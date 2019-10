Vytvoříte silné heslo, horko těžko si ho zapamatujete, a když už to dokážete, tak je na čase ho změnit. Tak si vytvoříte nějaké o fous horší, ale jednodušší na zapamatování. A příště zas a pak zas a zas. A ve finále máte hesla třeba PepaLeto19, PepaPod­zim19, PepaZima19, PepaJa­ro20. Tím jste zcela úspěšně podminovali veškerou snahu zlepšit zabezpečení. Se správcem hesel je to pochopitelně o něco jednodušší, hesla si nemusíte pamatovat, ale v takovém případě je změna jednou za čtvrt roku v podstatě zbytečná.

Zabezpečení na úkor použitelnosti jde na úkor bezpečnosti. (Security at the expense of usability, comes at the expense of security.) Jeho autorem je Avi Douglen a je známé jako AviD's Rule of Usability .

Mít silná hesla a pravidelně je měnit je něco, co nejde dodržet. Každé heslo zcela jiné a napsané v notýsku (ne na monitoru nebo klávesnici), nebo ještě lépe ve správci hesel, a místo hesel aspoň věty, to vám pomůže mnohem víc. A přesně tady, a nejen tady, se uplatní v titulku zmíněné pravidlo:

„Všichni bez výjimky by však měli dodržovat alespoň tři zásadní pravidla. Tím prvním je mít všechna zařízení – a tedy i mobilní telefony – řádně zabezpečená kvalitním a aktualizovaným antivirovým programem. Zadruhé je potřeba mít silná hesla a pravidelně je měnit – ať už ta od zařízení, účtů, ale třeba i od karet. A zatřetí je nutné být na internetu stále v pozoru. Znamená to například neotevírat podezřelé e-maily a přílohy od neznámých adresátů,“ upozorňuje Hládek v článku na Seznamu .

Podle webu Have I Been Pwned se heslo Sppo v únicích dat již vyskytovalo 19×

Pravidelně měnit PIN? To je zcela určitě řešení problému někdo mi vokopíroval kartu na bankomatu a nahrál si moje PIN při zadávání a teď bude čekat než si ho za měsíc změním aby pak při pokusu o výběr mu ten původní PIN nešel a řekl si „himl hergot, donr vetr, krucajs, element, zas na mě vyzráli a stihli si to změnit dřív než jsem to zkusil“ Jen škoda, že kopírovači karet nejsou moc flákači. A to víte, že PIN je zkratka z Post-It Note? Nevíte, protože není, ale mnohé by to vysvětlovalo.

Neotvírat podezřelé e-maily? Jak poznám, že je podezřelý, když ho neotevřu? Neotvírat přílohy od neznámých adresátů? Pokud chcete sabotovat ekonomiku nebo slyšet šéfa si stěžovat svému šéfovi, že neděláte svou práci, tak s chutí do toho. Taky to vůbec neřeší situace, kdy viry rozesílají (nevědomky) vaši přátelé.

A pak se Česká bankovní asociace diví, že jejich poučky lidi vesele ignorují dál. Buď se nedají dodržet, nebo jsou k ničemu. Nebo obojí. Co se týká doporučení k počítačové bezpečnosti a bezpečnosti na internetu, prosím, radami asociace se neřiďte. Jsou to doporučení převážně vycucaná z prstu, a ne z dat.

Studio Nope

Tomáš Hládek v rozhovoru v České televizi pak dále doporučuje třeba tyhle lahůdky s datem spotřebujte do dávno v minulosti:

Doporučení je, aby to heslo bylo několikrát za rok vyměněno.

To je staré doporučení. Už pár let neplatí.

Mít silné heslo je kombinací malých, velkých písmen, čísílek, znaků.

Silné heslo je unikátní heslo, nepoužité nikde jinde. Nemělo by být ani podobné ostatním mým heslům. A jestli máte v heslu nějaká čísílka a znaky, to je méně důležité. S vytvářením i pamatováním hesel vám pomůže nějaký důvěryhodný správce hesel, můj oblíbený je 1Password.

A když vám někdo ovládne počítač, tak ví, kde hledat uložená hesla. (O ukládání hesel v browserech)

Když už mi někdo počítač nějak ovládne, tak si může počkat, až to heslo napíšu, aniž bych je měl někde uložená. Tahle situace nemá mnoho řešení, pokud vůbec nějaké. Viz první z Deseti neměnných zákonů počítačové bezpečnosti: Pokud vás mizera dokáže přesvědčit, abyste spustili jeho program ve vašem počítači, už to není pouze váš počítač.

To S v HTTPS znamená Secure, takže víte, že jde o někoho, kdo je opravdu nějakým způsobem registrován, ví se, co je to za provozovatele, a že dodržuje nějaká pravidla bezpečnosti na té síti.

Ne. Ne, ne, nene. NEEEEEEEE. Tohle je strašně špatná a nebezpečná rada… https:// na začátku webové adresy neznamená ani jedno z toho. (A to ani když vám prohlížeč ukáže nějaký název firmy.) Znamená to jen to, že spojení je nějak šifrované. Přijďte na mé školení HTTPS, já vám to tam vysvětlím a ukážu. Prohlížeče nápis https:// a zámečky postupně skrývají a tohle je jen potvrzením toho, že to je dobrý nápad – ani odborní poradci neví, co znamená ten zámeček a https:// .

Když vidíte nějaký e-shop, u kterého vidíte, že patříte mezi první uživatele…

No a proto jsou na těch fejkových e-shopech i fejková hodnocení, aby působily důvěryhodněji.

Přiznávám, že bych v životě nezadával údaje na otevřené Wi-Fi, protože nikdy nevíte, kdo sedí o místnost vedle a kdo vidí, co zadáváte a vidíte na vaší obrazovce. Lze odpozorovat, co se na síti snažíte dělat.

Umm, ne. Pokud banka nedokáže zajistit, aby se tohle nestalo, tak to nedokáže zajistit ani na „neotevřené“ Wi-Fi a jako lidstvo to můžeme na internetu celý zabalit. A to říkám i přesto (a možná právě proto), že již nějaký ten pátek problémy veřejných sítí a nešifrované komunikace demonstruji na přednáškách (i návštěvnících).

Rozbolela mě tak strašně hlava, že jsem ani nedokázal přidat mnoho relevantních zdrojů a seriózních obrázků. Sorry.

Novináři, prosím, pokud někdy budete chtít vědět něco o heslech, něco vysvětlit, nebo se třeba jen zeptat na něco u „introvertního piva“ (já si doma jedno otevřu a vy u sebe doma taky), tak dejte vědět. Jsem tu pro vás ve dne v noci. A spíš teda v noci. Díky, že už příště podobné nebezpečné věci nebudete šířit.