Existuje niekoľko techník, ako môžu útočníci získať naše heslá. Najvýznamnejšie z nich si predstavíme a poradíme, ako si vytvoriť jedinečné a pritom ľahko zapamätateľné heslo.
Tento starší redakčný článok sme aktualizovali a zaradili do aktuálneho vydania: Hodnotné materiály z času na čas dopĺňame o nové informácie, poznatky, prípadne aj o aktualizovaný obrazový materiál. Naopak už neaktuálne rady či informácie dáme preč a nahradíme novými. Všetky takéto doplnené články označujeme. Článok prinášame pri príležitosti Svetového dňa hesla.
S heslami sa stretávate dennodenne a prakticky všade. Máte nimi uzamknutú SIM kartu, mobilný telefón, notebook, počítač, Wi-Fi sieť a v neposlednom rade ich využívate pre prístup do internetových služieb. Používate však dostatočne silné heslá, ktoré odolajú útokom hackerov?
O útočných technikách, ako aj o odporúčaniach pre tvorbu a prácu s heslami, sa dočítate v nasledujúcich riadkoch. Aby ste sa vedeli efektívne chrániť, musíte najprv pochopiť, pred čím sa potrebujete chrániť. Aké formy útokov sa teda v súčasnosti využívajú najviac?
Čítajte aj
Skutočne sa vyznáte v kyberbezpečnosti? Pozor, tento kvíz zvládnu iba pokročilí
Triviálnym heslám sa vyhnite
Prvá a zrejme aj najstaršia forma útoku vychádza z predpokladu, že mnoho používateľov využíva nie slabé, ale doslova triviálne heslá. Ide napríklad o reťazce typu 123456, 1234, qwerty, password a iné, ktoré by ste nemali za žiadnych okolností používať.
Prehľad najčastejšie používaných hesiel je, žiaľ, aj prehľadom najslabších hesiel. Nasledujúca tabuľka bola zostavená na základe analýzy uniknutých databáz, ktoré sa šíria internetom.
TOP 20 najpopulárnejších hesiel za uplynulé roky:
1.
123456
123456
123456
2.
password
123456789
123456789
3.
123456789
qwerty
picture1
4.
12345678
password
password
5.
12345
1234567
12345678
6.
111111
12345678
111111
7.
1234567
12345
123123
8.
sunshine
iloveyou
12345
9.
qwerty
111111
1234567890
10.
iloveyou
123123
senha
11.
princess
abc123
1234567
12.
admin
qwerty123
qwerty
13.
welcome
1q2w3e4r
abc123
14.
666666
admin
Million2
15.
abc123
qwertyuiop
OOOOOO
16.
football
654321
1234
17.
123123
555555
iloveyou
18.
monkey
lovely
aaron431
19.
654321
7777777
password1
20.
!@#$%^&*
welcome
qqww1122
(Zdroj: Nordpass, SplashData)
Útočníci zhromažďujú tieto triviálne heslá v takzvaných slovníkoch. Slovník je spravidla textový súbor obsahujúci vopred definované reťazce znakov, teda heslá.
V šedej zóne internetu sa dá nájsť pestrá paleta rozsiahlych slovníkov, ktoré neobsahujú len triviálne heslá, ale aj špecifické lokalizované slovníky obsahujúce regionálne, napríklad slovenské heslá a mnoho iných variantov.
Nepoužívajte rovnaké heslo naprieč celým internetom
Druhá forma útoku je mimoriadne efektívna, pričom je založená na ľudskej lenivosti. Je totiž veľmi náročné vytvoriť a najmä zapamätať si unikátne heslo pre každý jeden web, na ktorý sa prihlasujeme. Výborným pomocníkom sú v tomto prípade takzvaní správcovia hesiel, kde si môžete uložiť ľubovoľné množstvo prihlasovacích údajov pre rôzne internetové stránky.
Čítajte aj
Ako držať svoje heslá v bezpečí: Vyberáme bezplatného správcu
V prípade, že správcom hesiel nedôverujete, tak na konci tohto článku nájdete šikovný trik, ako si môžete vytvoriť unikátne a pritom ľahko zapamätateľné heslá.
Vráťme sa však k problému univerzálneho hesla. Ak totiž útočníci získajú vaše heslo (napríklad z niektorej z uniknutých databáz), pokúsia sa ním prihlásiť do e-mailových služieb, sociálnych sietí, ako aj do ďalších populárnych internetových služieb.
Keď teda využívate rovnaké prihlasovacie údaje naprieč celým internetom, hackeri môžu získať kontrolu nad vašou e-mailovou schránkou, postupne zresetovať heslá v službách, ktoré využívate, a ovládnuť ich. V krajnom prípade potom dochádza k takzvanej krádeži internetovej identity, kedy útočníci ovládnu všetky kľúčové služby spojené s vaším menom (e-mail, sociálne siete a podobne).
Mnohým čitateľom sa zrejme natíska otázka: „Ako môžem zistiť, či sa aj moje heslo nenachádza v nejakom slovníku či v databáze?“ Odpoveď, žiaľ, nie je jednoduchá, pretože nikto nedokáže presne odhadnúť, aké databázy a slovníky sa šíria v uzavretých hackerských komunitách.
Uniknuté heslá agreguje populárna služba
Dobrou správou však je, že existuje veľmi populárna platforma ktorá agreguje uniknuté databázy hesiel. Ide o dobre známy projekt Have I Been Pwned bezpečnostného experta Troya Hunta, ktorý pred časom dokonca nadviazal úzku spoluprácu s vládnou kyberbezpečtnostnou jednotkou CSIRT.sk.
V prípade, ak si chcete overiť, či vaše heslo neuniklo z nejakej internetovej služby, respektíve či sa nenachádza vo verejne dostupných databázach, kliknite na tento odkaz. Vaše heslo následne zadajte do formulára a potvrďte. V okamihu sa zobrazí výsledok jeho hľadania.
fotogaléria
Heslo „ahoj123“ sa v uniknutých databázach nachádza 686-krát. Jeho použitie preto nie je bezpečné.
Zdroj: Ján Koliba
Tip pre IT profesionálov
Napriek tomu, že Have I Been Pwned je známym open-source projektom, je pochopiteľné, že opatrnejší a zároveň v IT skúsení čitatelia nebudú chcieť zadávať svoje skutočné heslá iba tak na „nejaký“ web.
V takom prípade odporúčame z uvedenej služby stiahnuť celú databázu hesiel (nástroj na to je na GitHube), ktorá je dostupná buď vo forme hash funkcie SHA-1 alebo NTLM. Veľkosť archívu má zhruba 11 gigabajtov, pričom po jeho extrahovaní získate textový súbor (*.TXT) s veľkosťou 25 gigabajtov.
POZOR! Na zobrazenie gigantického textového súboru je potrebný výkonnejší počítač a textový editor, ktorý dokáže takýto objem dát spracovať. V niektorých prípadoch hrozí zamrznutie systému.
Redakčné testy prebiehali na notebooku s procesorom Intel i5, 16 GB RAM a 1TB SSD diskom. Databázu sme otvorili cez bezplatnú aplikáciu Lister, ktorá umožňuje aj vyhľadávanie.
fotogaléria
Operačný systém zabránil otvoreniu obrovského súboru v Poznámkovom bloku.
Zdroj: Ján Koliba
Vaše tajné heslo si preveďte do SHA-1, prípadne do NTLM. Využiť na to môžete jednu z mnohých on-line platforiem (PasswordsGenerator.net, SHA1-online, CodeBeautify a iné) alebo off-line aplikáciu HashCalc. Vygenerovaný hash porovnajte s údajmi v stiahnutej databáze z Have I Been Pwned a v okamihu zistíte, či sa tento reťazec znakov (vaše heslo v hash tvare) nenachádza medzi uniknutými heslami, prípadne koľkokrát.
fotogaléria
Najľahším spôsobom, ako pracovať s gigantickým textovým súborom, je príkazový riadok. Po spustení príkazu trvalo asi sedem minút, kým sme získali výsledok hľadania.
Zdroj: Ján Koliba
Napríklad po prevedení hesla „ahoj123“ získame SHA-1 reťazec B6DFC495F89DEA91EA51408140FDF0740F3A6BFF. Otvoríme príkazový riadok (menu Štart -> napíšeme CMD a potvrdíme). Do príkazového riadku zadáme reťazec v tvare find „hash_hesla” cesta_k_databaze.txt , kde cesta k databáze je umiestnenie priečinku, v ktorom sa nachádza databáza stiahnutá z Have I Been Pwned. Príkaz potvrdíme a po niekoľkých minútach sa dozvieme výsledok hľadania.
Pozor na aktívne útoky
Ďalším špecifickým spôsobom, ako môže dôjsť k úniku hesiel, sú aktívne útoky hackerov. Ide najmä o infiltráciu zariadenia malvérom či o útoky typu phishing, vishing alebo MitM.
Súčasťou mnohých malvérov je takzvaný keylogger, ktorý zachytáva všetky stlačené klávesy či ťuknutia na obrazovku. Tieto odcudzené dáta následne putujú na server útočníkov, ktorí z nich extrahujú, okrem iných dát, aj prihlasovacie údaje.
CyberGame 2025 je v plnom prúde!
CyberGame je kyberbezpečnostná súťaž pre študentov, programátorov aj talentovaných hráčov. Jej popularita v uplynulých ročníkoch presiahla túto oblasť a aj hranice Slovenska.
Hrá sa ešte mesiac a pol. Zapojiť sa dá počas celého trvania, hry pribúdajú postupne. Najvhodnejší čas je ale práve teraz.
Aký je stav po 31 dňoch?
Na čele slovenského rebríčka sa vytvára silná hráčka komunita s tesným bodovým odstupom a súboj je neľútostný
Hrá už viac ako tisícka hráčov na slovenskej aj anglickej platforme, spolu je registrovaných už viac ako dvetisíc účastníkov
Pre nových hráčov bol ťažšie uchopiteľný CTF formát, autorský tím preto pre nich pripravil sériu „úvodných“ úloh a radí im aj cez kanál na Discorde
Okrem víťaza CyberGame 2025 bude ocenených ďalších jedenásť kategórií
Svoju vlastnú firemnú ligu CyberGame 2025 hrá aj Slovak Telekom
Hráči si vyberajú úlohy, ktoré chcú hrať, scenáre sa otvárajú postupne
Viac informácií: Stránka projektu | Článok o hre na Živé.sk
Keylogger však môže byť cielene nainštalovaný aj na neznámom či verejnom počítači. Preto by sme sa k citlivým službám mali vždy prihlasovať len zo svojho, respektíve dôveryhodného zariadenia.
Phishingové útoky sú spravidla realizované buď prostredníctvom falošného webu, ktorý vzhľadom napodobňuje legitímnu službu, alebo cez e-mail. V oboch prípadoch útočníci požadujú zadanie alebo odoslanie citlivých údajov vydávajúc sa za dôveryhodnú inštitúciu.
Čítajte aj
Spear phishing: Cielený podvod priamo na vás
Pri vishingu kybernetickí zločinci telefonujú svojim obetiam pod vymyslenou identitou (údajný pracovník banky, technická podpora známeho softvéru a podobne) a snažia sa od nich vymámiť rôzne informácie (heslá, dvojfaktorové kódy) či naviesť ich na inštaláciu malvéru.
MitM (Man-in-the-Middle) útoky môžu nenápadne prebiehať prakticky v ľubovoľnej verejnej Wi-Fi sieti. Či sa na internet pripojíte v kaviarni, na námestí, v škole či na letisku, všade môžu číhať útočníci, ktorí budú manipulovať s dátovou prevádzkou. V konečnom dôsledku môžu podsúvať napodobeniny legitímnych webov a kradnúť heslá.
K prihlasovaniu sa do citlivých služieb preto radšej preferujte mobilný internet alebo využite zabezpečené pripojenie cez VPN. O tom, ako si vytvoriť súkromný VPN server, sa dočítate v našom článku.
Významné ciele môžu podľahnúť aj hrubej sile
Poslednou technikou prelamovania hesiel je takzvaný útok hrubou silou (bruteforce). Pri tejto technike sa testujú všetky existujúce možnosti a kombinácie všetkých možných reťazcov. Útok kvôli svojej náročnosti prebieha spravidla v cloude s využitím desiatok až stoviek kooperujúcich počítačov.
Minimálna dĺžka bezpečného hesla bola americkým Národným inštitútom pre štandardy a technológie (NIST) stanovená na osem znakov obsahujúcich malé a veľké písmená, čísla a špeciálny symbol. Za silné heslo sa v súčasnosti považuje 12 a viacznakový reťazec.
Uvažujme, že máme 8-znakové heslo. Vieme, že obsahuje veľké (26) a malé (26) písmená bez diakritiky, číslice (10) a nejaké špeciálne znaky z desiatich najpoužívanejších symbolov (10). K dispozícii teda máme 72 možných znakov a hľadáme 8-miestne heslo. Celkovo tak musíme vyskúšať 72^8 kombinácií, čo je 722 biliónov možností – 722 000 000 000 000. Čo to znamená v praxi?
V závislosti od použitého šifrovacieho algoritmu a výkonnosti počítačovej farmy sa odvíja aj dĺžka útoku hrubou silou. Ak by bolo napríklad naše 8-znakové heslo chránené zastaraným algoritmom MD5, tak by jeho prelomenie trvalo asi jednu hodinu. Naopak, pri využití moderného algoritmu bcrypt by uhádnutie nášho hesla trvalo približne 218 rokov.
Ako je teda zrejmé, útok hrubou silou je časovo a výpočtovo veľmi náročná technika. Navyše, čím je heslo dlhšie a čím je použitá náročnejšia šifra, tým dlhšie trvá prelomenie nášho tajného hesla.
Aby toho nebolo málo, prakticky všetky významné internetové služby dovolia iba niekoľko (spravidla do desať) pokusov o prihlásenie. Potom je účet dočasne pozastavený na niekoľko minút či hodín. Hádať teda všetky existujúce kombinácie v takzvanom online útoku nie je možné.
Pri offline útokoch môžu hackeri testovať ľubovoľné množstvo kombinácií, potrebujú k tomu však zašifrované heslo. To znamená, že musia nejakým spôsobom ukradnúť z cieľovej služby databázu so zašifrovanými heslami. V tomto prípade je však veľmi diskutabilná efektivita a racionálnosť takéhoto útoku.
Prečo by sa hackeri trápili so zašifrovanými heslami, plytvali energiou a prostriedkami, aby horko-ťažko po niekoľkých rokoch prelomili jedno jediné heslo? Odpoveďou by mohol byť jedine úzko cielený útok zameraný na veľmi významnú osobu alebo počítačový systém.
Inými slovami, útok hrubou silou na heslá bežných používateľov je v súčasnosti maximálne nepravdepodobný. A prečo v súčasnosti? Pretože sa na svetlo sveta pomaly, ale isto predierajú prvé kvantové počítače, ktoré by mohli výrazne skrátiť potenciálne útoky hrubou silou. To však ukáže až čas a napredovanie kvantových technológií, kvantových šifier a ich budúca dostupnosť.
Ako má vyzerať ideálne heslo? Zhrnutie
Keď sme si ozrejmili, akými spôsobmi môžu hackeri získať naše heslá, je zrejmé, že ideálne heslo by malo byť čo možno najdlhšie. Americký Federálny úrad pre vyšetrovanie (FBI) v súčinnosti s Národným inštitútom pre štandardy a technológie (NIST) dokonca vydal usmernenie, podľa ktorého je dĺžka hesla oveľa dôležitejšia, než jeho zložitosť.
Znamená to, že namiesto krátkeho a zložitého hesla, ktoré je ťažké si zapamätať (napríklad S?/y?6cf), by sme mali využívať dlhé heslá zložené zo slov a čísiel.
7 pravidiel pre tvorbu a prácu s heslami:
Nepoužívajte triviálne heslá.
Vytvorte si unikátne heslo pre každú službu.
Zvoľte si heslo, ktoré má čo možno najviac znakov.
Heslo nikomu neprezrádzajte.
Používajte kvalitný a aktualizovaný antivírus.
Prihlasujte sa iba z dôveryhodných zariadení.
Vyhýbajte sa verejným Wi-Fi sieťam pri prihlasovaní sa do citlivých služieb.
V podnikovej sfére a všade tam, kde je kladený dôraz na maximálnu bezpečnosť, sa odporúča nasadenie takzvaných heslových fráz (passphrase). Heslové frázy sú známe najmä z oblasti kryptomien, konkrétne sa nimi chránia virtuálne peňaženky.
fotogaléria
Prelomenie ilustračnej heslovej frázy by trvalo nepredstaviteľne dlho.
Zdroj: Ján Koliba
Napríklad heslová fráza „notebook-biela-strom-osem-karta-dole“ sa dá pomerne ľahko zapamätať, a pritom obsahuje neuveriteľných 36-znakov. Podľa portálu PasswordMonster by prelomenie tohto reťazca trvalo 4 trilióny triliónov rokov, čo je násobne viac, než vek celého vesmíru.
Tipy: Vytvárame unikátne a ľahko zapamätateľné heslo
Ak sú pre vás heslové frázy zbytočne dlhé a napriek tomu by ste radi využívali unikátne, ľahko zapamätateľné heslo pre každú službu, ponúkame vám jednoduchý tip na záver.
Najprv si zvoľte tri obľúbené čísla – napríklad 33, 7, 24. Následne si vyberte kľúčové slovo, ktoré vám napadne ako prvé pri danej službe. Napríklad, keď vytváram heslo pre banku, tak mi napadnú slová peniaze, úspory, financie, hypotéka, kreditka, výplata, a podobne. V rámci príkladu si zvolíme slovo peniaze.
Teraz to spojíme podľa nasledujúcej schémy [čísla]+[Kľúčové_slovo]+[čísla]. Vo výsledku získame heslo v nasledujúcom tvare: „33724Peniaze33724“. Aby sme boli dôslední, mali by sme pridať aj špeciálny symbol. Stačí pritom len šikovne nahradiť písmeno za podobný znak, napríklad písmeno E za €.
Dostaneme tak výsledné heslo „33724P€niaze33724“, ktoré obsahuje až 17 znakov, špeciálny symbol a navyše je pre svojho autora ľahko zapamätateľné. A ako dlho by trvalo prelomenie takéhoto hesla? Podľa služby PasswordMonster by to trvalo miliardu rokov.
fotogaléria
Na prelomenie ilustračného ľahko zapamätateľného hesla by sme potrebovali asi miliardu rokov.
Zdroj: Ján Koliba
Upozorňujeme, že tento typ hesiel nie je odolný voči úzko cieleným útokom. Na základe spätnej analýzy a podrobných informácií o cieľovej osobe možno vydedukovať potenciálne reťazce hesiel.
Ak však nepatríte medzi záujmové osoby, tak vás náš tip dostatočne ochráni pred bežnými útokmi. Pri bežnom útoku totiž hackeri nebudú strácať čas a špekulovať, aké heslo ste si mohli zvoliť pre Facebook. Radšej sa zamerajú na používateľov, ktorí majú rovnaké heslo naprieč celým internetom.
Pre úplnosť už len dodáme, že váš účet bude takmer dokonale ochránený, ak k jedinečnému heslu pridáte aj doplnkovú dvojfaktorovú autentifikáciu. Návod, ako si aktivovať dvojfaktorové overenie pre najpopulárnejšie služby nájdete v samostatnom článku.
TIP na video: Heslá vznikli ako „pridružený projekt“, pomohli vyriešiť iný problém