Tento článek čerpá z veřejně dostupného výzkumu kybernetické bezpečnosti, průmyslových zpráv a široce uznávaných bezpečnostních postupů. Tam, kde jsou zmíněny osobní zkušenosti, je to výslovně uvedeno.
Únik dat, na který většina zapomněla — ale neměla by
V roce 2012 zasáhl LinkedIn jeden z tehdy největších úniků dat v historii. Pozdější analýzy ukázaly, že bylo odhaleno zhruba 167 milionů záznamů o účtech a přibližně 117 milionů z nich obsahovalo e-mailové adresy a hashe hesel.
Když bezpečnostní týmy zkoumaly prolomená hesla, výsledky byly bolestně povědomé. password1, linkedin123 a podobné líné volby se objevovaly v milionech. Zajímavější — a znepokojivější — bylo, že i hesla, která vypadala chytře, jako například L!nk3d1n2020, padla rychle. Proč? Protože se řídila vzorci, které lidé používají téměř vždy.
Strávil jsem více než patnáct let prací v oblasti penetračního testování kybernetické bezpečnosti. Mou prací je nabourávat se do systémů — legálně — pomocí stejných metod, na které spoléhají skuteční útočníci. Hesla pro mě nejsou teoretickým tématem; jsou něčím, co vidím v praxi selhávat každý den.
Jak jsou hesla ve skutečnosti napadána
Abyste pochopili, proč některá hesla přežijí a jiná ne, musíte se na to podívat ze strany útočníka. Útočníci nesedí a nehádají hesla jedno po druhém. Vše automatizují.
- Slovníkové útoky (Dictionary Attacks): Ty spoléhají na masivní sbírky skutečných hesel, slov, frází a variací shromážděných z let úniků dat. Tyto slovníky obsahují miliardy záznamů a neustále rostou.
- Útoky založené na pravidlech (Rule-Based Attacks): Ty jsou zničujícím způsobem účinné proti lidské kreativitě. Nástroje automaticky aplikují běžné zvyky: záměna "o" za "0", přidání "123" nebo "!" na konec, velké počáteční písmeno, vložení roku a tak dále. Většina "chytrých" hesel padne právě zde.
- Hrubá síla (Brute Force): Zkoušení každé možné kombinace. To zní děsivě, ale proti dlouhým, skutečně náhodným heslům uloženým pomocí moderních hashovacích algoritmů se hrubá síla rychle stává nepraktickou jednoduše proto, že to trvá příliš dlouho.
Problém s hesly, která si sami vytvoříme
Máme rádi hesla, která si sami vymyslíme, protože nám připadají osobní a zapamatovatelná. Výzkum — a zkušenosti — bohužel ukazují, že jsou také vysoce předvídatelná.
- Vzorce se opakují: Rozsáhlé studie, včetně práce z Carnegie Mellon University, konzistentně ukazují stejné struktury: slovo nebo jméno, velké písmeno na začátku a čísla nebo symboly na konci. Obsah se mění, ale tvar zůstává stejný. Jakmile útočníci tento model struktury vytvoří, prolomení je dramaticky rychlejší.
- Délka naráží na strop: Většina uživateli vytvořených hesel má mezi 8 a 10 znaky. Ne proto, že by lidé nevěděli, že delší je bezpečnější, ale protože paměť nás tlačí ke kratším řetězcům.
- Osobní údaje prosakují: Narozeniny, jména domácích mazlíčků, výročí — lidé je používají neustále. A v éře sociálních médií útočníci často ani nemusí hádat.
Proč náhodná hesla hrají jinou hru
Heslo vytvořené bezpečným generátorem náhodných hesel — něco jako r8$NpL#2qW9 — není jen "složitější". Je zásadně odlišné.
Každý znak je vybrán nezávisle. Nejsou zde žádná slova, žádné náhrady, žádná lidská logika. Tento jediný fakt odstraňuje nejmocnější nástroje útočníka: slovníky a pravidla.
Z číselného pohledu:
- 8místné heslo používající pouze malá písmena má asi 26⁸ možností (~209 miliard).
- Přidejte velká písmena, čísla a symboly a najednou jste na asi 95⁸ (~6 biliard).
- Zvyšte to na 12 znaků a prostor se stane astronomicky velkým.
Ale skutečnou výhodou není jen velikost — je to to, že náhodná hesla nutí útočníky k hrubé síle, což je pomalé, drahé a často to nestojí za námahu.
Jak vypadá prolamování těchto hesel v praxi
Z pohledu penetračního testera je rozdíl markantní:
| Typ hesla | Příklad | Metoda útočníka | Čas na prolomení |
| :--- | :--- | :--- | :--- |
| Vlastnoručně vytvořené | Tiger2021! | Slovníkové a založené na pravidlech | Minuty až hodiny |
| Náhodně vygenerované | r8$NpL#2qW9 | Čistá hrubá síla | Roky / století |
Pokud je heslo správně zahashováno pomocí něčeho jako bcrypt nebo Argon2, hrubá síla proti náhodnému řetězci znamená časový rámec, který činí útok neproveditelným. Ve většině případů v reálném světě útočník prostě jde o dům dál.
Skutečný kompromis: Lidé vs. Náhodnost
Největší slabinou náhodných hesel není bezpečnost — je to použitelnost. Lidé jsou strašní v pamatování si nesmyslných řetězců. To je ústřední napětí v bezpečnosti hesel:
- Hesla, která si lidé dobře pamatují, bývají slabá.
- Hesla, která jsou silná, bývají nezapamatovatelná.
Moderní bezpečnostní postupy existují proto, aby tuto propast překlenuly.
Co dnes skutečně funguje
Na základě konsensu v odvětví a zkušeností z reálného světa:
- Používejte správce hesel: Nástroje jako Bitwarden nebo 1Password vám umožní spoléhat se na jedno silné hlavní heslo, zatímco všechno ostatní je dlouhé, náhodné a jedinečné. Toto je široce považováno za nejlepší možnost pro většinu lidí.
- Pokud si musíte pamatovat, použijte délku: Řetězec nesouvisejících slov (např.
coffee-zebra-battery-stapler) je často odolnější vůči útoku — a snáze se pamatuje — než krátké heslo plné symbolů. - Nikdy nepoužívejte hesla opakovaně: Jakmile je jeden web napaden, opakované použití promění situaci v dominový efekt.
- Povolte MFA: E-mail, bankovnictví, cloudové účty — vždy používejte vícefaktorové ověřování.
- Zkontrolujte vystavení úniku: Služby jako Have I Been Pwned vám umožní zjistit, zda se váš e-mail vyskytuje ve známých souborech dat z úniků.
Závěrečné myšlenky
Toto není filozofická debata o tom, zda lidé nebo stroje vytvářejí "lepší" hesla. Jde o řízení rizik.
Počítače jsou dobré v generování náhodnosti. Lidé jsou dobří v ochraně jednoho tajemství a reakci na výzvy jako MFA. Nejbezpečnějším přístupem je nechat každého dělat to, co umí nejlépe.
Jste připraveni upgradovat své zabezpečení? Vygenerujte si silné offline heslo hned teď a okamžitě ochraňte své účty.