Odporúčam používať aplikáciu, ktorá dokáže používateľovi uložiť celé zoznamy hesiel a takýto zoznam chráni nielen ďalším heslom, ale aj šifrovaním. Takáto aplikácia sa nazýva manažér hesiel (password manager v angličtine).
Pri ich výbere si treba dať pozor na podvody a hľadať nezávisle overené značky, ktoré majú dobrú povesť a overenú bezpečnosť – príkladmi sú Sticky Password, KeePass či LastPass. Niektoré operačné systémy majú password manažér už v sebe zabudovaný – Keychain na MacOS.
Sticky Password
Sticky Password je bezpečný správca hesiel a digitálny peňaženka. Pomáha pri automatickom vyplňovaní webových formulárov. Uložené heslá a ďalšie citlivé údaje zašifruje priamo v telefóne pomocou algoritmu AES-256. Stačí keď si budete púamätať jedno heslo teda to, ktorým budete aplikáciu odomykať. Odomykanie sa dá nastaviť aj pomocou odtlačku prsta alebo klasického PIN kódu. K zašifrovaným dátam máte prístup, aj pokiaľ nie ste na internete.
Funkcie:
- správca hesiel: pamätá si všetky vaše prihlasovacie mená a heslá. Vie ich za vás sám vyplniť. Stačí si pamätať len jedno heslo, ktorým budete aplikáciu odomykať. Odomknutie sa dá nastaviť aj pomocou odtlačku prsta alebo klasickým PIN kódom. K zašifrovaným dátam máte prístup aj pokiaľ nie ste pripojený k internetu.
- generátor hesiel: vie generovať veľmi silné a unikátne, neprelomiteľné heslá. Dokáže tiež identifikovať a označiť slabé, zastaralé (t.j. dlhú dobu nemenené) a opakovane použité heslá u uložených účtov.
- digitálna peňaženka: uloží čísla vašich kreditných a platobných kariet. Budete ich mať vždy po ruke a v bezpečí.
- bezpečné poznámky: bezpečne uložíľubovoľnú textovú poznámku a zašifruje ju pomocou AES-256. Táto funkcia sa dá poučiť napr na: číslo OP, pasu, softverové licencie…. teda akýkoľvek privátny text. Následne viete mať všetky tieto zašifrované údaje neustále pri sebe na svojom PC, mobile alebo tablete.
- bezpečné zdieľanie hesiel: Prideľujte prístup k školským, firemným, tímovým alebo rodinným webovým účtom.
Odstrašujúce príklady úniku hesiel (na základe reálnych prípadov):
Dievča používalo na Facebooku slabé heslo, ktoré sa dalo ľahko uhádnuť. Pri ceste do zahraničia sa navyše prihlásilo na nezabezpečenú Wi-Fi sieť, kde útočník heslo odchytil. Vďaka týmto informáciám sa mu podarilo nnabúrať sa jej do účtu, z ktorého jej ukradol súkromné fotografie, ktoré si posielala s priateľom. Následne sa jej vyhrážal ich zverejnením, pokiaľ nezaplatí. Keď to odmietla, fotografie rozposlal do všetkých skupín, ktoré mala vytvorené v Messengeri.
Obeť mala v rámci svojej firmy vytvorený mailový server, no používala jednoduché heslo. Keďže išlo o verejne dostupný systém, útočník ho našiel na internete a heslo prelomil. Následne posielal všetkým kontaktom v zozname škodlivé e-maily a nevhodné reklamy.
Ako sa najčastejšie kradnú heslá?
- Sledovaním – Znie to absurdne, ale útočníci aj dnes často získajú heslo nazeraním cez rameno svojej obete, prípadne jej nahrávaním na video. Platí to pre prístup do zariadenia, rovnako ako pre prihlasovanie do online služieb.
Ilustračné video: https://www.youtube.com/watch?v=e9CfWK-uN44 – kód je dlhý a zložitý, no po zverejnení na internete už nedokáže používateľa spoľahlivo ochrániť.
- Sociálnym inžinierstvom – Útočník zmanipuluje alebo oklame obeť, aby mu údaje sama poskytla. Môže na to využiť falošnú stránku, špeciálne pripravený e-mail či správu na sociálnych sieťach, kde sa vydáva za dôveryhodnú osobu/inštitúciu alebo predstiera, že ide o požiadavku banky/sociálnej siete/online služby.
- Škodlivým kódom – Útočník nainfikuje zariadenie obeti škodlivou aplikáciou alebo kódom (napr. cez zraniteľnosť v softvéri, použitím sociálneho inžinierstva, cez infikovanú stránku atď.), ktoré sú špeciálne vytvorené tak, aby vyhľadávali, sledovali a kradli heslá a posielali ich útočníkovi.
- Útokom na sieťovú komunikáciu – Útočník môže odchytávať údaje obete na sieťovej úrovni. Ak sa útočník rozhodne dáta odchytávať na verejnej Wi-Fi, vo väčšine prípadov musí byť v bezprostrednom okolí obete (1). Podobný útok sa dá urobiť aj za pomoci škodlivého kódu, ktorý nevyžaduje fyzickú prítomnosť.
- Hádaním (tzv. brute force útok, resp. útok hrubou silou) – Jedna z najčastejšie využívaných taktík. Útočník háda bežne používané alebo prednastavené prihlasovacie heslá, používa slovníky či známe frázy. Na tento účel má útočník vytvorený špeciálny kód, prípadne celé zariadenia, ktoré dokážu hádať tisíce hesiel v rádoch sekúnd. To mu umožňuje jednoducho a rýchlo prelomiť konto so slabým či krátkym heslom. Na ilustráciu stačí povedať, že štvormiestny kód zložený z písmen a číselných znakov dokáže útočník uhádnuť takmer okamžite.
(1) Útočníkovi stačí dostať sa do blízkosti domu či bytu obete. Dnešné Wi-Fi prístupové body totiž často majú dosah aj niekoľko desiatok metrov za hranicou bytu/domu. Navyše útočník vybavený anténou dokáže vzdialenosť, v ktorej zachytí signál, ešte zväčšiť.