8.3.1 útoky na hesla

Útočník může získat přístup k databázi s uloženými hesly na službě, kde je uživatel registrován^[33]. V nejhorším případě jsou hesla uložena jako prostý text a útočník tak získá přímo kombinaci uživatelské jméno-heslo, nezávisle na síle hesla. Pokud uživatel má stejné heslo napříč více službami, získá k nim útočník přístup. Pokud je služba provozována správně, jsou hesla uložena v hašové podobě. V tom případě musí útočník hledat řetězec znaků, který má stejný haš jako je ten z ukradené databáze. Postupuje pak od slovníkových hesel (běžná slova), přes náhodné řetězce rostoucí délky. Účinnost tohoto typu útoku roste spolu s dostupnou výpočetní silou běžného hardware.

8.3.1.1 Základní pravidla pro nakládání s hesly

Cílem těchto pravidel je snížit pravděpodobnost uhodnutí hesla útočníkem, případně snížit dopady takového incidentu.

heslo nesmí být jednoduché slovo ze slovníku (libovolného jazyka), nebo údaj jakkoli svázaný s uživatelem (rodné číslo, tel. číslo, ...)
heslo musí být dostatečně dlouhé (alespoň 6 znaků) a obsahovat zároveň čísla, velká i malá písmena a speciální znaky jako $ ? & . ,
hesla k důležitým službám (ebanking, IS, email, ...) nesmí být stejná
heslo nikdy nikomu nesdělujte
důležitá hesla neukládejte v prohlížeči, ani je nikam nezapisujte
po zadání hesla na nedůvěryhodném stroji (např. na cestách) jej při nejbližší příležitosti změňte

^[33]Například incident z r. 2010 s únikem hesel blogovací platformy Gawker. Článek na Wired.

Nahoru, návrat na úvodní stránku webu, přístupnost

Šablonu webu poskytlo:
Servisní středisko pro e-learning na MUKontakt, stránky střediska na Elportále

Nahoru