Heslo ako prvá možnosť ochrany
07.05.2020
Andrea Garajová, Manažér kvality a interných procesov, ANASOFT
Vedeli ste, že každých 39 sekúnd prebehne hackerský útok, že za jedinú minútu sa ukradne viac ako 2600 osobných záznamov, a že kyberzločinci získavajú viac peňazí ako z obchodu s drogami?
Svetový deň hesiel - čas pre upratanie v heslách
Svetový deň hesiel možno nepatrí medzi najpopulárnejšie, no určite by mal patriť medzi dôležité dátumy v našich kalendároch.
Prečo? Opäť nám pripomína, že dostatočne silné heslo nás môže ochrániť pred prístupom k citlivým dátam, pred krádežou internetovej identity, či pred krádežou peňazí. V tento deň by sme sa mali zamerať na „malé“ upratovanie hesiel k našim účtom; kde sme ich dlho nezmenili – zmeniť a kde máme nastavené slabé heslá – zvýšiť ich bezpečnosť zadaním zložitejšieho hesla.
Ako mať bezpečné heslo
Pri tvorbe bezpečného hesla by ste sa mali vyhnúť všetkému, čo znižuje celkovo unikátnosť a bezpečnosť samotného hesla.
čomu sa vyhnúť
- heslo neopakujte vo viacerých službách/kontách (v žiadnom prípade nepoužívajte heslo do doménového účtu nikam inam, vyhnite sa používaniu rovnakých hesiel do e-mailových účtov, sociálnych sietí a pod.),
- staré heslá opätovne nepoužívajte po určitom čase (nenastavím si heslo „jožkomrkvička123“ každé 3 roky, lebo mi to systém umožňuje),
- heslo by sa nemalo skladať z mien (našich, príbuzných, zvierat), dátumov (napr. výročia, dátumy narodenia) alebo názvov iných vecí, ktoré máte/mali ste zverejnené na sociálnych sieťach (Facebook, Instagram a pod.).
Silné heslo musí byť unikátne a primerane zložité
Podstatou je kombinácia:
- malých a veľkých písmen
- špeciálnych znakov
- číslic
- a nakoniec aj dostatočne dlhé – min. 8 a viac znakov, ideálne by malo obsahovať až 16 znakov !
ako môže vyzerať silné heslo
Napríklad takto: QcSCTC#zrKk47PRU, ZY!RAdsmXvNrkvYd, RzmST5@LysRKMRqx...
TOP 10 najpoužívanejších hesiel
Napriek všetkým odporúčaniam IT odborníkov zostávajú aj naďalej podľa nedávnych prieskumov medzi TOP 10 najpoužívanejšími heslami:
- 123456
- 123456789
- qwerty
- password
- 1234567
- 12345678
- 12345
- iloveyou
- 111111
- 123123
Vyššia úroveň zabezpečenia - password manažér
Medzi ďalšie odporúčané riešenia, ktoré zvýšia úroveň bezpečnosti hesla, patrí použitie password manažéra (aplikácie), ktorý odbremení používateľa od toho, aby si musel heslá pamätať a dokonca aj vymýšľať. Takáto aplikácia toto všetko spraví za používateľa. Jediné, čo si budete musieť nastaviť, je jedno heslo a tým je master password. Password manažéra však neodporúčame používať na zapisovanie prihlasovacích údajov do bankových inštitúcií.
Zabudovaných „password manažérov“ majú aj samotné webové prehliadače ako Chrome či Firefox, no bezpečnosť samotného úložiska a prístup týchto spoločností k nemu zostávajú neznámou.
VYŠŠIA ÚROVEŇ ZABEZPEČENIA - použitie dvojfaktorovej autentizácie (2FA)
Použitie dvojfaktorovej autentizácie (2FA), ktorá sa skladá z jedinečného hesla, jedinečného používateľského mena a ďalšieho bezpečnostného prvku ako napr. overovacieho kódu (SMS, email, softvérové aplikácie, hardvérový token). Tu je potrebné poznamenať, že 2FA prostredníctvom SMS je menej bezpečná kvôli tzv. „SIM swap-u“. Odporúča sa použiť radšej aplikácie ako Authy, Google Authenticator alebo Microsoft Authenticator, či použiť samotný hardvérový token.
VYŠŠIA ÚROVEŇ ZABEZPEČENIA - použitie viacfaktorovej autentizácie (MFA)
Použitie viacfaktorovej autentizácie (MFA) je metóda ochrany prístupu k systému (napr. webu či informačnému systému), založená na kombinácii zabezpečenia v troch oblastiach (takzvaných "faktoroch"):
- Znalosť - niečo, čo používateľ pozná alebo vie (meno a heslo)
- Vlastníctvo - niečo, čo používateľ vlastní (hardvérový token, aplikácia v mobile)
- Biometria - niečo, čo predstavuje samotného používateľa - čím používateľ sám je (napr. odtlačok prsta, face recognition a pod.)
MFA zabezpečuje veľmi vysokú úroveň bezpečnosti, pretože ak aj získa útočník prihlasovacie meno a heslo, stále musí získať prístup k niečomu, čo používateľ aj má, resp. k biometrii a k tej sa už len tak ľahko nedostane.
Buďte proaktívny a nečakajte na útok
Na záver treba podotknúť, že ak sa jedná o bezpečnosť hesiel, najlepšou ochranou je byť proaktívny – mať nastavené čo najsilnejšie heslá, používať MFA alebo minimálne 2FA, a tiež mať vedomosť o tom, či sa náhodou vaše prihlasovacie údaje spolu s heslami nenachádzajú niekde v hlbinách darkwebu.
Ak si chcete byť istí, či už náhodou nebol váš účet hacknutý a heslo prezradené, overíte si to jednoducho na https://haveibeenpwned.com/.
Na druhej strane ani to najsilnejšie heslo vás neochráni, ak svoje prihlasovacie údaje zadáte na podvodnej stránke, kliknete na podvodnú linku, či stiahnete z e-mailu nebezpečný súbor.
Zopár zaujímavostí z dostupných štatistík o útokoch na heslá
- Až 68% black hat hackerov priznalo, že najväčším problémom pri získavaní dát je MFA a šifrovanie.(Thycotic)
- 57% spoločností celosvetovo používa MFA, čo je 12% zvýšenie oproti roku 2018, pričom až 95% zamestnancov používajúcich MFA na to používa mobilnú app a iba 1% biometriu. MFA používajú predovšetkým veľké spoločnosti, ktoré majú od 1 tis. až po viac než 10 tis. zamestnancov. Iba 41-44% malých a stredných firiem využíva MFA, pričom je zaujímavý fakt, že až 43% kybernetických útokov je zameraných práve na tieto typy spoločností. (Report z lastpass, vzorka 47 tis. spoločností)
- Zo zistení vyplýva, že zamestnanci použijú opätovne staré heslá priemerne až 13-krát – pričom táto pravdepodobnosť je vyššia u spoločností, ktoré majú menej ako 1 tis. zamestnancov a u IT firiem je opätovné nastavenie starého hesla v priemere dokonca až 15-krát. (Report z lastpass, vzorka 47 tis. spoločností)
- V roku 2018 hackeri ukradli pol milióna osobných záznamov, čo oproti roku 2017 predstavuje 126% nárast. Celkovo bolo od roku 2013 ukradnutých približne 3,81 mil. záznamov prostredníctvom únikov každý deň, čo predstavuje viac ako 158 000 za hodinu a vyše 2600 za minútu. (Reports Cybersecurity Ventures).
- Každých 39 sekúnd prebehne hackerský útok. (Security magazine)
- Kyber zločin je oveľa viac profitabilný, než svetový ilegálny obchod s drogami. V roku 2018 kyberzločinci získali celkovo okolo $600 miliárd, čo je o $200 miliárd viac než z obchodu s ilegálnymi drogami. (Cybersecurity Ventures)
- 73% black hat hackerov potvrdilo, že tradičné firewally a antivírusová ochrana je irelevantná, nakoľko samotní ľudia a ich neobozretné správanie sa sú najviac zodpovedné za väčšinu bezpečnostných únikov dát. (Thycotic.com)
- Na dark webe je možné si kúpiť používateľský účet za $1, bankové účty sú o čosi drahšie a to medzi $3 - $24 a netflix účet za cca $1.25. (RSA)
- Až 32% black hat hackerov priznalo, že sa sústreďujú predovšetkým na získanie privilegovaných účtov, čo môže byť ľahko dostupné napr. použitím phishingového útoku. (Thycotic)
- K marcu 2019 sa odhaduje, že bolo celosvetovo zneužitých alebo odcudzených viac než 14 miliárd dát, z čoho iba 4% predstavovali „bezpečné“ úniky – t.j. dáta boli šifrované. (Breach Level Index)