Problematiku výběru vhodného hesla už nakousl DD ve svém článku. Nepochybně přinesl uživatelům vítanou osvětu, ale osobně si myslím, že to jde i jinak.

Při vymýšlení hesla proti sobě stojí dva základní parametry - síla hesla a uživatelská přívětivost. Krátké a primitivní heslo nesplňuje požadavek na bezpečnost. Psaní dlouhého a složitého hesla obtěžuje a navíc si ho každý nemusí pamatovat, pokud je nevhodně zvolené. Pokud si uživatel heslo nezapamatuje, tak si ho často napíše na lísteček, který přilepí k monitoru a problém je na světě.

Jde to ale jednoduše. Dlouhým heslům se sice nevyhneme, ale naučíme se je tvořit tak, aby byla snadno zapamatovatelná, ale zároveň velmi bezpečná.

Komix xkcd (jako vždy) uhodil hřebíček přímo na hlavičku. Zkušenější uživatelé si při snaze o vymýšlení bezpečných hesel házejí klacky pod nohy. Vyberou si heslo, které obsahuje velká a malá písmena, číslice a speciální znaky, ale zřídkakdy bývá delší než 20 znaků. Často není delší než 10 znaků. Pro člověka je něco takového obtížně zapamatovatelné, počítač ale nemusí mít s hádáním větší problémy.

Způsoby, jak hádat hesla jsou defacto dva - brutalforce útoky a slovníkové útoky. Brutalforce hádání funguje na principu generování nejrůznějších hesel a postupném zkoušení. Slovníkové útoky zkouší nejrůznější hesla z předem připraveného seznamu. Slovníky mohou mít velikost od několika MB až po jednotky TB. Proti prvním jmenovaným je jediná možná obrana a to sice co nejdelší heslo. Obrana proti tomu druhému je, vyhnout se známým frázím.

Nyní se už dostáváme k samotnému jádru článku a tím je stručný návod na vytváření silných hesel. Ve skutečnosti je to velice prosté. Vezměte nějakou dlouhou větu a tu použijte jako heslo. Ideální jsou česká přísloví (ale musíte si je lehce upravit). Jak dlouho, podle vás, bude počítači trvat, než přijde na heslo "kdo--jinemu--jamu--kopa--sam--do--ni--pada"? Takovéto heslo je vhodné proložit pár speciálními znaky a nebo si ho malinko poupravit "kdojinemudirukopasamdonipada". Myslíte, že takové heslo není bezpečné a každý ho hned může uhodnout? Úspěšný útok hrubou silou je prakticky vyloučený, úspěšný slovníkový útok je silně nepravděpodobný a možnost, že heslo uhádne člověk je téměř nulová. Vybírejte si ovšem takové heslo, které s vámi nemá spojitost. Pokud budete při každé příležitosti opakovat svou oblíbenou hlášku, nepoužívejte ji jako heslo!
A konečně inspiraci nemusíte čerpat jenom z přísloví, může to být skoro cokoli. Klidně si něco vymyslete. Heslo "seljsemdohospodynaplzen" je bezpečnější než "dd7v3!ap&" a určitě se lépe pamatuje. Na první příklad si vzpomenete ještě třeba za týden, ale druhý příklad hesla zapomenete, než odejdete od počítače.

Na závěr je třeba připomenout, že silné heslo není záruka bezpečnosti. Způsobů útoků je spousta a leckdy platí, že je lepší na to jít oklikou než heslo hádat. Heslo můžete mít sebelepší, ale pokud ho prozradíte cizí osobě, máte ho napsané na lístečku vedle monitoru a nebo máte počítač zaneřáděný malwarem, tak riskujete. Chyba ale nemusí být na vaší straně, servery mají leckdy trsitní zabezpečení. A konečně, pokud bude na vašem heslu někomu opravdu záležet, vymlátí ho z vás.

V dnešní době existují způsoby pro skutečně bezpečné přihlašování. Některé zaručí bezpečnost i v případě úniku klíčů, jiné zase umožňují bezpečné přihlašování i přes nešifrované protokoly. O tom ale někdy příště.

Plánované díly seriálu:

1. tvorba hesla
2. jde to i bez hesla
3. šifrování
4. na netu bezpečně