Jak často byste měli měnit hesla?

V posledních několika letech se hodně mluví o mo6nosti ověřování bez hesla. Díky téměř všudypřítomným smartphonům s možností rozpoznávání obličeje je nyní možnost přihlásit se do oblíbených aplikací nebo jiných služeb pohledem do zařízení (nebo jiným způsobem biometrické autentizace – pomocí snímače otisků prstů) pro mnohé osvěžující jednoduchou a bezpečnou realitou. Stále to však není pravidlem, zejména ve světě počítačů, kde se mnozí z nás stále spoléhají na stará dobrá hesla.

Právě v tom spočívá problém - hesla totiž zůstávají hlavním cílem podvodníků a dalších aktérů hrozeb. Jak často bychom tedy měli tyto přihlašovací údaje měnit, abychom je udrželi v bezpečí? Odpověď na tuto otázku může být složitější, než si myslíte.

Je nutná pravidelná změna hesel?

Ještě nedávno se doporučovalo hesla pravidelně střídat, aby se snížilo riziko skryté krádeže nebo prolomení. Obecně se doporučovalo, že má být obměněno jednou za 30 až 90 dní. Časy se však mění a výzkumy naznačují, že časté změny hesel, zejména podle stanoveného harmonogramu, nemusí nutně zlepšit zabezpečení účtu. 

Jinými slovy, neexistuje univerzální odpověď na otázku, kdy byste měli heslo (hesla) změnit. Mnoho z nás má navíc příliš mnoho online účtů na to, aby je šlo sledovat a u každého jednou za několik měsíců vymyslet a změnit heslo (za silné a jedinečné). Také žijeme v době světě správců hesel a dvoufaktorového ověřování (2FA).

V každém případě existuje několik pádných důvodů, proč bezpečnostní experti a celosvětově uznávané autority, jako je americký Národní institut pro standardy a technologie (NIST) a britské Národní centrum kybernetické bezpečnosti (NCSC), nedoporučují, aby byli uživatelé nuceni měnit pravidelně svá hesla.

Důvody jsou poměrně prosté:

• Podle NIST: "Uživatelé mají tendenci volit slabší a snadno zapamatovaná hesla, pokud vědí, že je budou muset v blízké budoucnosti zase změnit."
• "Když k těmto změnám dojde, často si zvolí heslo, které je podobné jejich starému a snadno zapamatovanému heslu, a to za použitím nějaké běžné transformace, jako je například zvýšení čísla v hesle," pokračuje NIST.
• Tato praxe poskytuje falešný pocit bezpečí, protože pokud bylo předchozí heslo prolomeno a vy ho nenahradíte silným a jedinečným, útočníci ho mohou snadno znovu prolomit.
• U nových hesel, zejména pokud jsou vytvářena každých několik měsíců, je větší pravděpodobnost, že si je uživatel někam zapíše, nebo že je zapomene.
   

"Je to jeden z těch protichůdných bezpečnostních scénářů: čím častěji jsou uživatelé nuceni měnit hesla, tím větší je celková zranitelnost vůči útokům. Ukazuje se, že to, co se zdálo být naprosto rozumnou a dlouhodobě zavedenou radou, neobstojí při důkladné analýze celého systému," tvrdí NCSC.

"NCSC nyní doporučuje, aby organizace nevynucovaly pravidelnou obměnu hesel. Domníváme se, že to snižuje zranitelnosti spojené s pravidelným vypršením platnosti hesel a zároveň se jen o málo zvyšuje riziko dlouhodobého zneužití hesla."
 

Kdy heslo určitě změnit

Existuje však několik scénářů, které vyžadují změnu hesla, zejména u vašich nejdůležitějších účtů. Patří mezi ně:

• Vaše heslo bylo zachyceno při úniku dat třetí stranou. Pravděpodobně vás o tom bude informovat sám poskytovatel služby. 
• Případně se můžete přihlásit k odběru upozornění na službách, jako je Have I Been Pwned, nebo vás může upozornit poskytovatel správce hesel, který provádí automatické kontroly na darkwebu.
• Vaše heslo je slabé a snadno uhodnutelné nebo prolomitelné (tj. mohlo se objevit na seznamu nejčastějších hesel). Hackeři mohou pomocí nástrojů zkoušet běžná hesla na více účtech v naději, že jedno z nich bude fungovat - a nejčastěji se jim to podaří.
• Heslo jste opakovaně používali u více účtů. Pokud dojde k prolomení některého z těchto účtů, mohou aktéři hrozeb použít automatizovaný software "credential stuffing" k odemčení vašeho účtu na jiných webech/aplikacích.
• Právě jste se například díky novému bezpečnostnímu softwaru dozvěděli, že vaše zařízení bylo napadeno malwarem.
• Sdíleli jste své heslo s jinou osobou.
• Právě jste odstranili osoby ze sdíleného účtu (např. bývalé spolubydlící).
• Přihlásili jste se na veřejném počítači (např. v knihovně) nebo na zařízení/počítači jiné osoby.
   

Osvědčené postupy při zadávání hesel

Abyste minimalizovali pravděpodobnost převzetí účtu, zvažte následující:

• Vždy používejte silná, dlouhá a jedinečná hesla.
• Výše uvedená hesla ukládejte do správce hesel, který bude mít jediný hlavní přístupový údaj a dokáže automaticky vyvolat všechna vaše hesla k jakémukoli webu nebo aplikaci.
• Sledujte upozornění na prolomení hesla a po jejich obdržení okamžitě jednejte.
• Zapněte funkci 2FA (dvoufaktorová autentizace), kdykoli je k dispozici, abyste svému účtu poskytli další úroveň zabezpečení.
• Zvažte použití přístupových klíčů, pokud jsou nabízeny, pro bezproblémový bezpečný přístup k účtům pomocí telefonu.
   

• Zvažte pravidelné audity hesel: zkontrolujte hesla všech svých účtů a ujistěte se, že nejsou duplicitní nebo snadno uhodnutelná.
• Změňte všechna, která jsou slabá nebo se opakují, nebo ta, která mohou obsahovat osobní údaje, jako jsou narozeniny nebo jména domácích mazlíčků.
• Neukládejte hesla do prohlížeče, i když se to zdá jako dobrý nápad. Prohlížeče jsou totiž oblíbeným cílem aktérů hrozeb, kteří mohou k získání vašich hesel použít malware k odcizení informací. Také by vaše uložená hesla vystavil komukoli jinému, kdo používá vaše zařízení/počítač.
   

Zdroj: ESET