Na problematiku hesel a bezpečnosti narážím téměř denně. I když ohledně bezpečných hesel je na internetu napsáno spousta článků, pokusil jsem se o stručné shrnutí.
Bezpečné heslo by mělo obsahovat aspoň 3 ze 4 následujících typů znaků:
- malá písmena (a, b… z)
- velká písmena (A, B… Z)
- číslice (0, 1… 9)
- speciální znaky (#, $, %, &, *, +, -, :, =, ?, @, _, ~ atd.)
Moc se nedoporučuje používat znaky s diakritikou (ne vždy totiž musí být k dispozici česká klávesnice, zvláště, pokud byste se přihlašovali např. ze zahraničí).
Co by bezpečné heslo naopak obsahovat nemělo? Jsou to:
- přihlašovací jména (jméno uživatele)
- osobní údaje (např. datum narození, adresa, přezdívka, telefon, jméno psa…)
- slovníkové výrazy (běžná slova, co najdeme ve slovníku)
- známé posloupnosti znaků (např. 111111, 123456, qwerty, abcdef…)
Jako naprosté minimum se doporučuje mít heslo dlouhé aspoň 8 znaků. Vzhledem ke stále se zdokonalujícím výpočetním možnostem počítačů je lépe zvolit délku 10-12 znaků (někde je dokonce uváděno 14-16), záleží na tom, u jakého typu služby heslo používáte (u nějakého fóra či e-shopu stačí kratší, u e-mailu či banky určitě delší). Maximální délka většinou není limitována, ale doporučuje se nejvíce 32 znaků – s rostoucí délkou totiž roste pravděpodobnost, že při psaní uděláte chybu. Důrazně se nedoporučuje používat často volené výrazy (např. heslo123, 12345678, mojeheslo, admin, login, password…). Na internetu si můžete najít různé seznamy nejčastěji používaných hesel (anglických i českých) – ty si jako inspiraci rozhodně neberte. 😉 Heslo můžete vytvořit např. kombinací různých znaků, slov, nahrazováním písmen podobnými znaky (např. O-0, I-l…), spojováním různých slov, použitím oblíbené věty nebo mnemotechnické pomůcky či dokonce šifrováním (např. posunutím písmen).
Chcete-li si otestovat, jak je Vámi vytvořené heslo silné a bezpečné, tak můžete použít různé online formuláře, např.
- How secure is my password
- Password checker
- Password strength test
- Is my password vulneable
- How strong is this password
- Password strength test
- How secure is your password
- Password strength testing tool
- AI Password Cracking
Mají různé funkce, ukazují například, za jak dlouho bude heslo odhaleno, či jestli se nenachází v nějaké databázi uniklých hesel. Nemusíte se bát, hesla se nikam neodesílají (nepotvrzujete tlačítkem), počítá to interaktivně JavaScript. Pokud byste přesto měli obavy, můžete použít jiné znaky stejného typu (např. místo Petr8525 použijete Lada6456).
| počet znaků | pouze číslice | pouze malá písmena | malá a velká písmena | malá a velká písmena a číslice | malá a velká písmena a číslice a speciální znaky |
|---|---|---|---|---|---|
| 4 | |||||
| 5 | |||||
| 6 | |||||
| 7 | |||||
| 8 | 48 minut | 7 hodin | |||
| 9 | 11 hodin | 2 dny | 2 týdny | ||
| 10 | 1 hodina | 4 týdny | 6 měsíců | 5 let | |
| 11 | 23 hodin | 4 roky | 38 let | 356 let | |
| 12 | 3 týdny | 289 let | 2 tisíce let | 30 tisíc let | |
| 13 | 11 měsíců | 16 tisíc let | 91 tisíc let | 2 miliony let | |
| 14 | 49 let | 827 tisíc let | 9 milionů let | 187 milionů let | |
| 15 | 5 hodin | 890 let | 47 milionů let | 613 milionů let | 14 miliard let |
| 16 | 2 dny | 23 tisíc let | 2 miliardy let | 26 miliard let | 1 bilion let |
| 17 | 3 týdny | 812 tisíc let | 540 miliard let | 2 biliony let | 95 bilionů let |
| 18 | 10 měsíců | 22 milionů let | 7 bilionů let | 96 bilionů let | 6 trilionů let |
Heslo si nemusíte sestavovat sami, ale můžete si ho nechat i náhodně vygenerovat na početných online generátorech, např.
- Generátor hesel
- Generátor náhodných hesel
- Generátor bezpečných hesel
- Generátor hesel
- Generátor hesel
- Online generátor hesel
- Password generator
Můžete si tam nastavit požadovanou délku a taky znaky, které by mělo obsahovat. Takto vygenerovaná hesla si ale potom budete muset zapamatovat. 😉
Heslo byste měli mít ideálně pro každou službu (elektronické bankovnictví, e-mail, e-shopy, registrace služeb, diskuzní fóra, počítače…) jiné. A taky je rozumné, když ho budete mít komplikované podle druhu služby (např. k internetovému bankovnictví si určitě dejte nějaké složité heslo, kdežto do nějakého diskuzního fóra můžete volit heslo jednodušší). Některé zdroje navíc doporučují pro větší bezpečnost heslo čas od času (např. ročně) měnit. Přitom hesla by se neměla tzv. recyklovat, tedy opakovaně používat ta z minulosti, ale měla by být pokaždé jiná. Opět je na Vás, jaký si na to vymyslíte systém (např. číslo roku).
Heslo si nikam nepište, nikomu nesdělujte a ani neříkejte postup, jakým způsobem ho máte odvozené. Pokud už si musíte něco zapsat, napište si obecný postup, jak jste heslo vytvořili, abyste si ho při případném zapomenutí sami snadno zase odvodili. Nebo pro uschování velkého počtu hesel můžete použít tzv. správce hesel (password manager). Je jich spousta, z těch bezplatných doporučuju např. online Bitwarden či offline KeePass. Je to archiv všech Vašich hesel, chráněný jedním velmi silným heslem (aby se přes něj útočník snadno nedostal k ostatním heslům). 😉 Každý z nich má svá pro a proti, takže záleží jen na Vás, který bude nejvíce vyhovovat Vašim potřebám.
Já sám používám KeePassXC, kterým se přes doplněk do prohlížeče KeePassXC-Browser přihlašuju k různým účtům. 🙂 Zašifrovaný soubor s hesly mám uložený jednak lokálně, jednak uložený v online úložišti, takže se k heslům dostanu z kteréhokoli počítače. 🙂 Je možné ho používat jak na počítači/notebooku (Windows/Linux/macOS), tak i na mobilu/tabletu (přes aplikaci Keepass2Android). Vybral jsem si ho z několika důvodů: má dobré hodnocení co se týče bezpečnosti a funkcí, je v češtině, k dispozici pro Windows i Linux a mám kontrolu nad tím, kde mám svá hesla uložená a kdo k nim má přístup. 😉