Bezpečnostná príručka

Mali by ste v heslách používať symboly?

Zistite, kedy symboly pomáhajú, kedy spôsobujú problémy s kompatibilitou a prečo na dĺžke a náhodnosti záleží viac ako na vizuálnej zložitosti.

Zhrnutie

Symboly môžu pomôcť, pretože zvyšujú počet možných znakov. Nie sú však zázračné. Krátke heslo s predvídateľným symbolom je stále slabé, zatiaľ čo dlhšie náhodné heslo bez symbolov môže byť silné.

Vyskúšajte predvoľby so symbolmi a bez symbolov.

Kedy symboly pomáhajú

Symboly pomáhajú, keď ich generátor vyberá náhodne a služba ich akceptuje. Môžu splniť požiadavky politiky hesiel a zvýšiť teoretický vyhľadávací priestor.

Kedy symboly zhoršujú použiteľnosť

Symboly môžu spôsobiť problémy v starých formulároch, mobilných klávesniciach, spojovacích reťazcoch, shelloch, konfiguračných súboroch a pri manuálnom prepise. Ak je potrebné symbol escapovať alebo je ľahko zameniteľný, môže to vytvoriť prevádzkové riziko.

Praktické odporúčania

• Zahrňte symboly, ak sú akceptované.
• Pre kompatibilitu používajte predvoľby bez symbolov.
• Zvýšte dĺžku, keď je abeceda obmedzená.
• Vyhnite sa ručným úpravám vygenerovaného hesla.
• Pre tlačené alebo diktované heslá používajte predvoľby bez nejednoznačných znakov.

Podrobné usmernenie

Táto príručka sa zameriava na rozhodovanie, či symboly pomáhajú alebo škodia politike hesiel. Je určená pre ľudí pracujúcich so službami, ktoré vyžadujú alebo odmietajú špeciálne znaky, takže praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie. Cieľom je zvoliť si návyk na heslo, ktorý prežije každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnova účtu, zdieľané zariadenia a občasná služba s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže dôsledne dodržiavať.

Najbezpečnejším východiskovým bodom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo sa nepoužíva nikde inde. Dlhé, ale znovu použité heslo môže zlyhať rýchlo po jednom nesúvisiacom úniku, zatiaľ čo jedinečné náhodné heslo obmedzí škodu na jediný účet, kde bolo použité.

Pre túto tému je praktickou predvoľbou povolenie symbolov, ak ich cieľová služba akceptuje, a dlhšia dĺžka, keď sú odmietnuté. Túto predvoľbu môžete použiť s generátorom hesiel so symbolmi a potom uložiť výslednú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, kompromitované zariadenie, phishingová stránka alebo nebezpečné zaobchádzanie so schránkou môžu tajomstvo odhaliť aj po jeho vygenerovaní.

Najčastejšie problémy, ktorým sa treba vyhnúť, sú preceňovanie jedného symbolu v krátkom hesle, problémy s escapovaním v shelli, chyby pri validácii formulárov a chyby pri manuálnom písaní. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, uniknuté zoznamy hesiel a zneužitie obnovy účtu sú často realistickejšie ako čisté matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, passkeys, ukladanie záložných kódov a pravidelná kontrola obnovovacieho e-mailu alebo telefónneho čísla.

Pri aplikácii odporúčania použite tento kontrolný zoznam:

• Používajte symboly, ak sú akceptované.
• Nespoliehajte sa na jeden symbol na opravu slabého hesla.
• Pre prísne systémy používajte predvoľby bez symbolov.
• Zvýšte dĺžku, keď sú symboly vypnuté.

Ak webová stránka odmietne ideálne nastavenie, nenuťte heslo do slabšieho vzoru ručne. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a číslice povolené a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je jedinečná. Ak sa musí heslo čítať nahlas, tlačiť alebo písať na televíznej či routerovej obrazovke, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky na kompenzáciu menšej abecedy.

Nakoniec si pamätajte hranice rady o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér alebo kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvanlivý: vygenerujte jedinečnú hodnotu, bezpečne ju uložte, chráňte cestu obnovy a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.

Bezpečný ďalší krok

Po prečítaní tejto príručky urobte jeden malý audit účtu namiesto snahy opraviť všetko naraz. Vyberte účet, ktorý by spôsobil najviac problémov, keby bol ovládnutý, potvrďte, že jeho heslo je jedinečné, a skontrolujte obnovovací e-mail, obnovovacie telefónne číslo, metódu MFA a uloženie záložných kódov. Ak je niektorá časť tohto reťazca slabá, zlepšite túto časť pred prechodom na účty s nižším rizikom. Tento poradie udržuje prácu zvládnuteľnú a chráni účty, ktoré útočníci s najväčšou pravdepodobnosťou použijú ako odrazový mostík. Pre otázku “Mali by ste v heslách používať symboly?” je najlepším výsledkom opakovateľný návyk: generovať lokálne, ukladať opatrne a vyhýbať sa opätovnému použitiu.

Často kladené otázky

Robia symboly heslá silnejšie?

Symboly môžu zvýšiť veľkosť abecedy, ak sú vybrané náhodne, ale dĺžka a jedinečnosť sú stále dôležitejšie ako vizuálna zložitosť.

Čo ak webová stránka symboly odmieta?

Použite dlhšie heslo bez symbolov a ponechajte veľké písmená, malé písmená a číslice povolené, ak sú akceptované.

Sú nejednoznačné symboly problém?

Môžu byť, najmä pri tlačených, diktovaných alebo ručne písaných heslách. Ich vylúčenie zlepšuje použiteľnosť, ale znižuje veľkosť abecedy.