Zabezpečenie IT Sedem tipov na bezpečné heslo - digitálne

Aktuálne správy v Süddeutsche Zeitung

zabezpečenie

Dashboard

ekonomiky

Mníchov

Kultúra

spoločnosti

Vedomosti

Bezpečnosť IT: takto fungujú bezpečné heslá

Otvoriť obrázok na novej stránke

Používajte čo najviac špeciálnych znakov, pravidelne meňte heslá - niektoré mýty pretrvávajú.

(Foto: Alessandra Schellnegger)

  • Používatelia by si mali skontrolovať, aké užitočné a bezpečné sú ich účty a heslá.
  • Týchto sedem odporúčaní vám pomôže priradiť správne heslá a lepšie chrániť účty.

Väčšina používateľov internetu stále používa príliš jednoduché heslá, a to aj pre dôležité služby. Pre tých, ktorí už používajú dlhé a zložité heslá, však platí toto: Nie je dobré príliš často meniť prihlasovacie údaje. Mnoho IT oddelení vo firmách a poradcovia však pravidelne žiadajú používateľov, aby prišli s niečím novým. Používatelia by si samozrejme mali zmeniť svoje heslá, keď zistí, že konkrétna služba, do ktorej sú prihlásení, bola napadnutá hackermi. V opačnom prípade sú vaše údaje v nebezpečenstve. Ak však takáto príležitosť nebude, o pravidelných zmenách nemožno hovoriť.

Aj Bill Burr to pripúšťa. Predtým pracoval v Národný inštitút pre normy a technológiu (NIST), americká agentúra zodpovedná za technologické štandardy. Napísal tam odporúčania na bezpečné heslá, veľa ľudí a spoločností sa na ne orientovalo. Súčasťou toho bola aj rada priradiť nové heslo každých 90 dní. Na jeseň minulého roka Burr povedal: „Mrzí ma veľa z toho, čo som urobil.“ S jeho tipmi bol v tom čase „na nesprávnom člne“.

Len málo ľudí sa stará o bezpečnosť IT

Iba malý počet používateľov si berie na vedomie základné pravidlá bezpečnosti IT. Mnoho mýtov o údajne bezpečných heslách existuje už roky. Stále je príliš málo ľudí, ktorí používajú správcov hesiel a namiesto toho sa snažia spomenúť si na svoje prihlasovacie údaje.

Ak patríte do tejto skupiny, mali by ste sa zaoberať svojimi heslami. Nasledujúce tipy vám môžu pomôcť. Vychádzajú okrem iného z odporúčaní NIST. Agentúra chce nechať zabudnúť na zlé rady Billa Burra a minulý rok vydala nové pokyny pre bezpečnosť hesiel. Požiadavky sa vzťahujú na verejné inštitúcie v USA. Ale občania sa tiež môžu veľa naučiť:

Špeciálne znaky prinášajú porovnateľne málo

Pre ľudí pôsobia náhodné kombinácie mnohých špeciálnych znakov záhadne a teda bezpečne. Hackeri môžu tieto heslá v skutočnosti pomerne ľahko prelomiť takzvanými útokmi hrubou silou. Softvér zvyčajne najskôr otestuje dlhý zoznam bežných fráz, ako napríklad „heslo“ alebo „123456“. Potom nasledujú výrazy zo slovníkov a algoritmy potom vyskúšajú aj špeciálne znaky.

NIST odporúča prevádzkovateľom stránok, aby sa vyhli zložitým špecifikáciám. Heslá by už nemali obsahovať veľké písmeno a dva rôzne špeciálne znaky. Používatelia, tvrdí NIST, inak iba zmenili svoju štandardnú šifru: „Heslo“ sa zmení na „Pa $$ w0rt1 !“. - variácia, ktorú môžu algoritmy ľahko odhadnúť. Je lepšie používať menej špeciálnych znakov, ale ako základ používajte rôzne frázy.

Mnoho špeciálnych znakov a zmena sa tak často, ako je to možné, potom je heslo bezpečné. naozaj?

Autor: Marvin Strathmann

Závisí to od dĺžky

Dôležitejšia ako zložitosť je dĺžka. Aj moderným počítačom niekedy trvá roky, kým prelomia heslo s 20 a viac znakmi. Prinajmenšom pokiaľ používatelia nepoužívajú populárne frázy ako „DuKommstNichtVorbei“. Podľa odborníkov z NIST by preto heslá mali mať minimálne osem znakov. Toto číslo je absolútne minimum, dvanásť znakov výrazne zvyšuje bezpečnosť, 16 je ešte lepších.

Poskytovatelia by navyše mali umožniť medzery, aby používatelia mohli vymýšľať nielen jednotlivé slová, ale aj celé frázy. NIST odporúča odstrániť alebo aspoň masívne zvýšiť obmedzenia dĺžky hesiel. Užitočných je až 64 znakov, aby bolo možné na ochranu dôležitých účtov použiť frázy s dlhým prechodom.

Nepoužívajte heslá dvakrát

Nikoho by nikdy nenapadlo použiť iba jeden kľúč od vchodových dverí, dverí bytu, trezoru a zámku bicykla. Zdá sa, že analógová opatrnosť nie je v digitálnom živote na mieste: veľa ľudí používa rovnaké heslá pre viac účtov. To je fatálne: keď hackeri ukradnú prístupové údaje, takmer vždy sa pomocou nich pokúsia prihlásiť na iné stránky.

Experti NIST odporúčajú operátorom stránok, aby chránili ľahkomyseľných používateľov pred sebou: Mali by automaticky porovnávať heslá s inými údajmi, napríklad s prihlasovacími údajmi, ktoré sú známe z predchádzajúcich hackov alebo bezpečnostných dier. Zhromažďujú sa v databázach, ako je Haveibeenpwned.com, kde si používatelia môžu tiež sami skontrolovať, či je ich e-mailová adresa zaregistrovaná v službách, ktoré už boli zločincami úspešne napadnuté.

Automatické porovnanie by malo obsahovať aj ďalšie databázy, napríklad záznamy zo slovníkov alebo jednoduché sekvencie ako „aaaaaa“, „1234abcd“ alebo „qwertz“. Ak algoritmus nájde zhody, používatelia by museli zvoliť novú bezpečnostnú frázu. To platí aj v prípade, že používate úpravy používateľských mien alebo iných údajov, ktoré ste poskytli pri registrácii, napríklad dátumy narodenia alebo telefónne čísla. Príklad: Ak sa niekto chce prihlásiť pomocou používateľského mena „SZ-reader“, heslo by nemalo byť „SZ-reader1“.

Žiadne pravidelné zmeny

„Platnosť vášho hesla uplynula, vyberte si nové.“ Zamestnanci poznajú takéto e-maily od svojho oddelenia IT. Veľmi málo ľudí je rád, že sú požiadaní o zmenu hesla - a je to tak správne. NIST sa poučila z chyby Billa Burra a neodporúča meniť prihlasovacie údaje a heslá každých pár týždňov. Pretože používatelia potom majú tendenciu používať nezabezpečené šifry, ktoré si ľahko zapamätajú. Existuje jedna výnimka: akonáhle má operátor podozrenie, že hackeri ukradli dáta, mali by byť okamžite upozornení všetci používatelia a mali by sa zastaviť pri zmene.

Problémy so zabezpečením prinášajú malú bezpečnosť

Črevný pocit hovorí: meňte heslá každých pár mesiacov. Veda hovorí: nefunguje to. Ostatné metódy chránia oveľa lepšie.

Od Simona Hurtza

„Ako sa volalo tvoje prvé domáce zvieratko?“, „Ako sa volá dievčenská matka?“, „Aká je tvoja obľúbená farba?“ Niektoré webové stránky sa spoliehajú na takéto problémy so zabezpečením. Všeobecne to nie je zlý nápad, pretože zločinci potrebujú viac informácií o obeti ako iba heslo. Takéto údaje sa však často dajú ľahko nájsť na internete.

Preto NIST dôrazne neodporúča vyžadovať túto metódu ako jedinú autentizáciu na obnovenie hesla. Útočníci mohli odhadnúť odpoveď na bezpečnostnú otázku alebo ju zhromaždiť z verejných informácií, napríklad z profilov na sociálnych sieťach. Ak uspejú, môžu im prideliť nové heslo a získať prístup k celému účtu.

Naopak pre používateľov to znamená: Ak máte na výber z niekoľkých bezpečnostných otázok, nemali by ste sa pýtať na svoje obľúbené zviera alebo značku vášho automobilu, keď súčasne zverejňujete obrázky mačiek a fotografie z letnej dovolenky s autobusom VW na Facebooku. Ďalšia možnosť: Nikto vás nenúti poctivo odpovedať na bezpečnostné otázky. Ak použijete svoju obľúbenú farbu ako dievčenské meno svojej matky, bude to oveľa ťažšie napadnúť. Len pozor, aby ste sa nepomýlili.

Využite správcov hesiel

Vaša pamäť je najhorším miestom pre heslá. Pero a papier sú len o niečo lepšie - ak stratíte notu alebo ju nemáte pri sebe, zamknete sa. Namiesto toho by ste mali svoje prihlasovacie údaje zveriť správcovi hesiel. Spravujete všetky prihlasovacie informácie a synchronizujete ich medzi viacerými zariadeniami. Používateľom potom stačí, aby si pamätali centrálne hlavné heslo, aby mali prístup ku všetkým prihláseniam. Väčšina správcov hesiel môže navyše generovať náhodné heslá, ktoré sú bezpečnejšie ako frázy vyrobené sami.

Aj keď je možné tieto služby aj napadnúť, väčšina poskytovateľov šifruje údaje používateľov bezpečnými kryptografickými metódami. Digitálni útočníci potom dostávajú iba zmätené reťazce, ktoré majú malý význam. Stiftung Warentest testoval deväť správcov hesiel a štyroch z nich označil ako „odporúčateľných“.

Dvojfaktorová autentifikácia pre dôležité účty

Pre účty s dôležitými a citlivými údajmi, ako sú Facebook, Amazon alebo váš e-mailový účet, sú povinné jedinečné a skutočne bezpečné heslá. Ochranu však môžete výrazne vylepšiť, ak sa spoliehate na takzvanú dvojfaktorovú autentizáciu (2FA).

Potom je okrem hesla potrebný ešte jeden údaj pre prihlásenie. Spravidla ide o kód, ktorý dostanete na svoj smartphone. To znamená, že hackeri potrebujú nielen vaše heslo, ale aj fyzický prístup k vášmu mobilnému telefónu, ak chcú prevziať kontrolu nad vašim účtom.

Tu sa dozviete, ktoré služby 2FA ponúkajú, ako si aktivujete túto možnosť a čo ešte musíte zvážiť.

Iba heslo nestačí. Ak chcete lepšie chrániť svoje účty, mali by ste používať dvojfaktorové overenie. Čo to je a čo musia používatelia brať do úvahy.