Hesla

Jan Černohorský

Šimon Jan Šustek

Slidy jsou dostupné na https://patekvpatek.cz/talks/passwords/

Obsahují užitečné odkazy

Kdo jsme?

  • IT (a STEM) nadšenci
  • pravidelní finalisti Kybersoutěže a členové Czech Cyber Teamu, hrajeme CTF
  • podíleli jsme se i na organizaci ECSC2021 - mistrovství Evropy v kyberbezpečnosti

Zkušenosti s hledáním zranitelností

Co jsou to hesla?

Způsob, jak může aplikace ověřit, že jste to vy.

Screenshot of Google login dialogue Screenshot of Facebook login dialogue

Proč jsou důležitá?

Jedná se o klíče k celému vašemu (onlinovému) životu.

S vaším heslem můžu:

podívat se na vaše kontakty, fotky

vymazat všechna data ve vašem telefonu

S vaším heslem můžu být vy.

(to nechcete)

Znám vaše heslo

Pepicek84!

slovo s velkým písmenem - nějaké jméno (čehokoliv)

číslo - číslo popisné, datum narození, lomítko rč

speciální znak, ! nebo @, ale jenom když musím

Hesla unikají stránkám

The attackers may have obtained access to your Adobe ID and encrypted password.

We have reset your password.

Hashování je fajn, ale

mnoho stránek ho stále nepoužívá

slabé heslo se dá rychle cracknout

a unikají pořád

ověřte si svoji emailovou adresu na haveibeenpwned.com

nastavte si notifikace

Hesla unikají vám


Hesla jsou na hgličgličo,

ale co s tím?

Jak vypadá dobré heslo?

Musí být dlouhé

alespoň

8 12 20?

znaků

Nepředvídatelné

Pepik92

correct horse battery staple

Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

d!13p$*W1Z2RnxUc

náhodné = 👍

Unikátní

jeden účet = jedno heslo

d!13p$*W1Z2RnxUc1

d!13p$*W1Z2RnxUc2

d!13p$*W1Z2RnxUc3

Kdo si to má pamatovat?


Password manager!

Password manager

Program, který se o hesla stará za vás


pamatuje si hesla

generuje silná hesla

vyplňuje hesla za vás

Kde to seženu?

Umí to váš prohlížeč.

V prohlížeči

  • jednoduché používání
  • vytvoříte si účet a synchronizujete
  • dejte pozor na počítače, které používá i někdo jiný - ve škole, v knihovně...
    • když už je musíte použít, pořádně se odhlaste
    • najděte si konkrétní heslo na telefonu a přepište ho

V prohlížeči

Chrome

Synchronizováno přímo s Google účtem

V prohlížeči

Firefox

Synchronizováno přes Firefox Sync

Samostatný

  • větší kontrola
  • rozšíření do prohlížeče → srovnatelný komfort
  • offline i online
  • snadně uložíte i hesla, která nejsou z internetu - PIN k občance, kódy k ☢️ hlavicím...
  • různé funkce navíc - sdílení hesel...

Samostatný

Bitwarden - bitwarden.com

Synchronizace mezi neomezeným počtem zařízení

Do password manageru se musím přihlásit...

...heslem.

Jak ale takové heslo vymyslet?

Jak vytvořit heslo?

password ⟶ passphrase

V heslech můžou být mezery.

Královna Válenda vrátila veverku a pak šla na Bajkal

Kr_lovnaVnda vratilaVarku a8slaNAB.

KrnaV.d.V4V pakŠlanaB.jk.l

KrV-aW4paS.anAbJKA.

Diceware - generování hesel pomocí kostek

22423 hanka 35631 nq 21656 foton 21344 eur 33162 máslo 63646 výkres


hanka nq fot$n eur máslo výkres

Napište si heslo na papírek

Takhle samozřejmě ne...

Hesla jsou ale na hgličgličo, ne?

Jsou...

...ale co s tím?

Vícefaktorové přihlašovaní

Heslo není jediný způsob, jak ověřit uživatele

tři faktory:

něco, co vím - klasické heslo

něco, co jsem - biometrika, otisk, ksichtID

něco, co mám - ???

Co máme všichni neustále u sebe

a dá se pomocí toho ověřit?

myaccount.google.com/security

Aplikace Authy

authy.com

návody, jak vícefaktor zapnout

(Google Authenticator)

Závěr

  • hesla si nepamatujeme - tedy až na jedno
  • to je:
    • unikátní - není použité nikde jinde
    • dlouhé - nejlépe fráze nebo věta
    • náhodné - není předvídatelné, speciální znaky uprostřed slov atd.
  • kde to jde, používáme vícefaktorové přihlašování

Myslete!

Každý má na bezpečnost jiný názor.
Když už se něčím řídím, je třeba vědět proč.

Poděkování

Rádi bychom poděkovali Michalovi Špačkovi za jeho celoživotní úsilí v oblasti bezpečných hesel a za všechny jeho skvělé přednášky, které byly inspirací a významým zdrojem při přípravě této prezentace.

Dotazy & asistence

Kontakt

jan.cernohorsky@gbl.cz
&
simon.sustek@gbl.cz

Děkujeme za pozornost!