Hlavní navigace

Měřičům síly hesla nemůžete věřit. Ani tomu od Seznamu

Daniel Dočekal 22. 8. 2016

Známe to asi všichni: „Vaše heslo není dostatečně bezpečné“. Podle Sophosu ale podobné měřiče nedokážou slabá hesla vůbec odhalit.

Při registracích do internetových služeb se běžně setkáte s tím, že vám u vybraného hesla rovnou ukazují, jak že vlastně je či není silné. 

Už někdy v březnu 2015 bezpečnostní firma Sophos konstatovala, že těmto službám nelze věřit. Hlavním důvodem bylo to, že pro prověření kvality hesla by bylo nutné ho skutečně zkusit rozlousknout. Tedy převést do šifrované podoby a poté je z této podoby znovu získat. To je proces časově a výkonnostně náročný, takže se hesla nakonec „testují“ jinými způsoby.

Ty nejjednodušší testovací nástroje prostě hledí na počet znaků a jejich entropii. K tomu doplňují kontroly znaků, které se v heslech rozhodně nemají vyskytovat (třeba oblíbené nahrazování některých znaků jejich číselnými „ekvivalenty“). Hlídá se i to, zda jsou použita malá i velká písmena, čísla a nějaké ty speciální znaky.

Jenže většina hesel je „předvídatelná“. Uživatelé si obvykle nevolí silná a zcela náhodná hesla, ale svá oblíbená hesla, ke kterým přidávají odhadnutelné nebo stále stejné skupiny znaků. Často používají pro vytvoření hesla nějaký „klíč“. 

To ve výsledku znamená, že některá slova či kombinace se v heslech objevují častěji, stejně jako stále platí, že lidé naivně například O nahrazují 0. Ale také to, že speciální znaky se objevují hlavně na začátku či na konci hesel.

V březnu 2015 v Sophosu vyzkoušeli jquery strength meter, tedy knihovnu běžně používanou na webech, na pětici hesel, která jsou rozlousknutelná během okamžiku. Nepřekvapí, že „test“ těchto hesel ukázal nesmyslné výsledky.

Poučení o rok později? Žádné

O rok později přichází čerstvé Why you STILL can’t trust password strength meters snažící se zjistit, jestli se algoritmy na testování slabých hesel nějak zlepšily.

Testuje je na stejném vzorku nepřijatelných hesel (abc123, trustno1, ncc1701, iloveyou1 a primetime21), která lze nejenom rozlousknout mrknutím oka, ale která také figurují mezi nejpoužívanějšími hesly.

Výsledek? Test pětice testerů síly hesla dopadl prakticky stejně jako před rokem. Všechny testované testery selhaly. Ověřit si to ostatně můžete sami třeba i tak, že se vydáte na www.seznam.cz a zkusíte výše uvedená hesla použít pro založení účtu (což samozřejmě neudělal Sophos, ale autor článku):

  • abc123 Seznam spokojeně přijme s polovičním „skóre“
  • trustno1 je podle Seznamu bezpečnější, stejně jako ncc1701
  • iloveyou1 je už dokonce v zelené části
  • primetime21 je podle Seznamu 100% silné
  • a jen pro zajímavost: xyjasdaslkdj považuje za příliš slabé a moc nepomůže ani nějaké to střídání velkých písmen
  • a ještě hůře dopadnete, pokud zkusíte seznam12345, protože i toto heslo považuje za 100% bezpečné

Poučení pro uživatele

Pokud vám webová služba tvrdí, že máte slabé či silné heslo, nemůžete to brát vážně. A trváte-li na tom, že si budete hesla vytvářet sami, podívejte se například na návodné video od Sophosu:

Sophos ve videu samozřejmě upozorňuje na to, že vaše heslo nesmí být uhádnutelné. Nestačí na konec či začátek přidat nějaké číslice či symboly. Doporučují i to, aby vaše heslo bylo tak dlouhé, jak jenom může být, a také hodně komplikované tím, že opravdu použijete malá/velká písmena, číslice a symboly. 

Hodit se určitě bude i staré známé doporučení, že vaše heslo by se ideálně mělo skládat z několika slov, ale i tady si dejte pozor, aby to nebyla zřejmá kombinace a nebyla to slovníkově skvěle kombinovatelná a často používaná slova.

A pokud si chcete pořídit opravdu silné heslo, tak si ho opravdu nechte zcela náhodně generovat některým ze správců hesel. Stačí, když bude dostatečně dlouhé a váš správce hesel bude chráněn jedním velmi silným „master“ heslem. 

Našli jste v článku chybu?

22. 8. 2016 10:05

Jsem toho názoru, že heslo, které bez KeePassu apod. nezadáte, stojí zavyližprdel úplně stejně jako jakékoli jiné uhodnutelné heslo, protože ke všem je přístup přes jedno jediné heslo - heslo ke správci hesel.
Bohužel vládní mamrdi, co schvalují kreténštiny typu zákon o kybernetické bezpečnosti, tomuhle stavu jen nahrávají. Zrovna teď v naší firmě řešíme zabezpečení některých platforem podle tohoto zákona (což už mimochodem mělo být) a má to dva efekty: kurevsky to komplikuje práci a vůbec nic t…

22. 8. 2016 10:16

Petr (neregistrovaný)

Co mě vytáčí je omezení hesla ať už na délku nebo použité znaky, které není při zadávání vidět. Registroval jsem se zrovna nedávno u jednoho virt. operátora, reg. ok, ale nešlo se přihlásit. Dám že jsem zapomněl heslo a přišlo mi mailem zpět původní! Ukládat plaintext, to jsem myslel, že nedělá už snad nikdo. Každopádně moje heslo přišlo zpět o 1 znak kratší, takže klidně heslo usekli na max. délku (btw 19zn) a vůbec nedali při zakládání vědět, že 20 je moc (i když nechápu proč).

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání