Můžete začít, aniž byste riskovali hesla s vysokou hodnotou
Pokud se kvůli výše uvedeným rizikům zdráháte používat správce hesel pro všechny své účty, zvažte, zda nezačít s těmi hesly, jejichž ztráty nebo prozrazení byste se obávali nejméně.
Například vás pravděpodobně nezajímá heslo používané k vytvoření sedmidenního zkušebního předplatného softwarového programu, zpravodajských článků nebo výzkumu. Pokud nakupujete na mnoha různých webových stránkách, možná máte desítky účtů, které všechny chrání kopie stejných informací: číslo vaší kreditní karty, telefonní číslo a adresu. Žádný z těchto údajů není příliš tajný, vaše odpovědnost v případě krádeže čísla kreditní karty je omezená a u většiny nákupních webů je snadné obnovit heslo tím, že obdržíte e-mail o obnovení hesla.
Pokud začnete s hesly nižší hodnoty, můžete se seznámit s tím, jak správci hesel fungují, a zároveň jsou následky chyb nízké. Jakmile získáte zkušenosti, budete také lépe rozumět rizikům a výhodám. Možná zjistíte, že když už nebudete muset vytvářet, pamatovat si a zadávat tato hesla s nižší hodnotou, můžete část ušetřeného úsilí věnovat ochraně hesel k účtům s vyšší hodnotou.
Správce hesel můžete použít také ke generování náhodných hesel, která byste neměli ukládat. Ta si pravděpodobně budete chtít zapsat. Časem byste měli být schopni naučit se náhodná hesla pro několik účtů jen jejich používáním.
Většina uživatelů může začít bez nákupu nebo stahování nového softwaru. Pokud používáte především prohlížeč Safari nebo Chrome, oba prohlížeče mají správce hesel, které vám náhodná hesla vygenerují. Nebudu se zabývat Brave, Edge ani Firefoxem, protože v době psaní tohoto článku hesla negenerují.
Ačkoli byste měli zvážit samostatné správce hesel, zejména pokud ukládáte hesla k cennějším účtům, můžete do nich snadno importovat hesla, která jste si uložili při zkoušení vestavěných správců hesel v Chromu nebo Safari.
Jedním z důvodů, proč přejít mimo Chrome, je to, že nezjistí, která hesla jste opakovaně používali mezi weby . Kontrola opakovaně používaných hesel je zásadní pro získání bezpečnostních výhod, které může správce hesel nabídnout. Většina samostatných správců hesel nabízí funkci auditu a nedávno ji přidal i vestavěný správce hesel v prohlížeči Safari (Keychain od společnosti Apple).
I když se snažíte neukládat důležitá hesla do správce hesel, přesto se vyplatí pravidelně kontrolovat, která hesla jste uložili a která jsou opakovaně používána – některé účty, které se při jejich vytvoření zdály bezcenné, se časem mohou ukázat jako cennější. Někteří správci hesel vás také upozorní, pokud jsou některá vaše hesla zjevně slabá (např. pokud se objevují na seznamech běžných hesel.) Pokud chcete nahradit stará hesla, může vás množství práce odradit. Nemusíte čekat, až budete mít dostatek času na změnu všech najednou; stanovte si priority a začněte.
Správci hesel, kteří testují, zda jste heslo použili znovu, tak učiní pouze v případě, že jim dovolíte toto heslo uložit. Pokud ukládáte pouze hesla k účtům s nízkou hodnotou, bude vám správce hesel schopen říci pouze to, která z vašich hesel s nízkou hodnotou byla použita opakovaně. Nevím o žádném správci hesel, který by vás upozornil, pokud zadáte heslo, které jste uložili pro jiný web, do aktuální webové stránky . Neexistuje žádný technický důvod, proč by vás většina správců hesel nemohla na takové opakované použití hesla upozornit, takže doufám, že některý z nich to brzy udělá.
Naučte se silné hlavní heslo
Většina správců hesel chrání vaše hesla dalším heslem – obvykle nazývaným hlavní heslo. Samostatní správci hesel vás při zahájení používání požádají o vytvoření hlavního hesla. Pokud k ukládání hesel a jejich sdílení mezi zařízeními používáte prohlížeč Chrome od společnosti Google, budou vaše hesla uložena společností Google a chráněna heslem k vašemu účtu Google (spolu s případnými dalšími faktory, které používáte). Klíčenka iCloud společnosti Apple se při pravidelné ochraně svých dat spoléhá především na hesla vašich zařízení a funkce odemykání, ale má záložní hlavní heslo zvané bezpečnostní kód iCloudu .
Nepoužívejte hlavní heslo, které jste použili pro cokoli jiného. To je třeba zopakovat, protože jste se pravděpodobně naučili varovat před opakovaným používáním hesel, když jste takovou radu dostali pro účty, na kterých vám nezáleží. Na rozdíl od těchto bezcenných hesel by hlavní heslo, které chrání všechna ostatní hesla, mělo být opravdu jedinečné.
Pokud používáte správce hesel Chrome synchronizovaný prostřednictvím účtu Google a nejste si stoprocentně jisti, že váš účet Google má silné a jedinečné heslo, vytvořte si nové heslo (poté, co se ujistíte, že máte plán obnovy pro případ, že toto nové heslo zapomenete, jak je popsáno níže). To je také vhodná doba pro přehodnocení, zda byste měli mít pro tento účet dvoufaktorové ověřování. Podobně pokud používáte iCloud Keychain od společnosti Apple, nepoužívejte znovu heslo jako bezpečnostní kód iCloudu.
Vaše hlavní heslo by mělo být náhodně vygenerované a dostatečně dlouhé, aby chránilo vaše heslo i v případě, že se útočníci dostanou k šifrovanému seznamu hesel webové stránky a pokusí se toto šifrování prolomit. Chcete-li zajistit, aby vaše heslo bylo skutečně náhodné, nechte ho vygenerovat správcem hesel (nebo použijte kostky a seznam slov). Mnoho lidí se mylně domnívá, že mohou náhodnost generovat vyvoláváním písmen v mysli nebo bušením do klávesnice, ale mnoho mentálních procesů, které považujeme za náhodné, ve skutečnosti skutečně náhodné nejsou. Dobrý správce hesel používá kryptografický generátor náhodných čísel, který zajistí, že vaše heslo bude dostatečně náhodné (a kostky jsou osvědčeným zdrojem fyzické náhodnosti, jejíž férovost můžete ověřit jednoduše tím, že je hodíte).
Vaše hlavní heslo by mělo mít alespoň 12 malých znaků nebo pět slov. Proč používat malá písmena nebo slova, když vám v minulosti pravděpodobně někdo říkal (a nutil), abyste používali velká písmena a symboly? Pokud musíte heslo zadávat na zařízení s klávesnicí na obrazovce (například na telefonu), může každé velké písmeno nebo symbol vyžadovat další stisknutí klávesy. Stejného zabezpečení můžete dosáhnout a ušetřit si spoustu frustrace tím, že heslo psané výhradně malými písmeny bude jen o 30 % delší, než kdyby bylo psané smíšeně . Jinými slovy, náhodně vygenerované 13znakové heslo s malými písmeny, které lze zadat 13 stisky kláves, je stejně bezpečné jako 10znakové smíšené heslo, které jich může vyžadovat mnohem více.
Neočekávejte, že se své nové hlavní heslo naučíte okamžitě – jen velmi málo lidí se dokáže naučit dlouhý náhodně vygenerovaný řetězec na jedno posezení. Nejlepší způsob, jak se hlavní heslo naučit, je spíše zapsat si ho a často ho používat. Nastavte správce hesel tak, aby vyžadoval jeho opakované zadávání alespoň jednou denně, dokud ho nebudete znát, a papírové kopie se zbavte až poté, co ho budete po mnoho dní spolehlivě zadávat zpaměti. Ačkoli schopnost lidí naučit se náhodná hesla není dobře prozkoumána, z výzkumu, který jsme se spolupracovníky provedli, vyplývá, že k jeho zapamatování je třeba 10 až 30 použití. (Tento výzkum zkoumá techniky, které by správci hesel mohli použít, aby vám pomohli naučit se silná hlavní hesla, ale v současné době žádný z nich žádnou pomoc nenabízí.)
Nakonec nepředpokládejte, že papírovou kopii hlavního hesla neztratíte dříve, než si ho zapamatujete, nebo že ho později nezapomenete.
Zapojte do výběru správce hesel i obnovu
Jelikož jedním z největších rozdílů mezi správci hesel je proces obnovy dat v případě ztráty hlavního hesla, neměli byste si vybírat správce hesel, aniž byste prozkoumali jeho proces nouzové obnovy. Poté, co se rozhodnete, je první věcí, kterou byste měli spolu s výběrem hlavního hesla udělat, nastavení tohoto procesu obnovy. Můžete ho potřebovat velmi brzy, protože hlavní heslo s největší pravděpodobností zapomenete krátce po jeho vytvoření a dříve, než se ho naučíte opakovaným používáním.
Ačkoli se následky ztráty hesel mohou zdát malé, když vše nastavujete a ještě nemáte žádná uložená hesla, která byste mohli ztratit, můžete se rychle stát na svém správci hesel závislí. Možná se nesprávně domníváte, že jakmile se jednou naučíte heslo, už ho nikdy nezapomenete. Hesla se sice nejčastěji zapomínají krátce po jejich vytvoření, ale je také běžné, že je zapomenete po určité době, kdy jste je nepoužívali. Můžete je například zapomenout po další plánované dovolené nebo, jak se před několika lety dozvěděl můj přítel, po neplánovaném pobytu v nemocnici.
Proč každý produkt řeší obnovení jinak? Částečně proto, že je to opravdu těžký problém i pro společnosti, které patří k největším, nejlépe financovaným a nejznámějším pro skvělou použitelnost. Vezměme si iCloud společnosti Apple, který uchovává iCloud Keychain používaný prohlížečem Safari. Jedním ze způsobů, jak obnovit účet iCloud, je prostřednictvím zákaznické podpory, ale hackeři obelstili pracovníky podpory a kompromitovali uživatelské účty, včetně účtu vysoce postaveného reportéra v roce 2012. Společnost Apple proto uživatelům nabídla také možnost uložit si náhodně vygenerované heslo, které použijí pro obnovení (společnost Apple to nazvala klíčem pro obnovení), a nakonfigurovat své účty tak, aby zákaznická podpora nemohla heslo změnit. Klíče pro obnovení si osvojilo jen málo uživatelů a někteří, kteří si je osvojili, byli naštvaní, když zjistili, že jim zákaznická podpora ve skutečnosti už nemůže pomoci, když to potřebují. Společnost Apple přestala nabízet klíče pro obnovení v roce 2015 . V současné době Apple umožňuje resetovat hesla po ověření zákazníků prostřednictvím jejich telefonního čísla, přestože je tento proces poměrně zranitelný vůči útokům.
Kdyby to nestačilo, požadavky, které určují, zda zákaznická podpora resetuje heslo nebo jiné přihlašovací údaje uživatele, nejsou veřejně dostupné. Ze společností, které umožňují zákaznické podpoře resetovat přihlašovací údaje uživatelů k účtu, nevím o žádné, která by sdílela pravidla, podle kterých rozhoduje o tom, co je nutné pro návrat do systému. Bez těchto pravidel nemohou uživatelé vědět, za jakých podmínek budou moci svůj účet obnovit a za jakých podmínek může útočník jejich účet převzít. Stojí za to si to zopakovat: tyto společnosti očekávají, že jim svěříte svůj účet, ale nesdělí vám pravidla, která určují, zda k němu budete mít i nadále přístup nebo zda vám ho útočník může ukrást .
Namísto spoléhání se na neprůhledná pravidla zákaznické podpory používá mnoho správců hesel řešení, která jsou méně náchylná k útokům, ale více náchylná k náhodné ztrátě.
Open source správci hesel KeePass a PasswordSafe (původní správce hesel) nechávají na vás, abyste našli způsob, jak uložit a zálohovat soubor obsahující vaše hesla spolu s klíčem používaným k ochraně (šifrování) dat v těchto souborech. Pokud tedy chcete sdílet svá hesla mezi počítači, musíte si vytvořit účet pro ukládání souborů online (např. DropBox). Vaší zálohou může být písemná kopie hlavního hesla a hesla k účtu pro sdílení souborů. Pokud na tomto účtu používáte dvoufaktorové ověřování, budete potřebovat zálohu i pro něj.
LastPass, Keeper , a Dashlane umožňují předem autorizovat nouzové kontakty pro přístup k vašemu účtu… pokud mají také účet u stejného správce hesel. Tento požadavek je na místě, protože tyto produkty používají kryptografii, která zajišťuje, že vaši přátelé, ale ne společnosti, budou moci získat přístup k těmto údajům. To pomáhá chránit vás, pokud dojde k hacknutí jejich služby nebo pokud se útočník úspěšně vydává za vás před pracovníky jejich zákaznické podpory. Nevýhodou je, že útočník, který kompromituje účet vašeho kontaktu, pak může být schopen kompromitovat i ten váš. Šanci, že se tak stane, můžete snížit tím, že nastavíte časovou prodlevu, než budou vaše informace uvolněny vašemu nouzovému kontaktu. Pokud znáte lidi, kteří používají některý z těchto produktů a kterým byste důvěřovali jako svému nouzovému kontaktu, může být tento produkt pro vás vhodnější než ty, které vaše kontakty nepoužívají.
S programem 1Password se vaše hlavní tajemství skládá vlastně ze dvou částí: z tajného klíče, který software ukládá do každého zařízení, do kterého jste svá hesla vložili, a z vašeho hlavního hesla. Chcete-li používat nové zařízení s programem 1Password, musíte do něj přenést svůj tajný klíč. Tajný klíč si můžete zálohovat vygenerováním „nouzové sady“, souboru PDF, který si můžete vytisknout a který obsahuje váš tajný klíč a prostor pro zapsání hlavního hesla. (Doufejme, že váš rukopis je lepší než můj.) Stejně jako LastPass a Dashlane i 1Password navrhl svou online službu tak, aby tyto tajné klíče neuchovával a aby zákaznická podpora nemohla pomoci útočníkovi – nebo vám – získat přístup k vašim datům bez nich. Na rozdíl od LastPass a Dashlane jejich proces obnovy nevyžaduje žádnou interakci se službou ani s nikým jiným. Díky tomu je 1Password pravděpodobně nejprivátnější možností, ale za tuto úroveň soukromí každý zákazník platí určitou daň: 1Password nemůže vědět, jaká část zákazníků si vytiskla sady pro obnovení, kolik z nich je úspěšně použilo, ani kolik z nich svá hesla navždy ztratilo. Jediné údaje, které jim pomohou zlepšit spolehlivost procesu obnovy, pocházejí z toho, co uživatelé dobrovolně sdělí, pokud se obrátí na podporu.
Pokud používáte prohlížeč Chrome s účtem Google a dvoufaktorovým ověřováním, můžete získat deset jednorázových hesel pro obnovu (osmimístná čísla, kterým se říká záložní kódy), která mohou nahradit jeden z vašich dvou faktorů . Společnost Google doporučuje, abyste si je „vytiskli nebo stáhli“. Společnost Google tyto kódy také ukládá, a tak na rozdíl od dobře spravovaných náhodně generovaných hesel mohou být vaše kódy ohroženy, pokud dojde k narušení bezpečnosti společnosti Google.
Používáte-li vytištěné obnovovací tajemství v prohlížeči Chrome nebo 1Password nebo si vytváříte vlastní pro KeePass nebo PasswordSafe, budete se muset rozhodnout, kam obnovovací tajemství po vytištění uložíte. Vhodná může být bezpečnostní schránka nebo domácí trezor, zejména pokud už nějaký máte nebo ho stejně potřebujete. Neexistuje žádný technický důvod, proč byste nemohli sdílet výtisky svých tajemství pro obnovení s přáteli. Pokud byste tak učinili, možná byste nechtěli, aby na listu bylo uvedeno, pro koho je určen, protože vyloučení této skutečnosti by mohlo poskytnout malou obranu v případě jeho odcizení. Další možností je dát dvěma důvěryhodným kontaktům polovinu kódu nebo třem důvěryhodným kontaktům dvě třetiny každého kódu (takže vám mohou pomoci libovolné dva kontakty).
Pokud se vám nelíbí žádná z výše uvedených možností, můžete si všechna hesla pravidelně tisknout nebo zapisovat. Pokud si je vytisknete, budete spoléhat na to, že vaše tiskárna je bezpečná a máte k ní bezpečné síťové připojení.
Vaše primární e-mailové heslo také vyžaduje zvláštní pozornost při plánování strategie obnovy, protože mnoho dalších hesel lze resetovat pomocí e-mailu. Toto je možná nejdůležitější heslo, které je třeba změnit na náhodně generované heslo, ale je to také heslo, které budete nejvíce potřebovat, pokud ztratíte přístup ke správci hesel. Pokud toto heslo měníte, měli byste zvážit, zda si ho také nezapíšete nebo nezálohujete.
.