Proč na hesle záleží víc, než se zdá
Heslo je stále první linií obrany většiny online účtů. Ačkoli se rozšiřuje přihlašování přes biometriku, passkeys nebo dvoufaktorové ověření, běžný uživatel se s hesly setkává denně u e-mailu, banky, sociálních sítí, e-shopů i administrace webu. Právě e-mailový účet bývá nejkritičtější, protože přes něj lze resetovat další přístupy.
Podle bezpečnostních doporučení je problémem hlavně opakované používání stejných hesel a jejich krátká délka. Útočníci dnes nepokoušejí jen ruční hádání, ale používají automatizované slovníkové útoky, databáze uniklých hesel a tzv. credential stuffing, tedy zkoušení kombinací uživatelských jmen a hesel z předchozích úniků. Pokud někdo používá stejné heslo na více místech, jeden únik může otevřít cestu ke všemu ostatnímu.
Jak má vypadat opravdu silné heslo
Nejspolehlivější je heslo, které je dlouhé, jedinečné a nepředvídatelné. Délka je v praxi důležitější než složitá kombinace symbolů. Pro většinu běžných účtů je dnes rozumné minimum 14 až 16 znaků, u citlivých služeb klidně 20 a více. Heslo by mělo být jedinečné pro každý účet, bez výjimky.
Vyhněte se slovům, která lze snadno odhadnout: jména, data narození, názvy měst, sportovních klubů, firmy, domácí mazlíčci, běžné fráze nebo jednoduché vzorce jako Heslo123!. Tyto varianty bývají první na řadě při útoku. Stejně tak nepomůže nahrazování písmen za čísla typu Pa55w0rd; tyto triky znají i automatizované nástroje.
- Správně: dlouhé, náhodné nebo polonáhodné heslo bez osobní vazby.
- Špatně: krátké, opakované, odvoditelné z osobních údajů.
- Cíl: odolat útoku i tehdy, když se útočník dostane k části vašich dat.
Metoda, která si pamatuje i člověk: věta místo chaosu
Prakticky nejlépe funguje tvorba hesla z věty nebo krátkého příběhu. Tato metoda kombinuje zapamatovatelnost a dostatečnou entropii, pokud je věta dostatečně dlouhá a originální. Místo mechanického tvoření náhodných znaků použijte osobní, ale ne veřejně dohledatelnou větu, kterou si snadno vybavíte.
Příklad: z věty „V úterý ráno piju kávu na balkoně, když město ještě spí“ lze vytvořit heslo VurPijKavu!NaBalkone,KdyzMestoSpí. Je dlouhé, obsahuje velká písmena, interpunkci i přirozený rytmus, takže se pamatuje lépe než náhodný řetězec. Pokud chcete ještě větší odolnost, přidejte na konec číslo nebo krátký neosobní prvek, například VurPijKavu!NaBalkone,KdyzMestoSpí-47.
Další možností je metoda prvních písmen. Vezmete delší větu, kterou znáte jen vy, a použijete první písmena jednotlivých slov. Například z věty „Na dovolené vždy vstávám brzy, protože chci vidět východ slunce“ vznikne NdvvbpchvvS. Aby bylo heslo silnější, doplňte do něj nečekané znaky nebo část slova upravte podle vlastního systému. Tato metoda je vhodná hlavně tehdy, když potřebujete heslo rychle vytvořit a snadno si ho vybavit.
Co dnes doporučují bezpečnostní praxe a provoz webů
Moderní přístup k heslům stojí na čtyřech pravidlech: délka, jedinečnost, správce hesel a dvoufaktorové ověření. To platí pro běžné uživatele i firmy. Správce hesel je v současnosti nejpraktičtější nástroj, protože umí generovat náhodná hesla o délce 20+ znaků a bezpečně je ukládat. Uživatel si pak musí pamatovat jen jedno hlavní heslo, případně passkey nebo biometrické odemknutí.
Mezi ověřené správce patří například 1Password, Bitwarden, Dashlane nebo LastPass. Pro firmy bývá důležitá možnost sdílených trezorů, auditů a správy přístupů. Na webu a v e-commerce je vhodné nastavit minimální délku hesla, detekci uniklých hesel a povinné dvoufaktorové ověření alespoň pro administrátory.
Pokud spravujete web na WordPressu, nepoužívejte stejné heslo pro hosting, administraci, databázi a e-mail. U administrátorů je vhodné kombinovat silné heslo s 2FA přes aplikaci jako Google Authenticator, Authy nebo Microsoft Authenticator. U kritických účtů je to výrazně bezpečnější než SMS, které mohou být zranitelné při přesměrování čísla.
Jak si hesla nastavit v praxi, aby fungovala i po letech
Největší problém bývá ne vytvoření hesla, ale jeho dlouhodobé používání bez chaosu. Doporučuje se mít jednoduchý osobní systém, ale nikdy ne opakovaný vzor napříč účty. Například můžete používat stejný „základní jazyk“ nebo styl, ale vždy s jiným, náhodně generovaným doplňkem pro každou službu. Bez správce hesel je ale bezpečnější jít cestou zcela odlišných hesel než se snažit vymýšlet vlastní šifru, kterou si pak budete stejně pamatovat nepřesně.
- Pro e-mail a banku používejte nejdelší a nejunikátnější hesla.
- Pro běžné služby si nechte hesla generovat správcem hesel.
- Každý účet má mít vlastní heslo, bez opakování.
- Po úniku služby heslo okamžitě změňte.
- Aktivujte dvoufaktorové ověření všude, kde to jde.
Dobré je také pravidelně kontrolovat, zda vaše e-mailová adresa nebo heslo nefiguruje v únikových databázích. K tomu slouží například služba Have I Been Pwned, která ukáže, zda byl váš účet součástí známého úniku. Pokud ano, změna hesla nestačí jen na jedné službě; je potřeba zkontrolovat i další účty, kde jste použili stejnou kombinaci.
Nejčastější chyby, které heslo znehodnotí
I silné heslo ztrácí smysl, pokud se k němu přidají špatné návyky. Typická chyba je ukládání hesel do poznámek v telefonu, do nešifrovaných souborů nebo posílání přes e-mail a chat. Nebezpečné je také sdílení hesel mezi kolegy bez evidence a bez přístupových pravidel. Ve firmách se často podceňuje odchod zaměstnance, po kterém zůstávají aktivní přístupy k nástrojům, reklamním účtům nebo CMS.
Další slabinou je phishing. Útočník nemusí heslo hádat, stačí, když vás přiměje zadat ho na falešné stránce. Proto je důležité sledovat adresu webu, používat správce hesel s automatickým vyplňováním a nikdy nezadávat přihlašovací údaje z odkazu v podezřelém e-mailu. U firemních systémů má smysl omezit přístupy podle role a pravidelně kontrolovat logy přihlášení.
Pokud chcete jednoduché pravidlo, které funguje dlouhodobě, držte se této kombinace: dlouhé heslo pro každý účet, správce hesel pro ukládání, dvoufaktorové ověření pro citlivé služby a žádné opakování napříč účty. Právě tahle kombinace dnes výrazně zvyšuje odolnost proti běžným útokům i proti únikům dat, které se objevují prakticky každý týden.