Hlavní navigace

Měřičům síly hesla nemůžete věřit. Ani tomu od Seznamu

Daniel Dočekal 22. 8. 2016

Známe to asi všichni: „Vaše heslo není dostatečně bezpečné“. Podle Sophosu ale podobné měřiče nedokážou slabá hesla vůbec odhalit.

Při registracích do internetových služeb se běžně setkáte s tím, že vám u vybraného hesla rovnou ukazují, jak že vlastně je či není silné. 

Už někdy v březnu 2015 bezpečnostní firma Sophos konstatovala, že těmto službám nelze věřit. Hlavním důvodem bylo to, že pro prověření kvality hesla by bylo nutné ho skutečně zkusit rozlousknout. Tedy převést do šifrované podoby a poté je z této podoby znovu získat. To je proces časově a výkonnostně náročný, takže se hesla nakonec „testují“ jinými způsoby.

Ty nejjednodušší testovací nástroje prostě hledí na počet znaků a jejich entropii. K tomu doplňují kontroly znaků, které se v heslech rozhodně nemají vyskytovat (třeba oblíbené nahrazování některých znaků jejich číselnými „ekvivalenty“). Hlídá se i to, zda jsou použita malá i velká písmena, čísla a nějaké ty speciální znaky.

Jenže většina hesel je „předvídatelná“. Uživatelé si obvykle nevolí silná a zcela náhodná hesla, ale svá oblíbená hesla, ke kterým přidávají odhadnutelné nebo stále stejné skupiny znaků. Často používají pro vytvoření hesla nějaký „klíč“. 

To ve výsledku znamená, že některá slova či kombinace se v heslech objevují častěji, stejně jako stále platí, že lidé naivně například O nahrazují 0. Ale také to, že speciální znaky se objevují hlavně na začátku či na konci hesel.

V březnu 2015 v Sophosu vyzkoušeli jquery strength meter, tedy knihovnu běžně používanou na webech, na pětici hesel, která jsou rozlousknutelná během okamžiku. Nepřekvapí, že „test“ těchto hesel ukázal nesmyslné výsledky.

Poučení o rok později? Žádné

O rok později přichází čerstvé Why you STILL can’t trust password strength meters snažící se zjistit, jestli se algoritmy na testování slabých hesel nějak zlepšily.

Testuje je na stejném vzorku nepřijatelných hesel (abc123, trustno1, ncc1701, iloveyou1 a primetime21), která lze nejenom rozlousknout mrknutím oka, ale která také figurují mezi nejpoužívanějšími hesly.

Výsledek? Test pětice testerů síly hesla dopadl prakticky stejně jako před rokem. Všechny testované testery selhaly. Ověřit si to ostatně můžete sami třeba i tak, že se vydáte na www.seznam.cz a zkusíte výše uvedená hesla použít pro založení účtu (což samozřejmě neudělal Sophos, ale autor článku):

  • abc123 Seznam spokojeně přijme s polovičním „skóre“
  • trustno1 je podle Seznamu bezpečnější, stejně jako ncc1701
  • iloveyou1 je už dokonce v zelené části
  • primetime21 je podle Seznamu 100% silné
  • a jen pro zajímavost: xyjasdaslkdj považuje za příliš slabé a moc nepomůže ani nějaké to střídání velkých písmen
  • a ještě hůře dopadnete, pokud zkusíte seznam12345, protože i toto heslo považuje za 100% bezpečné

Poučení pro uživatele

Pokud vám webová služba tvrdí, že máte slabé či silné heslo, nemůžete to brát vážně. A trváte-li na tom, že si budete hesla vytvářet sami, podívejte se například na návodné video od Sophosu:

Sophos ve videu samozřejmě upozorňuje na to, že vaše heslo nesmí být uhádnutelné. Nestačí na konec či začátek přidat nějaké číslice či symboly. Doporučují i to, aby vaše heslo bylo tak dlouhé, jak jenom může být, a také hodně komplikované tím, že opravdu použijete malá/velká písmena, číslice a symboly. 

widgety

Hodit se určitě bude i staré známé doporučení, že vaše heslo by se ideálně mělo skládat z několika slov, ale i tady si dejte pozor, aby to nebyla zřejmá kombinace a nebyla to slovníkově skvěle kombinovatelná a často používaná slova.

A pokud si chcete pořídit opravdu silné heslo, tak si ho opravdu nechte zcela náhodně generovat některým ze správců hesel. Stačí, když bude dostatečně dlouhé a váš správce hesel bude chráněn jedním velmi silným „master“ heslem. 

Našli jste v článku chybu?
Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu