Internet sa mení a starší čitatelia nám možnože dajú za pravdu.
Ak ste používali internet pred 15 rokmi, pravdepodobne ste mali jednu emailovú schránku a pár účtov na diskusných fórach. Dnes má väčšina aktívnejších používateľov internetu desiatky účtov, avšak zlozvyky z minulosti pretrvávajú. Aké zlozvyky máme na mysli?
Minimálne ten najčastejší – jednoduché heslo na všetkých používateľských účtoch. V roku 2000 to možnože stačilo, avšak dnes je situácia iná. Výpočtový výkon je oveľa vyšší, a tak sa útočníkom jednoduchšie prelamujú heslá pomocou tzv. hrubej sily. Inak povedané, zástup grafických kariet skúša všetky kombinácie hesiel, až kým neuhádne to správne.
Druhým problémom je, že aj keď útočníci nechcú uhádnuť práve vaše heslo, je možné, že už k nemu majú prístup. Za posledné roky sa totiž objavilo množstvo útokov, keď útočníci odcudzili celú databázu používateľov aj s heslami. V závislosti od zabezpečenia danej stránky je možné, že získali nešifrované údaje, takže nemali ani ďalšie starosti s dešifrovaním údajov. A v takomto prípade, ak používate všade rovnakú kombináciu meno / heslo, máte potenciálny problém.
Internetom koluje viacero databáz emailových adries a hesiel. Len nedávno naň unikla kolekcia 773 miliónov unikátnych adries aj s heslami. Či unikli aj údaje, ktoré súvisia s vašou emailovou adresou, si môžete skontrolovať na webe Have I Been Pwned. Ten vám z bezpečnostných dôvodov nepovie, ktorá konkrétna kombinácia vašej adresy a hesla koluje internetom, avšak aspoň zistíte, na čom ste.
Nechceme vás však strašiť. Nebudeme vám hovoriť, že ak sa nebudete riadiť našimi tipmi, do týždňa vám hacknú niektorý z účtov alebo rovno všetky. Nie, to by sme zavádzali. A je veľmi pravdepodobné, že aj keď budete naďalej používať jedno heslo vo všetkých službách, a to heslo je jednoducho prelomiteľné, nič sa vám nestane. Popravde, je pomerne malá šanca, že by mal niekto potrebu sa prihlásiť práve do vášho používateľského účtu, pokiaľ teda nie ste nejaká známa osobnosť.
S ochranou používateľských kont je to však ako s poistením. Nikto vás do toho nenúti, avšak je dobré mať poistenie pre prípad, že ho niekedy budete potrebovať. Rovnako je dobré si lepšie chrániť používateľské konto pre prípad, že by sa doň chcel niekto nepovolaný niekedy dostať. A na rozdiel od poistenia, za lepšiu ochranu používateľských kont nič neplatíte.
Vytvorte si komplexné heslo
Rada číslo 1. Ak máte jednoduché heslo, zmeňte si ho na trochu komplexnejšie. Pod pojmom jednoduché heslo máme na mysli heslá typu „heslo“, „12345“, „futbal“ atď. Komplexné heslo nemusí byť iba kombinácia divných znakov, ktoré nedávajú zmysel. S trochou kreativity si vytvoríte komplexné heslo, ktoré sa dá pomerne jednoducho zapamätať.
Našou výhodou je, že slovenčina nie je globálny jazyk ako angličtina a teda základom hesla môže byť slovenské slovo. Napr. žriebätko. V mierne komplexnejšom prevedení by mohlo heslo vyzerať takto „?1zriebatko1?“ alebo keby sme ho chceli dotiahnuť do dokonalosti, spravíme z neho heslo „?987Zr1ebAtk0!789“. Uznávame, že toto heslo je už pomerne ťažko zapamätateľné, takže si treba nájsť niečo medzi, čo si ešte budete vedieť pamätať. Kombinácia rýdzo slovenského slova, nejakého čísla, znaku a malého / veľkého písmena je však dobrý základ, ako si vytvoriť komplexné heslo.
Vymýšľanie hesiel nepodceňujte. Mali by byť komplexné, avšak nie pre vás nezapamätateľné
Používajte v každej službe unikátne heslo
Človek si zapamätá aj skutočne komplexné heslo. Problémom je rada číslo 2, ktorá tvrdí, že by ste mali mať pre každú službu unikátne heslo. Aby sa nestalo, že unikne databáza prihlasovacích údajov a útočníci sa vďaka týmto údajom budú môcť prihlásiť do každej ďalšej služby, ktorú používate.
Je jasné, že desiatky komplexných hesiel nikto nebude držať v hlave. Dobrým riešením, ako túto radu dodržiavať, je používať tzv. správcov hesiel. Ide o programy, do ktorých si ukladáte vaše heslá pre jednotlivé služby. My v redakcii už takmer 5 rokov používame české riešenie Sticky Password a sme spokojní. Do pozornosti dávame aj ďalšie známe programy ako LastPass alebo True Key. Správcovia hesiel okrem ukladania hesiel uľahčujú aj ich vkladanie na webové stránky a takisto podporujú synchronizáciu cez cloud alebo iným spôsobom, takže máte svoju databázu vždy poruke. Pri používaní týchto programov postačí, ak si zapamätáte jedno vami vytvorené skutočne komplexné heslo pre prístup do služby.
Ako si zapamätať desiatky komplexných hesiel? Vyskúšajte Správcov hesiel
Pokiaľ z nejakého dôvodu nechcete používať správcov hesiel, riešením môže byť kombinácia niekoľkých emailových adries a hesiel, ktoré si dokážete zapamätať. Povedzme, že vo veľkých a dôležitých službách typu Google alebo Facebook budete používať vašu primárnu emailovú adresu a pokročilé heslo, ktoré môžete aplikovať aj s malou a ľahko zapamätateľnou obmenou. Napr. na konci alebo na začiatku hesla dáte písmeno, ktoré označuje službu – v prípade nášho modelového jednoduchého hesla by ste na Facebooku použili heslo „?1zriebatko1?F“ a na Googli „?1zriebatko1?G“.
V prípade diskusných fór a menej dôležitých služieb však budete používať úplne iný email, ktorý bude vytvorený len pre tento účel a aj iné heslo. Nie vždy to platí, ale menšie služby sú väčšinou zraniteľnejšie. Pointa je, že keď niekto získa databázu z malého fóra, aby nemohol použiť tú istú kombináciu meno / heslo pre prístup k vašej primárnej emailovej schránke alebo na Facebook.
Využite verifikáciu v dvoch krokoch všade, kde je to možné
Ak viete, čo je verifikácia v dvoch krokoch, dúfame, že ju aj používate. Ak sa s týmto pojmom stretávate teraz prvýkrát, je na čase to zmeniť. Verifikácia v dvoch krokoch vychádza z jednoduchej myšlienky, ktorá tvrdí, že heslá dnes neposkytujú dostatočné zabezpečenie používateľských účtov. Verifikácia v dvoch krokoch je teda určitá forma nadstavby, pretože sa okrem hesla prihlasujete aj v druhom kroku. Obvykle ide o zadanie číselného kódu, ktorý má krátku platnosť, povedzme 30 sekúnd.
Koncept tejto formy zabezpečenia teda spočíva v tom, že aj keď niekto vie kombináciu meno / heslo, do vášho účtu sa neprihlási, pretože ho zastaví práve druhý krok overenia.
Túto formu zabezpečenia dnes podporujú prakticky všetky veľké spoločnosti a služby. Google, Microsoft, Apple, Facebook, WhatsApp, Dropbox, TeamViewer, herné služby Steam, Battle.Net, Origin od EA, Uplay, Sony PlayStation a ďalšie. Verifikáciou v dvoch krokoch si môžete chrániť aj väčšinu správcov hesiel, takže pokiaľ ste v rámci rady číslo 2 odmietli tieto programy kvôli zabezpečeniu, netreba sa báť. Napr. Sticky Password sme si nastavili tak, aby sme každé pridanie nového zariadenia museli potvrdiť číselným kódom z emailu a každé prihlásenie potvrdili číselným kódom z mobilnej aplikácie.
Verifikácia v dvoch krokoch je dnes najlepším spôsobom, ako si zlepšiť zabezpečenie účtu
Verifikáciu v dvoch krokoch si môžete jednoducho aktivovať pre každú zo spomenutých služieb. Je potrebné sa dostať do nastavenia vášho konta a hľadať ponuku zabezpečenie. V rámci nej nájdete aj možnosť aktivovať verifikáciu v dvoch krokoch.
Väčšina služieb využíva štandard TOTP, takže nastavenie verifikácie v dvoch krokoch prebieha tak, že si stiahnete do telefónu aplikáciu Google Authenticator alebo jej alternatívu Authy, ktorú používame aj my. Následne je potrebné telefónom naskenovať QR kód, ktorý sa zobrazí v nastaveniach služby, aby sa účet spároval s vašou aplikáciou. Spárovanie overíte zadaním číselného kódu a keď je všetko v poriadku, vždy pri ďalšom prihlásení budete potvrdzovať heslo kódom z aplikácie. Uznávame, proces prihlasovania je kvôli tomu o niečo dlhší a menej pohodlný, avšak váš účet je bezpečnejší.
Apple ako inak využíva vlastný systém na verifikáciu v dvoch krokoch, ktorý je zabudovaný priamo v systéme iOS. Netreba sťahovať žiadnu aplikáciu, priamo v iOS zariadení sa zobrazí notifikácia s číselným kódom. Vlastné riešenie majú aj služby STEAM a Battle.Net. Tie vyžadujú inštaláciu ďalších aplikácií.
V prípade Google služieb a Facebooku je možné potvrdiť prihlásenie viacerými spôsobmi. Okrem číselného kódu z aplikácie vám Google najnovšie pošle aj notifikáciu na dôveryhodné zariadenie (iPhone alebo Android) a prihlásenie tak môžete potvrdiť ťuknutím na položku Áno priamo v notifikácii. Rovnako to funguje aj v prípade Facebooku, avšak iba v aplikácii pre Android.
Každopádne, z času na čas si skontrolujte nastavenia svojich používateľských účtov. A odporúčame si podrobne pozrieť najmä nastavenia zabezpečenia a možnosti verifikácie v dvoch krokoch. Nastavenia zabezpečenia takisto obsahujú informácie o nedávnej aktivite, čo je tiež dobré z času na čas skontrolovať, či v zozname nenájdete niečo podozrivé.
Z času na čas si skontrolujte nastavenia vašich používateľských účtov. Pozornosť venujte najmä zabezpečeniu. Mnohé veľké služby umožňujú aktivovať verifikáciu v dvoch krokoch a skontrolovať nedávnu činnosť
Verdikt
Ako si ochrániť používateľské kontá? Základom sú tri jednoduché rady, o ktorých sa možnože ľahšie píše, ako sa podľa nich riadi. Faktom je, že v redakcii tieto rady dodržiavame už niekoľko rokov, minimálne autor článku 🙂 . Je veľmi pravdepodobné, že na Slovensku je prevažná väčšina používateľov, ktorí o týchto radách možnože ani nepočuli a doteraz nemali problém s tým, že by sa im niekto nepovolaný dostal do účtu. Ako sa však hovorí, človek nikdy nevie a proaktívna ochrana je zvyčajne lepšia ako riešenie problému až po jeho vzniknutí.
Okrem uvedených rád odporúčame aj všeobecné rady, ktoré súvisia s bezpečným používaním počítačov všeobecne – pravidelne si aktualizujte operačný systém aj používané programy, používajte nejaké bezpečnostné riešenie, ako je ESET Smart Security a pri inštalácii doplnkov webových prehliadačov alebo aplikácií si nezabudnite skontrolovať, odkiaľ ich sťahujete.
Tento článok vyšiel aj v tlačenom marcovom vydaní TOUCHIT č. 3/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.
Prečítajte si aj:
Internetom koluje databáza 773 miliónov emailových adries a hesiel. Ako sa chrániť?
