Hlavní navigace

Měřičům síly hesla nemůžete věřit. Ani tomu od Seznamu

22. 8. 2016
Doba čtení: 3 minuty

Sdílet

 Autor: roobcio / Depositphotos.com
Známe to asi všichni: „Vaše heslo není dostatečně bezpečné“. Podle Sophosu ale podobné měřiče nedokážou slabá hesla vůbec odhalit.

Při registracích do internetových služeb se běžně setkáte s tím, že vám u vybraného hesla rovnou ukazují, jak že vlastně je či není silné. 

Už někdy v březnu 2015 bezpečnostní firma Sophos konstatovala, že těmto službám nelze věřit. Hlavním důvodem bylo to, že pro prověření kvality hesla by bylo nutné ho skutečně zkusit rozlousknout. Tedy převést do šifrované podoby a poté je z této podoby znovu získat. To je proces časově a výkonnostně náročný, takže se hesla nakonec „testují“ jinými způsoby.

Ty nejjednodušší testovací nástroje prostě hledí na počet znaků a jejich entropii. K tomu doplňují kontroly znaků, které se v heslech rozhodně nemají vyskytovat (třeba oblíbené nahrazování některých znaků jejich číselnými „ekvivalenty“). Hlídá se i to, zda jsou použita malá i velká písmena, čísla a nějaké ty speciální znaky.

Jenže většina hesel je „předvídatelná“. Uživatelé si obvykle nevolí silná a zcela náhodná hesla, ale svá oblíbená hesla, ke kterým přidávají odhadnutelné nebo stále stejné skupiny znaků. Často používají pro vytvoření hesla nějaký „klíč“. 

To ve výsledku znamená, že některá slova či kombinace se v heslech objevují častěji, stejně jako stále platí, že lidé naivně například O nahrazují 0. Ale také to, že speciální znaky se objevují hlavně na začátku či na konci hesel.

V březnu 2015 v Sophosu vyzkoušeli jquery strength meter, tedy knihovnu běžně používanou na webech, na pětici hesel, která jsou rozlousknutelná během okamžiku. Nepřekvapí, že „test“ těchto hesel ukázal nesmyslné výsledky.

Poučení o rok později? Žádné

O rok později přichází čerstvé Why you STILL can’t trust password strength meters snažící se zjistit, jestli se algoritmy na testování slabých hesel nějak zlepšily.

Testuje je na stejném vzorku nepřijatelných hesel (abc123, trustno1, ncc1701, iloveyou1 a primetime21), která lze nejenom rozlousknout mrknutím oka, ale která také figurují mezi nejpoužívanějšími hesly.

Výsledek? Test pětice testerů síly hesla dopadl prakticky stejně jako před rokem. Všechny testované testery selhaly. Ověřit si to ostatně můžete sami třeba i tak, že se vydáte na www.seznam.cz a zkusíte výše uvedená hesla použít pro založení účtu (což samozřejmě neudělal Sophos, ale autor článku):

  • abc123 Seznam spokojeně přijme s polovičním „skóre“
  • trustno1 je podle Seznamu bezpečnější, stejně jako ncc1701
  • iloveyou1 je už dokonce v zelené části
  • primetime21 je podle Seznamu 100% silné
  • a jen pro zajímavost: xyjasdaslkdj považuje za příliš slabé a moc nepomůže ani nějaké to střídání velkých písmen
  • a ještě hůře dopadnete, pokud zkusíte seznam12345, protože i toto heslo považuje za 100% bezpečné

Poučení pro uživatele

Pokud vám webová služba tvrdí, že máte slabé či silné heslo, nemůžete to brát vážně. A trváte-li na tom, že si budete hesla vytvářet sami, podívejte se například na návodné video od Sophosu:

Sophos ve videu samozřejmě upozorňuje na to, že vaše heslo nesmí být uhádnutelné. Nestačí na konec či začátek přidat nějaké číslice či symboly. Doporučují i to, aby vaše heslo bylo tak dlouhé, jak jenom může být, a také hodně komplikované tím, že opravdu použijete malá/velká písmena, číslice a symboly. 

BRAND24

Hodit se určitě bude i staré známé doporučení, že vaše heslo by se ideálně mělo skládat z několika slov, ale i tady si dejte pozor, aby to nebyla zřejmá kombinace a nebyla to slovníkově skvěle kombinovatelná a často používaná slova.

A pokud si chcete pořídit opravdu silné heslo, tak si ho opravdu nechte zcela náhodně generovat některým ze správců hesel. Stačí, když bude dostatečně dlouhé a váš správce hesel bude chráněn jedním velmi silným „master“ heslem. 

Byl pro vás článek přínosný?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).