Často meniť heslo vôbec nemusí byť tak dobrý nápad, ako sa môže zdať

Ako často meniť heslá? Odpoveď na túto otázku nie je taká jednoduchá, ako sa možno zdá. V posledných rokoch sa veľa hovorilo o rastúcom potenciáli overovania bez hesla a prístupových fráz. Vďaka veľkej prevahe používania metódy rozpoznávania tváre na smartfónoch je dnes pre mnohých možnosť prihlásiť sa do obľúbených aplikácií alebo iných služieb pohľadom na zariadenie (alebo iným typom biometrickej autentifikácie) jednoduchý a bezpečný spôsob. Stále to však nie je pravidlom, najmä vo svete počítačov, kde sa väčšinou stále spoliehame na staré dobré heslá.

Prečo zmeny hesiel nie sú vždy najlepší nápad

Ešte nedávno sa odporúčalo pravidelne striedať heslá s cieľom znížiť riziko ich skrytej krádeže alebo prelomenia kybernetickými zločincami. Všeobecne sa hovorilo o rozmedzí 30 až 90 dní. Bezpečnostní analytici spoločnosti Eset si však nemyslia, že to je vždy dobrý nápad a vysvetľujú aj prečo. Výskumy totiž naznačujú, že časté zmeny hesiel, najmä podľa stanoveného harmonogramu, nemusia nevyhnutne zvýšiť bezpečnosť účtu. Inými slovami, neexistuje univerzálna odpoveď na otázku, kedy by ste mali svoje heslá meniť. Mnohí majú príliš veľa online účtov, aby sme o nich mali prehľad. Navyše žijeme vo svete správcov hesiel a dvojfaktorovej autentifikácie (2FA), ktoré sú dostupné už takmer všade.

Správca hesiel ukladá dlhé, silné a jedinečné heslá pre každý účet, bez toho, aby si ich používateľ musel pamätať. Dvojúrovňové overovanie zasa pridáva procesu prihlasovania pomocou hesla pomerne bezproblémovú dodatočnú úroveň zabezpečenia. Niektorí správcovia hesiel majú tiež zabudované monitorovanie dark webu, ktoré automaticky označí prípady možného zneužitia a šírenia prihlasovacích údajov na ilegálnych stránkach.

V každom prípade existujú presvedčivé dôvody, prečo bezpečnostní experti a celosvetovo uznávané autority, ako napríklad Národný inštitút USA pre štandardy a technológie (NIST) a britské Národné centrum kybernetickej bezpečnosti (NCSC), neodporúčajú, aby si ľudia nasilu menili heslá každých niekoľko mesiacov, pokiaľ nie sú splnené určité kritériá.

Dôvod je pomerne jednoduchý:

Podľa inštitútu NIST majú používatelia tendenciu vyberať si slabšie heslá, keď vedia, že ich budú musieť v blízkej budúcnosti zmeniť.
NIST dodáva, že keď dôjde k takýmto zmenám, ľudia si často zvolia heslo, ktoré je podobné ich starému zapamätanému heslu, a to použitím súboru bežných premien, ako je napríklad navýšenie čísla v hesle.
Tento postup poskytuje falošný pocit bezpečia, pretože ak bolo predchádzajúce heslo skompromitované a vy ho nenahradíte silným a jedinečným heslom, útočníci ho môžu ľahko prelomiť znova.
Podľa NCSC je tiež pravdepodobnejšie, že nové heslá, najmä ak ich vytvárate každých niekoľko mesiacov, si budete musieť zapisovať, prípadne ich zabudnete.

NCSC tvrdí, že ide akýsi kontraintuitívny scenár zabezpečenia; čím častejšie sú používatelia nútení meniť heslá, tým vyššia je šanca vystavenia útokom. Ukázalo sa, že to, čo sa zdalo byť úplne rozumnou a dlhodobo osvedčenou radou, neobstojí pri dôslednej analýze celého systému. NCSC teraz organizáciám odporúča nevynucovať pravidelné menenie hesiel. Dôvodom je možné zníženie počtu zraniteľností spojené s pravidelnou zmenou hesiel a zároveň len nepravdepodobné navýšenie rizika dlhodobého zneužívania hesiel.

Kedy meniť heslá?

Existuje niekoľko situácií, ktoré si predsa len vyžadujú zmenu hesla, najmä ak ide o najdôležitejšie účty. Napríklad:

Vaše heslo bolo súčasťou úniku údajov tretej strany. Pravdepodobne vás o tom bude informovať samotný dodávateľ, prípadne služba, ako je Have I Been Pwned (kliknutím na odkaz si môžete overiť aj to, čo váš mail je súčasťou unikov dát), ak ste sa prihlásili na odber takýchto oznámení, alebo vás môže upozorniť poskytovateľ správcu hesiel, ktorý vykonáva automatické kontroly dark webu.
Vaše heslo je slabé a ľahko uhádnuteľné alebo prelomiteľné (mohlo sa objaviť na zozname najčastejších hesiel). Hackeri môžu používať špecializované nástroje určené na automatizáciu procesu skúšania rôznych hesiel v rôznych účtoch v nádeji, že jedno z nich bude fungovať – a často aj uspejú.
Heslo ste opakovane používali vo viacerých účtoch. Ak dôjde k narušeniu zabezpečenia niektorého z týchto účtov, útočníci môžu použiť automatizovaný softvér určený na tzv. sprejovanie hesiel s cieľom otvoriť váš účet na iných stránkach/aplikáciách.
Bezpečnostný softvér vás upozornil, že vaše zariadenie infikoval malvér.
Svoje heslo ste zdieľali s inou osobou.
Nedávno ste odstránili ľudí zo spoločného účtu (napr. bývalých spolubývajúcich).
Prihlásili ste sa na verejnom počítači (napr. v knižnici) alebo na zariadení/počítači inej osoby.

Často meniť heslo vôbec nemusí byť tak dobrý nápad, ako sa môže zdať

Prečo zmeny hesiel nie sú vždy najlepší nápad

Dôvod je pomerne jednoduchý:

Kedy meniť heslá?

Zdieľajte tento článok, vyberte si svoju platformu!

Súvisiace príspevky

Umelá inteligencia naráža na odpor. Americký štát Maine chce pribrzdiť výstavbu veľkých dátových centier

Dajte si pozor na QR kódy s informáciami o pokute. Sú falošné

FBI vyšetruje hry na Steame. Do populárnej platformy sa dostal malvér, hráči riskujú krádež dát

Takmer milión respondentov si už otestovalo digitálne zručnosti v IT Fitness Teste. Digitálna koalícia spúšťa jeho 15. ročník

Digitálna závislosť EÚ od USA je nebezpečná. Pozrite sa, ako ju možno politicky zneužiť

WhatsApp pod prísnejším dohľadom Bruselu. Európska únia sprísňuje pravidlá pre najväčšie online platformy