Bezpečnostná príručka

Ako dlhé by malo byť heslo?

Zistite, kedy zvoliť 12, 16, 20 alebo 32 znakov a prečo dĺžka, jedinečnosť a ukladanie hesla sú dôležitejšie ako vizuálna zložitosť.

Zhrnutie

Pre väčšinu moderných účtov je 16 náhodných znakov silný praktický základ. Použite 20 alebo viac pre dôležité osobné, emailové, bankové, pracovné alebo administrátorské účty. Použite 32 znakov, keď bude heslo uložené v správcovi a chráni vysoko hodnotný prístup.

Vyskúšajte generátory pre 16 znakov, 20 znakov alebo 32 znakov.

Dĺžkové pásma

Krátke heslá sa ľahšie uhádnu, pretože existuje menej možných kombinácií. Šesť až deväť znakov je zvyčajne príliš málo na bezpečnosť účtu. Desať až štrnásť znakov môže byť akceptovaných mnohými službami, ale nemalo by sa považovať za preferovanú voľbu pre dôležité účty.

Šestnásť náhodných znakov je dobrý predvolený výber, keď správca hesiel ukladá hodnotu. Dvadsať znakov pridáva rezervu a zároveň zostáva kompatibilných s mnohými stránkami. Tridsaťdva znakov je užitočných pre administrátorské panely, šifrované súbory, databázové prihlasovacie údaje a lokálne tajomstvá.

Náhodná dĺžka verzus ľudská dĺžka

Náhodné 16-znakové heslo je veľmi odlišné od človekom vytvorenej 16-znakovej frázy. Ľudské voľby často zahŕňajú slová, dátumy, mená a predvídateľné koncovky. Útočníci testujú tieto vzory skôr, než sa pokúsia o slepý brute force.

Praktické odporúčania

• Používajte 16 znakov ako bežný základ.
• Používajte 20–32 znakov pre vysoko hodnotné účty.
• Používajte prístupovú frázu (passphrase), ak záleží na zapamätateľnosti.
• Používajte predvoľby bez symbolov alebo bez nejednoznačných znakov len vtedy, keď to vyžaduje kompatibilita.
• Nikdy nepoužívajte rovnaké heslo len preto, že je dlhé.

Podrobné usmernenie

Táto príručka sa zameriava na výber dĺžky hesla pre rôzne riziká účtov. Je určená pre čitateľov, ktorí porovnávajú možnosti 12, 16, 20, 24 a 32 znakov, takže praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie. Cieľom je zvoliť si návyk na heslo, ktorý prežije každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnova účtu, zdieľané zariadenia a občasná služba s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže konzistentne dodržiavať.

Najbezpečnejším východiskovým bodom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo sa nepoužíva nikde inde. Heslo, ktoré je dlhé, ale opakovane používané, môže rýchlo zlyhať po jednom nesúvisiacom úniku, zatiaľ čo jedinečné náhodné heslo obmedzí škodu na jediný účet, kde bolo použité.

Pre túto tému je praktickým prednastavením 16 znakov pre bežné účty, 20 alebo viac pre dôležité účty a 32 pre tajomstvá, ktoré sú skôr uložené ako písané. Toto prednastavenie môžete aplikovať pomocou generátora hesiel s 32 znakmi a potom uložiť výslednú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, kompromitované zariadenie, phishingová stránka alebo nebezpečná manipulácia so schránkou môžu tajomstvo odhaliť aj po jeho vygenerovaní.

Najčastejšie problémy, ktorým sa treba vyhnúť, sú krátke náhodné hodnoty, maximálne dĺžkové limity, staršie formuláre a predpoklad, že pevné číslo je bezpečné pre každý systém. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, uniknuté zoznamy hesiel a zneužitie obnovy účtu sú často realistickejšie ako čisto matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, prístupové kľúče (passkeys), ukladanie kódov na obnovu a pravidelná kontrola nastavení obnovovacieho emailu alebo telefónu.

Použite tento kontrolný zoznam pri aplikácii odporúčania:

• Použite väčšiu dĺžku, keď symboly nie sú povolené.
• Skontrolujte maximálnu dĺžku cieľa pred uložením.
• Vyhnite sa skracovaniu hesiel pre pohodlie.
• Používajte prístupové frázy, keď záleží na zapamätaní.

Ak webová stránka odmietne ideálne nastavenie, nenuťte heslo ručne do slabšieho vzoru. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a čísla povolené a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je jedinečná. Ak musí byť heslo prečítané nahlas, vytlačené alebo napísané na televíznej či routerovej obrazovke, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky, aby ste kompenzovali menšiu abecedu.

Nakoniec si pamätajte hranice rád o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér alebo kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvácny: vygenerujte jedinečnú hodnotu, bezpečne ju uložte, chráňte cestu obnovy a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.

Často kladené otázky

Je 12 znakov dosť?

Náhodné 12-znakové heslo môže byť užitočné pre kompatibilitu, ale 16 alebo viac je lepší predvolený výber, keď to služba akceptuje.

Kedy mám použiť 20 alebo 32 znakov?

Použite 20 alebo viac pre dôležité účty a 32 pre administrátorské, šifrované súbory alebo pracovné postupy s vývojárskymi tajomstvami uloženými v správcovi hesiel.

Môže byť heslo príliš dlhé?

Niektoré služby stanovujú maximálne dĺžky alebo odmietajú symboly. Použite najdlhšiu jedinečnú náhodnú hodnotu, ktorú cieľ akceptuje.