Článek přečtěte do 7 min.

V důsledku eskalace kybernetických útoků a narušení dat již nestačí všudypřítomná rada „nesdílejte své heslo“. Hesla zůstávají primárními klíči k našim nejdůležitějším digitálním aktivům, takže dodržování osvědčených postupů zabezpečení hesel je důležitější než kdy jindy. Ať už zajišťujete e-mail, sítě nebo jednotlivé uživatelské účty, dodržování doporučených postupů týkajících se hesel může pomoci chránit vaše citlivé informace před kybernetickými hrozbami.

Přečtěte si tento článek a prozkoumejte osvědčené postupy týkající se hesel, které by měly být implementovány v každé organizaci – a zjistěte, jak chránit zranitelné informace a zároveň dodržovat lepší strategie zabezpečení.

Tajemství silných hesel

Silné heslo je vaší první linií obrany, pokud jde o ochranu vašich účtů a sítí.

Při přemýšlení o novém hesle implementujte tyto standardní doporučené postupy pro vytváření hesel:

  • Složitost: Zajistěte, aby vaše hesla obsahovala kombinaci velkých a malých písmen, číslic a speciálních znaků. Je třeba poznamenat, že pravidla kompozice, jako jsou malá písmena, symboly atd., již NIST nedoporučuje – použijte je tedy podle vlastního uvážení.
  • Délka: Delší hesla jsou obecně silnější – a délka obvykle překonává složitost. Zaměřte se na alespoň 6-8 znaků.
  • Nepředvídatelnost: Vyhněte se používání běžných frází nebo vzorů. Nepoužívejte snadno uhodnutelné informace, jako jsou narozeniny nebo jména. Místo toho vytvořte jedinečné řetězce, které hackeři těžko uhodnou.

Kombinace těchto faktorů ztěžuje uhodnutí hesel. Pokud je například heslo dlouhé 8 znaků a obsahuje velká písmena, malá písmena, čísla a speciální znaky, bude celkový počet možných kombinací (26 + 26 + 10 + 30)^8. Tento astronomický počet možností útočníkovi nesmírně ztěžuje uhodnutí hesla.

Vzhledem k aktualizovaným pokynům NIST k heslům je samozřejmě nejlepším přístupem k efektivnímu zabezpečení hesel použití správce hesel – toto řešení nejen pomůže vytvářet a ukládat vaše hesla, ale automaticky odmítne běžná, snadno uhodnutelná hesla (např. součástí výpisů hesel). Správci hesel výrazně zvyšují zabezpečení proti následujícím typům útoků.

Útoky s hádáním hesel

Pochopení technik, které protivníci používají k hádání uživatelských hesel, je zásadní pro zabezpečení hesel.

Zde jsou některé z klíčových útoků, o kterých byste měli vědět:

Útok hrubou silou

Při útoku hrubou silou útočník systematicky zkouší všechny možné kombinace znaků, dokud nenajde správné heslo. Tato metoda je časově náročná, ale může být účinná, pokud je heslo slabé.

Silná hesla pomáhají mařit útoky hrubou silou, protože zvyšují počet možných kombinací, které musí útočník vyzkoušet, takže je nepravděpodobné, že by mohl heslo uhodnout v rozumném časovém rámci.

Slovníkový útok

Slovníkový útok je typ útoku hrubou silou, při kterém se protivník snaží získat přístup pomocí seznamu běžných slov, frází a běžně používaných hesel.

Jedinečná hesla jsou nezbytná pro maření slovníkových útoků, protože útočníci spoléhají na běžná slova a fráze. Použití hesla, které není slovem ze slovníku nebo známým vzorem, výrazně snižuje pravděpodobnost, že bude uhodnuto. Například řetězec „Xc78dW34aa12!“ není ve slovníku ani na seznamu běžně používaných hesel, takže je mnohem bezpečnější než něco obecného jako „heslo“.

Slovníkový útok s variacemi postav

V některých slovníkových útocích protivníci také používají standardní slova, ale také se snaží nahradit běžné znaky, jako je nahrazení ‚a‘ za ‚@‘ nebo ‚e‘ za ‚3‘. Například kromě pokusu o přihlášení pomocí slova „password“ mohou zkusit také variantu „p@ssw0rd“.

Volba složitých a nepředvídatelných hesel je nezbytná pro zmaření těchto útoků. Používáním jedinečných kombinací a vyhýbáním se snadno uhodnutelným vzorům ztěžujete útočníkům uhodnutí vašeho hesla.

Jak správci hesel zvyšují zabezpečení

Správci hesel jsou nepostradatelní pro bezpečné ukládání a organizaci vašich hesel.

Tyto nástroje nabízejí několik klíčových výhod:

  • Zabezpečení: Správci hesel ukládají hesla a zadávají je za vás, takže uživatelé si je nemusí všechna pamatovat. Vše, co si uživatelé musí zapamatovat, je hlavní heslo pro jejich nástroj pro správu hesel. Uživatelé proto mohou používat dlouhá a složitá hesla podle doporučení osvědčených postupů, aniž by se museli obávat, že svá hesla zapomenou nebo se uchýlí k nezabezpečeným postupům, jako je zapisování hesel nebo opakované použití stejného hesla pro více webů nebo aplikací.
  • Generování hesel: Správci hesel mohou generovat silné a jedinečné heslo pro uživatelské účty, což eliminuje potřebu je vymýšlet jednotlivci.
  • Šifrování: Správci hesel šifrují trezory hesel, čímž zajišťují bezpečnost dat – i když jsou kompromitována.
  • Pohodlí: Správci hesel umožňují uživatelům snadný přístup k heslům na více zařízeních.

Při výběru správce hesel je důležité vzít v úvahu specifické potřeby vaší organizace, jako je podpora platforem, které používáte, cena, snadnost použití a historie porušení dodavatelů. Proveďte průzkum a přečtěte si recenze, abyste našli tu, která nejlépe odpovídá požadavkům vaší organizace. Některé často používané programy Netwrix Password Secure, LastPass, Dashlane, 1Password a Bitwarden.

Jak vícefaktorové ověřování (MFA) přidává další vrstvu zabezpečení

Vícefaktorové ověřování posiluje zabezpečení tím, že před udělením přístupu vyžaduje dvě nebo více forem ověření.

Konkrétně musíte zadat alespoň dva z následujících faktorů ověřování:

  • Něco, co znáte: Klasickým příkladem je vaše heslo.
  • Něco, co máte: Obvykle se jedná o fyzické zařízení, jako je smartphone nebo bezpečnostní token.
  • Něco, co jste: Jedná se o biometrická data, jako je otisk prstu nebo rozpoznávání obličeje.

MFA činí ukradené heslo bezcenným, takže jej implementujte, kdekoli je to možné.

Správa vypršení platnosti hesla

Zásady vypršení platnosti hesla hrají klíčovou roli při udržování silného zabezpečení hesel. Použití správce hesel, který vytváří silná hesla, má také vliv na vypršení platnosti hesla. Pokud ještě nepoužíváte správce hesel, implementujte strategii kontroly všech hesel ve vaší organizaci; s nárůstem případů narušení dat neustále rostou seznamy hesel (jako známý rockyou.txt a jeho variace) používané při útocích hrubou silou. Web haveibeenpawned.com nabízí službu pro kontrolu, zda bylo prozrazeno určité heslo.

Zde je to, co by uživatelé měli vědět o osvědčených postupech zabezpečení hesel souvisejících s vypršením platnosti hesla:

  • Dodržujte zásady zásad: Dodržujte zásady vypršení platnosti hesla vaší organizace. To zahrnuje změnu hesla na výzvu a výběr nového, silného hesla, které splňuje požadavky zásad.
  • Nastavit připomenutí: Pokud vaše organizace nevynucuje vypršení platnosti hesla prostřednictvím oznámení, nastavte si vlastní připomenutí, abyste si heslo změnili, až nastane termín. Pravidelně kontrolujte svůj e-mail nebo systémová upozornění, zda neobsahují výzvy.
  • Vyhněte se zjevným vzorům: Při změně hesla nepoužívejte variace předchozího nebo předvídatelné vzory jako „Heslo1“, „Heslo2“ a tak dále.
  • Nahlásit podezřelou aktivitu: Pokud zaznamenáte jakoukoli podezřelou aktivitu účtu nebo neoprávněné požadavky na změnu hesla, okamžitě je nahlaste službě IT podpory nebo helpdesku vaší organizace.
  • Buďte opatrní s e-maily pro obnovení hesla: Nejlepší postup pro dobré zabezpečení hesel znamená být si vědom podvodů. Pokud obdržíte neočekávaný e-mail s výzvou k resetování hesla, ověřte jeho pravost. Phishingové e-maily se často vydávají za legitimní organizace, aby ukradly vaše přihlašovací údaje.

Zabezpečení hesel a dodržování předpisů

Standardy shody vyžadují osvědčené postupy zabezpečení hesel a správy hesel jako prostředek k ochraně dat, zachování soukromí a zabránění neoprávněnému přístupu.

Zde je několik zákonů, které vyžadují zabezpečení heslem:

  • HIPAA (Health Insurance Portability and Accountability Act): HIPAA nařizuje, aby zdravotnické organizace zavedly ochranná opatření na ochranu elektronických chráněných zdravotních informací (ePHI), což zahrnuje postupy bezpečného hesla.
  • PCI DSS (Payment Card Industry Data Security Standard): PCI DSS vyžaduje, aby organizace, které na svých webových stránkách nakládají s údaji o platebních kartách, zavedly přísné kontroly přístupu, včetně zabezpečení heslem, k ochraně dat držitelů karet.
  • GDPR (General Data Protection Regulation): GDPR vyžaduje, aby organizace, které uchovávají nebo zpracovávají údaje obyvatel EU, zavedly vhodná bezpečnostní opatření na ochranu osobních údajů. Zabezpečení heslem je základním aspektem ochrany údajů podle GDPR.
  • FERPA (Family Educational Rights and Privacy Act): FERPA upravuje soukromí záznamů o vzdělávání studentů. Zahrnuje požadavky na zabezpečení přístupu k těmto záznamům, což zahrnuje zabezpečení heslem.

Organizace, na které se vztahují tyto standardy shody, musí zavést robustní zásady pro hesla a nejlepší postupy zabezpečení hesel. Pokud tak neučiníte, může to mít za následek vysoké pokuty a další sankce.

Existují také dobrovolné rámce, které pomáhají organizacím vytvořit zásady silných hesel. Dva z nejznámějších jsou následující:

  • Rámec kybernetické bezpečnosti NIST: Národní institut pro standardy a technologie (NIST) poskytuje pokyny a doporučení, včetně osvědčených postupů pro hesla, ke zvýšení kybernetické bezpečnosti.
  • ISO 27001: ISO 27001 je mezinárodní standard pro systémy řízení bezpečnosti informací (ISMS). Zahrnuje požadavky související se správou hesel jako součást širšího rámce zabezpečení.

Heslo osvědčené postupy v akci

Nyní uvedeme tyto osvědčené postupy zabezpečení hesel do praxe na příkladu:

Předpokládejme, že se jmenujete John Doe a máte narozeniny 10. prosince 1985. Místo používání hesla „JohnDoe121085“ (které lze snadno uhodnout) se řiďte následujícími osvědčenými postupy pro hesla:

  • Vytvořte dlouhé, jedinečné (a neuhádnutelné) heslo, například: „M3an85DJ121!“
  • Uložte jej do důvěryhodného správce hesel.
  • Povolte vícefaktorové ověřování, kdykoli je k dispozici.

10 doporučených postupů pro hesla

Pokud chcete posílit své zabezpečení, postupujte podle těchto doporučených postupů pro hesla:

  • Odstraňte rady nebo ověřování založené na znalostech: NIST doporučuje nepoužívat ověřování založené na znalostech (KBA), jako jsou otázky jako „V jakém městě jste se narodili?“ ale místo toho pomocí něčeho bezpečnějšího, jako je dvoufaktorové ověřování.
  • Šifrovat hesla: Chraňte hesla šifrováním jak při jejich ukládání, tak při přenosu přes sítě. Tím jsou k ničemu každému hackerovi, kterému se je podaří ukrást.
  • Vyhněte se prostému textu a vratným formulářům: Uživatelé a aplikace by nikdy neměli ukládat hesla v prostém textu nebo v jakékoli formě, kterou lze snadno převést na prostý text. Ujistěte se, že vaše rutina správy hesel nepoužívá čistý text (jako v souboru XLS).
  • Vyberte si jedinečná hesla pro různé účty: Nepoužívejte stejná hesla nebo dokonce varianty stejných hesel pro různé účty. Zkuste vymyslet jedinečná hesla pro různé účty.
  • Použít správu hesel: Tato funkce může pomoci vybrat nová hesla, která splňují požadavky na zabezpečení, odeslat upozornění na blížící se vypršení platnosti hesla a pomoci aktualizovat hesla prostřednictvím uživatelsky přívětivého rozhraní.
  • Prosazování zásad silných hesel: Implementujte a vynucujte zásady silných hesel, které zahrnují požadavky na minimální délku a složitost spolu s pravidlem historie hesel, aby se zabránilo opětovnému použití předchozích hesel.
  • Aktualizujte hesla v případě potřeby: Měli byste kontrolovat a – pokud to naznačují výsledky – aktualizovat svá hesla, abyste minimalizovali riziko neoprávněného přístupu, zejména po narušení dat.
  • Monitorujte podezřelou aktivitu: Průběžně sledujte podezřelou aktivitu na svých účtech, včetně několika neúspěšných pokusů o přihlášení, a implementujte uzamčení účtů a upozornění ke zmírnění hrozeb.
  • Vzdělávejte uživatele: Pravidelně provádějte školení o zabezpečení nebo se jich zúčastněte, abyste se dozvěděli o osvědčených postupech týkajících se hesel, phishingových hrozbách a důležitosti udržování silných a jedinečných hesel pro každý účet.
  • Implementujte zásady vypršení platnosti hesla: Vynucujte zásady vypršení platnosti hesla, které vyžadují změny hesla za definovaných okolností, aby se zvýšila bezpečnost.

Jak může Netwrix pomoci

Dodržování osvědčených postupů pro hesla je zásadní pro ochranu citlivých informací a zabránění neoprávněnému přístupu.

Netwrix Password Secure poskytuje pokročilé funkce pro monitorování zásad hesel, detekci a reakci na podezřelou aktivitu a zajištění souladu s průmyslovými předpisy. Díky funkcím, jako jsou výstrahy v reálném čase, komplexní hlášení a uživatelsky přívětivé rozhraní, umožňuje organizacím proaktivně identifikovat a řešit rizika související s hesly, prosazovat zásady silných hesel a udržovat silné zabezpečení v celém jejich IT prostředí.

Závěr

Ve světě, kde se kybernetické hrozby neustále vyvíjejí, je pro ochranu vaší digitální přítomnosti nezbytné dodržovat osvědčené postupy správy hesel. V první řadě si vytvořte silné a jedinečné heslo pro každý systém nebo aplikaci – pamatujte, že používání správce hesel výrazně usnadňuje dodržování tohoto kritického osvědčeného postupu. Kromě toho implementujte vícefaktorovou autentizaci, kdykoli je to možné, abyste zabránili jakémukoli útočníkovi, kterému se podaří ukrást vaše heslo. Budete-li se řídit těmito pokyny, můžete si užívat bezpečnější online prostředí a chránit svá cenná digitální aktiva. Pro další informace nás neváhejte kontaktovat.

Zdroj: Netwrix