TIP#579: Jak často si mám měnit heslo? Kdy je nutné si heslo změnit a kdy je lepší to nedělat.

Tento tip je vlastně tak trochu opakování věcí, které zde už byly řečeny v některých tipech, týkajících se hesel jako takových. Týká se ale jedné podstatné věci, zda je opravdu nutné si heslo v pravidelných intervalech měnit. Což je nápad (blbý nápad) některých správců firemních sítí. A také nápad, který v minulosti byl poměrně běžný, než praxe ukázala, že je to jedna z nejhorších věcí, které můžete po uživatelích chtít.

Především, pravidelná vynucená změna hesla je zásadní bezpečnostní riziko.

Pokud má uživatel solidní silné heslo, které nebylo kompromitováno, které s nikým nesdílel, nepovaluje se někde na lístečku na jeho displeji, tak neexistuje žádný důvod, proč by si ho měl vynuceně měnit. Vynucené změny hesla vedou k tomu, že uživatelé volí čím dál tím jednodušší hesla, že si hesla poznamenávají někde, kde se k nim rychle dostanou. Z tohoto pohledu něco takového napáchá více škody, než užitku.

TIP:  Pokud pochybujete, že vynucené změny hesla jsou zlo, tak si přečtěte třeba čerstvé Time to rethink mandatory password changes a neméně zajímavé Passwords and Authentication Research

Heslo je nutné změnit, když došlo k jeho vyzrazení, kompromitaci.

Typicky když dojde k úniku přihlašovacích údajů z nějaké online služby a váš e-mail a heslo je tedy prozrazená záležitost. Takovéto heslo už nikdy nikde nemůžete použít. A musíte ho neprodleně změnit jak na oné službě odkud hesla unikla, tak všude jinde, kde ho používáte. Což upozorňuje i na další častý problém, že lidé jedno a to samé heslo používají na více místech. Heslo je vhodné změnit, i pokud máte podezření, že ho někdo cizí získal.  Tady vám pomůže tip Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?

Nové heslo si musíte pořídit, pokud nemáte heslo silné, neuhádnutelné, nezjistitelné hrubou silou.

Pokud jste si někam pořídili něco jako „12345“ coby heslo, tak je to totéž, jako když žádné heslo nemáte. Stejně jako „heslo“, nebo cokoliv na co je možné přijít „hrubou silou“, tedy zejména tak, že někdo vezme nějaký slovník (nejpoužívanějších hesel, slov v češtině, atd) a začne zkoušet jedno slovo po druhém.  Viz Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu?

IMG_4821-1024x644.jpg
Ano, takhle nějak vypadají nejpoužívanější hesla (Zdroj: výše uvedené Passwords and Authentication Research)

TIP: Ano, vaše heslo by mělo vypadat něco jako „hA18!xaV_842“. Což znamená, že si ho velmi pravděpodobně v žádném případě nedokážete zapamatovat. Zachránit vás v tomto případě může správce hesel, který vám nejenom takováto hesla umožní vytvořit, ale také si je bude pamatovat. V případě potřeby i vyplňovat při přihlášení (byť to v některých případech není nejlepší nápad).

V tomhle všem je podstatné ještě něco. U online služeb nikdy nevíte jestli jim neunikla hesla. Velmi často se na to přijde dlouhé měsíce i roky poté, co k tomu došlo. Nebo to pro jistotu nikomu neřeknou. Proto je nutné na pouhé heslo coby ochranu nespoléhat a tam kde je to podstatné (e-maily, cloudová úložiště, sociální sítě, firemní informační systémy přístupné „zvenčí“, atd) používat dvoufaktorové ověřování přihlášení. Takové, kde bez dodatečného ověření přes SMS (ale ani to už dnes neni povážováno za 100% bezpečné) nebo mobilní telefon nemůže někdo kdo zná vaše heslo dokončit přihlášení.  Viz například Jak ochránit účet na Facebooku proti hacknutí? Dvoufaktorovým ověřením přihlášení

Dobré připomenout je i to, že Linkedin, Facebooku, nikomu nedávejte heslo ke své poštovní schránce. Znamená to, že je nejenom hrubě zneužijí ke stažení věcí z vašeho e-mailu, které jim do rukou nepatří, ale také to, že mají vaše heslo v čitelné podobě a zásadním způsobem se tak zvyšuje riziko jeho prozrazení. Velmi užitečný je i tip Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby.

A ještě jedna připomínka, velmi podstatná. V Jak správně zacházet s kontrolními otázkami u online služeb? zjistíte, jak zacházet se zásadním bezpečnostním rizikem v podobě „kontrolních otázek“ u online služeb. Takových těch, které vedly k hacku účtu Premiéra Sobotky na Seznam.cz (to že ho tam především nikdy neměl mít teď nechme stranou). Byť zrovna Seznam.cz je kapitola sama o sobě, tam vždy pamatujte na to, že žádné reálné možnosti zabezpečení účtu nenabízí (viz Jak lépe zabezpečit e-mail u Seznamu proti krádeži)

TIP: Pokud narazíte na službu, která vám dokáže na vyžádání zaslat „zapomenuté heslo“, tak si pamatujte, že je to zásadní problém. Znamená to totiž, že si vaše heslo uložili v čitelné podobě a kdokoliv ho může zneužit. Viz Jak je to s hesly na Internetu? Je možné aby mi někdo poslal zapomenuté heslo?