nepodlehneme manipulacím sociálního inženýrství. Ani velmi oficiálně vypadají e-maily, které vás žádají o vaše heslo, nejsou skutečné. Žádná služba na internetu po vás nikdy nebude chtít sdělit vaše heslo.
- Dávejte si pozor na falešné stránky, které se vydávají za skutečné. Ujistěte se, zda zadáváte své přihlašovací údaje tam, kam opravdu chcete.
Jde sice jen o čtyři body, ale tyto čtyři body vám zajistí relativní bezpečí proti hrozbám, útokům, únikům dat z velkých korporací a uchrání vás od zbytečného stresu.
Zásady tvorby bezpečného hesla a bezpečného chování na internetu jsou základem digitální gramotnosti. Ta je v České republice zatím na nedostačující úrovni.
V ČR se digitální gramotnosti věnují hned dva projekty. Jedním je Rozvoj systémové podpory digitální gramotnosti neboli DigiStrategie 2020, který zpřístupňuje řadu praktických informací ke zvýšení schopnosti práce s počítačem a technologiemi, tzv. digitálních kompetencí.
Kromě toho je tu ještě DigiKatalog, který s DigiStrategií 2020 blízce spolupracuje a má za cíl podpořit rozvoj přenositelných digitálních kompetencí u zaměstnavatelů a zaměstnanců nebo jak bezpečně a efektivně pracovat s technologiemi. Jeho součástí je PortálDigi, který usnadňuje orientaci v digitální gramotnosti a ukazuje, proč je v dnešním světě tak důležitá.