Správa hesel: jak na bezpečná hesla + 5 tipů na password manager

Na první čtvrtek v květnu připadá světový den hesel, jehož cílem je připomenout, jak správně zabezpečit své účty a soubory. Protože je pro nás téma bezpečnosti důležité, rozhodli jsme se, že k osvětě také přispějeme. Zaměřili jsme se zejména na tvorbu opravdu silných hesel, která jdou ruku v ruce s problematikou jejich bezpečného skladování.

Správa hesel dovoluje volit komplikovaná a náhodná hesla
JAN MŮČKA
  • JAN MŮČKA

  • 06. 05. 2021
  • 10 MIN ČTENÍ
Zkopirovat do schránky

Článků o tom, že je nevhodné používat oblíbené heslo „123456”, již vyšlo spoustu. Místo běžných pouček se proto pokusíme vysvětlit, jak vytvářet skutečně kvalitní hesla, jak měřit jejich úroveň zabezpečení a kde taková hesla správně skladovat.

Hned na úvod ještě zmíníme, že heslo by mělo být ideálně doplněné o další způsob ověření. Běžně se používá například dvoufázová autentifikace pomocí SMS nebo OTP kódu, biometrická autentizace, třeba otiskem prstu, či hardwarový klíč. Pokud si tento druhý krok pro přihlašování můžete nastavit, tak neváhejte. Váš účet bude v mnohem větším bezpečí, než kdybyste se spoléhali pouze na sebesilnější heslo.

Zabezpečte své firemní IT na maximum

Obrana proti Dos a DDoS útokům, aplikační či síťový firewall nebo ochrana před spamem a malware by měly být součástí každé firemní IT infrastruktury. Nechte si od zkušených odborníků z MasterDC namíchat bezpečnostní koktejl na míru.

Více o kybernetické bezpečnosti

Parametry bezpečného hesla

Základní bezpečnostní zásady praví, že skutečně silné heslo musí mít dostatečnou délku, obsahovat malá a velká písmena, číslice i speciální znaky. Kromě toho by měl být celý řetězec co nejvíce náhodný. To je ovšem vykoupeno špatnou zapamatovatelností. Jednou z možností je proto zvolit heslo o několika náhodných slovech, které jsou pro člověka snadněji vybavitelné, a proložit je dalšími znaky, jež výrazně sníží strojovou prolomitelnost takového hesla.

Protože má lidský mozek sklony myslet v opakujících se vzorcích, což může snížit bezpečnost řetězce slov, je vhodné si takové dostatečně náhodné heslo vygenerovat strojově. Vytvořit si ho můžete například na stránkách XKPasswd.net. Výsledné heslo pak vypadá například takto: „??33&worth&BROUGHT&september&9??”.

Účinný přístup pro vytváření hesel s vysokou mírou náhodnosti, která si lze relativně snadno zapamatovat, nabízí i metoda zvaná diceware. Ta je založená na výběru slov za pomocí hracích kostek. Tím je zajištěno, že slova nebudou mít žádný vztah k uživateli, který si heslo takto vybírá.

Mezinárodní nezisková organizace Electronic Frontier Foundation pro tyto účely vytvořila několik seznamů slov, které odpovídají určitému počtu hodů. Když si například vybereme seznam založený na 5 hodech kostkou a padnou nám čísla 1,6,2,1 a 2, odpovídá to slovu „cloud”.

V roce 2014 prohlásil tvůrce této metody, Arnold Reinhold, že bezpečné heslo by mělo obsahovat alespoň 6 takových náhodných slov oddělených mezerou. Sílu hesla lze navíc výrazně zvýšit dodatečným přidáním číslic, speciálních znaků a střídáním malých a velkých písmen.

Entropie hesla jako měřítko bezpečnosti

Míru bezpečnosti hesla je možné vyjádřit pomocí tzv. entropie neboli nahodilosti, která se vyjadřuje bitech. Čím vyšší entropie, tím je heslo samozřejmě silnější. Například heslo s entropií 1 bit má přesně 2 stejně pravděpodobné možnosti, u 4 bitů je to už 16 možností, u 20 bitů přes milion možností a v případě 50 bitů má heslo přes biliardu variant.

Tento výpočet stejně pravděpodobných možností (2 umocněné počtem bitů) ovšem udává pravdivou sílu hesla pouze v případě, že znaky jsou vybrány zcela náhodně. V situaci, kdy je heslo vytvořené ze slov, nebo z jiných pravděpodobnějších řetězců znaků nevybraných nahodile, je skutečná entropie mnohem nižší.

Když hacker například ví, že bylo heslo vytvořeno metodou diceware a obsahuje 6 slov s mezerami (bez obohacení o speciální znaky, číslice a střídání malých a velkých písmen), je entropie takového hesla přibližně 77 bitů.

Proto vygenerované heslo o 32 znacích, které klade důraz i na zapamatovatelnost, není ve skutečnosti ani zdaleka tak silné jako stejně dlouhé heslo složené z totožné sady znaků, ale vytvořené náhodně, například nástrojem od poskytovatelů českého antiviru Avast.


Při přihlašování je zpravidla omezen počet pokusů, které lze za určitý časový úsek vykonat. V praxi tak hackeři hesla prolamují skrze jejich zahashované podoby, které se jim podaří získat z databáze určitého serveru. Právě v takové chvíli je zcela zásadní, aby vaše heslo bylo jedinečné a unikátní, jinak je pro hackery převod z hashe do textové podoby hračkou. Zdroj: Youtube.com

Hlava nám to nepobere aneb Kde hesla skladovat?

Lidé běžně používají i vyšší desítky účtů, které potřebují adekvátně zabezpečit. Používat jedno bezpečné heslo všude se ovšem nedoporučuje. Může se totiž stát, že takové heslo pak zadáme do špatně zabezpečeného nebo dokonce falešného formuláře, čímž hackerům poskytneme naše přihlašovací údaje do všech účtů.

Pamatovat si ale desítky dlouhých jedinečných hesel, přičemž mnohé z nich se používají jen sporadicky, je prakticky nemožné. Právě k tomu účelu existují password managery neboli správci hesel. Do nich lze bezpečně vložit mnoho unikátních přihlašovacích údajů k různým službám a nástrojům. Stačí si pak pamatovat pouze jediné heslo – to hlavní k password manageru – abyste se mohli přihlásit do všech svých účtů.

Díky tomu si můžete nastavit libovolně silná hesla, která splňují ty nejpřísnější standardy. Tedy že jsou dostatečně dlouhá, složená z široké škály znaků, jsou velmi nahodilá a navíc pro každý účet zcela jedinečná. Pro samotný přístup do password manageru si pak můžete vytvořit snadněji zapamatovatelné heslo, jehož jádrem bude řetězec slov.

Oblíbené password managery

Princip programů pro správu hesel je u většiny nástrojů stejný – bezpečné uložení určitého počtu hesel, ke kterým se dostanete po zadání centrálních přístupových údajů, obvykle s nutností dalšího způsobu autentizace.

Jednotlivé nástroje se ale přesto od sebe více či méně odlišují, a to zejména maximálním počtem skladovaných hesel, neobvyklými funkcemi a v neposlední řadě cenou. Vybrali jsme proto 5 oblíbených password managerů, u nichž jsme srovnali různé parametry a podívali se i na jejich historii a reference.

1Password: Běžné funkce s nadstandardní podporou

Správce hesel 1Password se v žebříčcích různých zdrojů pravidelně objevuje na předních místech. Produkt nenabízí bezplatnou verzi, pouze 14denní trial. Pro jednu osobu stojí tento nástroj 2,99 $ na měsíc, zakoupit si ale lze i rodinnou licenci až pro 5 lidí za 4,99 $ měsíčně. Balíčky určené k firemním účelům začínají na 3,99 $ a taktéž umožňují přístup více lidem.

Počet uložených hesel je ve 1Password bez omezení. Skladování zabezpečených dokumentů je ale limitováno – například u základních balíčků má uživatel k dispozici 1 GB prostoru. Nechybí ani dvoufaktorová autentizace a digitální peněženka pro bezpečné ukládání kreditních karet a přístupových údajů do bank nebo PayPalu. Firemní balíčky obsahují také sdílené úložiště nebo správu uživatelských oprávnění.

1Pasword se od roku 2005 vypracoval na společnost se 420 zaměstnanci. Jejich produkt využívají miliony lidí a přes 80 tisíc firem. Díky robustnímu týmu může 1Password poskytovat svým zákazníkům nadstandardní podporu.

Sticky Password: Chraňte svá data i kapustňáky

Mezi zahraničními konkurenty se rozhodně neztratí ani produkt Sticky Password od českých tvůrců, který je dostupný ve dvou variantách – zcela zdarma nebo v Premium verzi za 690 Kč ročně či 4590 Kč jednorázově.

Obě licence umožňují skladovat neomezený počet hesel a údajů. Pro přihlašování si můžete k heslu přidat dvoufaktorovou nebo biometrickou autentizaci. Další užitečné funkce jsou třeba generátor silných hesel, digitální peněženka nebo automatické přihlašování a vyplňování formulářů. S placenou verzí pak lze bezpečně sdílet svá hesla nebo je zálohovat do cloudu.

Nutno také poznamenat, že Sticky Password není žádný start-up několika IT nadšenců, ale 20 let fungující projekt, do kterého se pustili bývalí vedoucí zaměstnanci AVG Technologies. Jejich nástroj používá přes 2 miliony uživatelů, mezi kterými nechybí třeba antivirová společnost ESET. Za povšimnutí stojí i to, že zakoupením prémiové verze nepodpoříte jen českou ekonomiku, ale také ohrožené kapustňáky, na které firma z každé prodané licence přispívá.

Dashlane: netradiční nástroje pro vaši bezpečnost

Kromě bezplatné verze nabízí Dashlane dva plány pro jednotlivce – Essential (2,49 $/měsíc) nebo Premium (3,99 $/měsíc) – dále jeden rodinný balíček, kdy za 5,99 $ získáte šest Premium licencí, a také dva balíčky určené pro firmy za 5 a 8 $. Díky 30dennímu trialu si můžete vše zdarma vyzkoušet.

Neplacená verze nabízí uložení až 50 hesel. Velkou nevýhodou ovšem je, že password manager lze využívat jen na jednom zařízení. Nejlevnější balíček pro jednotlivce sice povoluje ukládat libovolný počet hesel, použití je ale omezeno na 2 zařízení. Ostatní varianty už počet zařízení ani skladovaných hesel nelimitují a navíc umožňují zašifrované uložení souborů až do velikosti 1 GB.

Placené verze nabízí mnoho neobyvkylých funkcí, jako například VPN připojení pro bezpečné procházení internetu z veřejně dostupných WiFi sítí, monitoring, zda se váš e-mail či jiné osobní údaje nevyskytují na dark webu, nebo možnost nastavit si automatické měnění hesla. K tomu všemu samozřejmě nechybí obvyklé funkce jako třeba dvoufaktorová autentizace, možnost sdílení účtu nebo generátor hesel.

Produkt Dashlane je na trhu od roku 2012 a od té doby si získal více než 14 milionů uživatelů a používá ho přes 18 tisíc firem. V mnoha žebříčcích je navíc označován za vůbec nejlepší password manager.

Kaspersky Password Manager: Software od špičky v oboru

Kaspersky nabízí dvě varianty svého password manageru. První je zcela bezplatná a druhá stojí 310 Kč ročně. Hlavní rozdíl je mezi nimi v počtu hesel a dokumentů, které je v nástroji možné bezpečně ukládat. V bezplatné verzi nesmí být jejich souhrnný počet vyšší než 15 a v případě placené verze není jejich počet limitován.

Ostatní funkce jsou u neplacené i placené verze totožné. Jedná se například o generátor hesel, upozorňování na nedostatečnou sílu či duplicitu hesel, automatické vyplňování formulářů nebo třeba import přihlašovacích údajů z prohlížečů.

Kaspersky také garantuje tzv. „Zero–Knowledge” zabezpečení, což znamená, že poskytovatel (a ani nikdo jiný) nebude mít k vašim datům přístup. Což je samozřejmě žádoucí, ale v důsledku to znamená, že v případě ztráty hlavního hesla nelze jakkoliv přístupový údaj obnovit.

O důvěryhodnosti společnosti Kaspersky asi není nutné pochybovat. Za 20 let se totiž vypracovala mezi světovou špičku v oblasti kybernetické bezpečnosti. Její produkty používá přes 270 tisíc společností a 400 milionů lidí ve více než 200 zemích či oblastech.

Bitwarden: Open source s přívětivým UX

Bitwarden se od ostatních konkurentů liší tím, že se jedná o open-source software. Nabízí několik variant pro jednotlivce – základní bezplatnou verzi, premium za 10 $/rok nebo skupinový balíček až pro 6 lidí za 40 $/rok. Pro organizace a firmy je produkt naceněn individuálně podle počtu uživatelů.

U všech variant je k dispozici dvoufaktorové přihlašování a je možné skladovat neomezený počet zašifrovaných položek, jako jsou přihlašovací údaje, poznámky, kreditní karty či doklady. Platící zákazníci mohou navíc využívat 1GB zabezpečenou storage, reporty o úrovni svého zabezpečení nebo prémiovou podporu. Mají také na výběr z více možností jak v druhém kroku ověřit svou identitu. Použít mohou mimo jiné i hardwarový klíč.

Z představených password managerů má Bitwarden nejkratší historii. Produkt byl uveden na trh až v srpnu 2016. Za tu dobu byl ale přeložen do několika desítek jazyků. Díky svému open source charakteru je navíc pod drobnohledem široké komunity, která ho neustále vylepšuje. Kód si lze snadno projít na GitHubu, což dělá z Bitwardenu vhodnou platformu pro ty, kteří nechtějí svěřit svá hesla programu, do nějž nevidí a nemůžou mít tak 100% jistotu, že se v kódu nenachází nějaký „háček”, který by mohl ohrozit jejich bezpečnost.

Správců hesel existuje opravdu mnoho a bylo by o nich možné popsat spoustu virtuálních stran. Jmenujme alespoň ty nejčastěji zmiňované, mezi které patří LastPass, RoboForm, EnPass, Keeper nebo NordPass. Z open source projektů pak stojí za zmínku například KeePassXC, Clipperz nebo LessPass.

Ať už zvolíte kterýkoliv z password managerů, uděláte důležitý krok k tomu, abyste zajistili své osobní údaje. Tito správci hesel se ale hodí i pro firemní účely. Mnohé nástroje dokonce nabízí i speciální funkce jako bezpečné sdílení hesel mezi uživateli v týmu nebo třeba zabezpečenou storage pro společné dokumenty. Mít v pořádku hesla je samozřejmě základ. Pro bezpečnost firemního IT se toho ale dá udělat mnohem víc.

Líbil se vám článek? Ano / Ne