Bezpečnostná príručka
MFA vs silné heslo
Zistite, ako viacfaktorová autentifikácia a silné heslá spolupracujú a prečo žiadna z týchto ochrán nenahrádza druhú.
Zhrnutie
MFA a silné heslo riešia rôzne problémy. Silné heslo sťažuje hádanie a opätovné použitie hesiel. MFA pridáva druhú bariéru, keď je heslo ukradnuté, phishingom získané alebo uniknuté. Pri dôležitých účtoch používajte oboje.
Typy MFA
MFA môže zahŕňať autentifikačné aplikácie, hardvérové bezpečnostné kľúče, prístupové kľúče (passkeys), push schválenia, SMS alebo e-mailové kódy. Metódy sa líšia v odolnosti voči phishingu a riziku obnovenia. Druhé heslo nie je skutočný druhý faktor.
Praktické odporúčania
- Používajte unikátne náhodné heslá pre každý účet.
- Povoľte MFA pre e-mail, bankovníctvo, prácu, cloud a účty správcov hesiel.
- Uprednostnite metódy odolné voči phishingu, ak sú k dispozícii.
- Bezpečne si uložte záložné kódy.
- Pravidelne kontrolujte záložné metódy a dôveryhodné zariadenia.
Podrobný návod
Tento návod sa zameriava na to, ako MFA a silné heslo navzájom dopĺňajú. Je určený pre používateľov, ktorí sa pýtajú, či MFA robí silu hesla menej dôležitou, takže praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie. Cieľom je vybrať si návyk s heslom, ktorý prežije každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnovenie účtu, zdieľané zariadenia a občasné služby s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže konzistentne dodržiavať.
Najbezpečnejším východiskovým bodom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo nie je použité nikde inde. Heslo, ktoré je dlhé, ale opakovane používané, môže rýchlo zlyhať po jednom nesúvisiacom úniku, zatiaľ čo unikátne náhodné heslo obmedzí škodu na jediný účet, kde bolo použité.
Pre túto tému je praktickým prednastavením unikátne náhodné heslo plus nezávislý druhý faktor. Toto prednastavenie môžete aplikovať pomocou generátora hesiel pre e-mail a potom uložiť výslednú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, kompromitované zariadenie, phishingová stránka alebo nebezpečná manipulácia so schránkou môžu tajomstvo odhaliť aj po jeho vygenerovaní.
Najčastejšie problémy, ktorým sa treba vyhnúť, sú zachytenie SMS, únava z výziev, slabý záložný e-mail, nebezpečné uloženie záložných kódov a opakovane používané heslá za MFA. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, uniknuté zoznamy hesiel a zneužitie obnovenia účtu sú často realistickejšie ako čisto matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, prístupové kľúče, ukladanie záložných kódov a pravidelná kontrola záložného e-mailu alebo telefónneho nastavenia.
Použite tento kontrolný zoznam pri aplikovaní odporúčania:
- Používajte aplikácie, hardvér alebo prístupové kľúče, ak sú k dispozícii.
- Najprv chráňte e-mail.
- Bezpečne si uložte záložné kódy.
- Neoslabujte heslá, pretože je povolená MFA.
Ak webová stránka odmietne ideálne nastavenie, nenuťte heslo ručne do slabšieho vzoru. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a čísla povolené a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je unikátna. Ak musí byť heslo prečítané nahlas, vytlačené alebo napísané na televíznej alebo routerovej obrazovke, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky na kompenzáciu menšej abecedy.
Nakoniec si pamätajte hranice rád o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér alebo kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvanlivý: vygenerujte unikátnu hodnotu, bezpečne ju uložte, chráňte cestu obnovenia a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.
Bezpečný ďalší krok
Po prečítaní tohto návodu urobte jeden malý audit účtu namiesto toho, aby ste sa snažili opraviť všetko naraz. Vyberte účet, ktorý by spôsobil najviac problémov, keby bol prevzatý, potvrďte, že jeho heslo je unikátne, a skontrolujte záložný e-mail, záložný telefón, metódu MFA a uloženie záložných kódov. Ak je niektorá časť tohto reťazca slabá, zlepšite túto časť predtým, ako prejdete na účty s nižším rizikom. Toto poradie udržuje prácu zvládnuteľnú a chráni účty, ktoré útočníci s najväčšou pravdepodobnosťou použijú ako odrazový mostík. Pre mfa vs silné heslo je najlepším výsledkom opakovateľný návyk: generovať lokálne, starostlivo ukladať a vyhýbať sa opätovnému použitiu.
Často kladené otázky
Nahrádza MFA silné heslo?
Nie. MFA znižuje riziko prevzatia účtu, ale heslo by malo byť stále unikátne a silné.
Je SMS MFA dostatočné?
SMS môže byť lepšie ako žiadna MFA, ale autentifikačné aplikácie, prístupové kľúče a bezpečnostné kľúče sú často silnejšie, ak sú k dispozícii.
Čo by som mal chrániť ako prvé?
Najprv chráňte e-mail, správcu hesiel, bankovníctvo, prácu a cloudové účty, pretože môžu odomknúť ďalšie služby.