Proč jsou hesla stále slabým místem online bezpečnosti
Útočníci dnes často neprolamují zabezpečení „silou“, ale využívají lidské chyby. Podle bezpečnostních zpráv patří mezi nejčastější metody phishing, credential stuffing a útoky na znovupoužitá hesla. To znamená jediné: pokud má někdo vaše přihlašovací údaje z úniku dat, může je zkusit na desítkách dalších služeb.
Největší problém není jen délka hesla, ale jeho předvídatelnost. Hesla typu Jana123!, Letni2024 nebo Firma@2025 vypadají na první pohled složitě, ale slovníky a automatizované nástroje je zvládnou odhadnout během sekund až minut. Zásadní je proto kombinace délky, náhodnosti a jedinečnosti.
Jak má vypadat opravdu silné heslo
Bezpečnostní praxe dnes doporučuje stavět hesla hlavně na délce. Pro běžné účty je rozumné minimum 14 znaků, u citlivých účtů 16 a více. Čím je heslo delší, tím dramaticky roste čas potřebný k jeho prolomení. Důležité je také vyhnout se osobním údajům, slovům z běžného slovníku a jednoduchým vzorům na klávesnici.
Nejlépe fungují dvě cesty:
- passphrase – delší věta nebo spojení několika nesouvisejících slov, například ModryKufrPijeKafe7!
- náhodný řetězec – například pomocí správce hesel, třeba uQ8!mT2#vL9$pR4
První varianta se lépe pamatuje, druhá bývá ještě odolnější. Pro běžného uživatele je nejpraktičtější právě passphrase: délka 16 až 20 znaků, kombinace slov, čísla a symbolu, bez vazby na osobní život.
Postup, jak si heslo vytvořit a zapamatovat
Nejjednodušší způsob je vycházet z věty, kterou si snadno vybavíte, ale která nedává smysl ostatním. Například: „Na podzim piju kávu v 7 ráno a čtu zprávy.“ Z ní lze vytvořit heslo NaPodzimPijuKavuV7Rano@CtuZpravy. Je dlouhé, zapamatovatelné a pro útočníka výrazně méně předvídatelné než krátká kombinace znaků.
Ještě lepší je přidat osobní, ale neveřejný prvek, který není snadno dohledatelný na sociálních sítích. Může jít o interní zkratku, náhodně zvolený symbol nebo část věty, kterou nikde nepoužíváte. Neopírejte se ale o datum narození, jméno dítěte nebo název psa – to jsou přesně údaje, které útočníci zkoušejí jako první.
Praktický postup může vypadat takto:
- vyberte si 4 až 5 nesouvisejících slov,
- vložíte mezi ně znak nebo číslo,
- přidejte velká písmena na nečekaná místa,
- nepoužívejte stejný vzor pro všechna hesla.
Příklad: Jelen!Muzeum8Lampa#Snih. Takové heslo se hůře hádá než běžná „chytrá“ hesla, protože nepoužívá jednoduchý jazykový vzor.
Proč se hesla nesmí opakovat a jak to řešit v praxi
Opakování hesel je jeden z největších bezpečnostních problémů. Když unikne heslo z jedné služby, útočníci ho automaticky testují na e-mailu, bankovnictví, e-shopech i sociálních sítích. Tomuto způsobu útoku se říká credential stuffing a funguje právě proto, že lidé používají stejná přihlašovací data opakovaně.
V praxi to znamená, že každý důležitý účet by měl mít unikátní heslo. Pro deset různých služeb tedy potřebujete deset různých hesel. Ručně je ale dlouhodobě nedává smysl udržovat v hlavě. Tady nastupuje správce hesel.
Mezi známé a běžně používané nástroje patří například Bitwarden, 1Password, Dashlane nebo vestavěné správce v Google Password Manager a Apple iCloud Keychain. Jejich přínos je praktický: vygenerují silné heslo, bezpečně ho uloží a automaticky doplní při přihlášení. Uživatel si pak pamatuje jen jedno hlavní heslo k trezoru.
Pro firmy je vhodné zavést pravidlo, že přístup do pracovních systémů má být oddělený od soukromých účtů. Firemní e-mail, CRM, hosting, administrace webu nebo analytické nástroje by neměly sdílet stejné přihlašovací údaje jako osobní služby zaměstnanců.
Správce hesel, dvoufaktor a další vrstva ochrany
Silné heslo je základ, ale samo o sobě nestačí. Dnes je standardem přidat dvoufaktorové ověření (2FA nebo MFA). Pokud útočník zjistí heslo, bez druhého faktoru se do účtu nedostane. Nejlepší volbou bývají aplikace jako Microsoft Authenticator, Google Authenticator, Authy nebo hardwarové bezpečnostní klíče typu YubiKey.
SMS kódy jsou lepší než nic, ale nejsou ideální. Mohou být zranitelné vůči SIM swappingu nebo přesměrování zpráv. Pro citlivé účty, zejména e-mail, cloud, administraci webu a bankovnictví, je vhodnější aplikace nebo hardwarový klíč.
Správce hesel navíc umí pomoci i s bezpečnostním auditem. Mnohé nástroje upozorní na:
- slabá hesla,
- duplicitní hesla,
- hesla po úniku dat,
- nepoužívané nebo staré záznamy.
To je důležité zejména pro weby a e-shopy, kde se přihlašuje více lidí. Správce hesel umožní jednoduše předat přístup bez nutnosti posílat heslo v e-mailu nebo chatu.
Co dělat, když si hesla nepamatujete nebo je už máte příliš mnoho
Nejčastější důvod, proč lidé používají slabá hesla, není nezájem, ale přetížení. Při desítkách účtů je paměť nespolehlivá. Proto má smysl přejít na systém, který je realistický a udržitelný.
Začněte u nejdůležitějších účtů v tomto pořadí:
- hlavní e-mail,
- bankovnictví a platební služby,
- správce hesel,
- cloud a zálohy,
- sociální sítě a pracovní nástroje.
U každého z nich nastavte jedinečné heslo a zapněte dvoufaktorové ověření. Pak postupně měňte slabá nebo opakovaná hesla u dalších služeb. Pokud používáte notebook, telefon i tablet, synchronizace přes správce hesel výrazně sníží riziko, že budete hesla ukládat do poznámek nebo posílat sami sobě e-mailem, což je bezpečnostně nevhodné.
Praktický tip: jednou za 3 až 6 měsíců si udělejte kontrolu účtů. Zjistíte, zda některé heslo neuniklo, zda nemáte staré služby bez 2FA a zda se některé přístupy zbytečně neopakují. V prostředí firmy by podobný audit měl být součástí pravidelné bezpečnostní správy.
Nejčastější chyby, které znehodnotí i jinak silné heslo
I kvalitní heslo může být slabým místem, pokud se s ním zachází špatně. Nejčastější problém je zapisování hesel na papír přilepený k monitoru nebo ukládání do nešifrovaných souborů. Další chybou je sdílení přístupů přes chat bez bezpečného kanálu, zejména u firemních systémů.
Pozor si dejte také na phishing. Útočník může vytvořit falešnou přihlašovací stránku, která vypadá jako bankovnictví, Google nebo WordPress administrace. Když heslo zadáte tam, je ztracené. Proto je důležité kontrolovat adresu webu, používat uložené záložky a nepřihlašovat se přes odkazy z podezřelých e-mailů.
Pokud spravujete web nebo e-shop, zvažte i technická opatření: omezení pokusů o přihlášení, bezpečné obnovování hesel, logování přístupů, pravidelné aktualizace CMS a pluginů a oddělené role pro administrátory, editory a externisty. Bezpečnost totiž nezačíná jen u hesla, ale právě u celého přístupového systému.
Neprůstřelné heslo je tedy především heslo dlouhé, jedinečné a uložené v bezpečném nástroji. Když k tomu přidáte dvoufaktorové ověření a základní disciplínu při správě účtů, výrazně snížíte riziko, že se k vašim datům dostane někdo nepovolaný.