Jeden z autorov pôvodných odporúčaní, William Burr, uznáva, že šlo o chybu. Po novom by ste namiesto hesla plného čísel a písmen mali zvoliť väčší počet náhodne vybraných slov.
Najčastejším spôsobom, ako potvrdiť svoju totožnosť, je zadanie mena a hesla. Ako si takéto heslo zvoliť, to zvyčajne softvér alebo služba nechá na používateľovi. Ale to vedie k tragickým výsledkom: ľudia si príliš často vyberajú primitívne a preto ľahko uhádnuteľné heslo typu 12345, password123 alebo aaaaaa, uvádza iDNES.
Programátori preto zvyčajne uvalia na používateľov určité obmedzenia. Najčastejšie ide o kombináciu týchto pravidiel:
- Dĺžka hesla minimálne 8 znakov
- Heslo musí obsahovať aspoň jedno veľké písmeno, jedno malé písmeno, aspoň jednu číslicu a aspoň jeden "špeciálny znak"
- Heslo nesmie obsahovať "populárne slovo" alebo užívateľské meno
- Heslo je potrebné pravidelne meniť
Tieto podmienky boli súčasťou odporúčania amerického Národného inštitútu štandardov a technológie (NIST) z roku 2004. Práve tento dokument pomohol k tomu, aby sa "prototypom správneho hesla" stali príklady v štýle sUp3r.man alebo Jarmo! 1kA.
Jedným z autorov bol vtedajší manažér William Burr, ktorý je už na dôchodku. 72-ročný Burr po rokoch pre The Wall Street Journal opísal, ako vtedy s kolegami dospel k radám, ktoré formovali pravidlá v USA aj po celom svete v nasledujúcich desiatich rokoch. Podľa neho existovalo málo dát ohľadom voľby hesiel a Burr spolu s kolegami občas vychádzali z dokumentov z 80.rokov 20. storočia. Napriek tomu robili, čo bolo v ich silách. "Výsledkom však bolo, že sme dokument napísali príliš komplikovane a mnohí ľudia mu nerozumeli. Poučovali sme na nesprávnom mieste, "uznáva Burr.
Teoreticky dávajú samozrejme klasické pravidlá určujúce zložitosť (komplexnosť) hesla zmysel. Vychádzajú z princípu informačnej teórie zvanej entropia: nie každý znak hesla vnáša rovnakú mieru náhody a neistoty. Práve slovníkové útoky (keď útočník strojovo skúša rôzne slová zo slovníka alebo databázy) viedli Burra a jeho kolegov k vynúteniu špeciálnych znakov, čísel, veľkých / malých písmen a častej obmeny hesla.
Teoreticky je najlepšie mať ako heslo dlhý, nezmyselný a náhodný reťazec znakov. Pre každú službu má mať používateľ jedinečné heslo, ktoré si nikam nezapisuje a iba si ho pamätá. V praxi to však zvyčajne nie je možné. Redakcia Technet.cz preto zostavila realistickejší návod, ako vyberať heslá, na základe odporúčaní expertov, reálnych skúseností s dostupnými službami a vzhľadom na schopnosti hackerov prelomiť heslá.
- Vyberte si zložité dlhé heslo! Dôležitá je dĺžka hesla a jeho "náhodnosť". Príkladom dobrého, ale zapamätateľného hesla sú napríklad štyri alebo päť náhodne vybraných, nesúvisiacich slov: osolkvethumoristabatoh
- Neopakujte heslá! Každé heslo by malo byť unikátne, inak hrozí, že ak sa útočník dostane na jeden z vašich účtov, môže sa dostať k viacerým ďalším.
- Silné a jedinečné heslá tam, kde na tom záleží! Rozlišujte medzi dôležitými a menej dôležitými službami. Ak niekto "prelomí" vaše heslo k vernostnej karte do drogérie, nie je to taká dráma, ako keď prelomí heslo k vášmu súkromnému e-mailu. Uistite sa, že máte nastavené silné a jedinečné heslá pre dôležité služby (e-mail, sociálne siete, všetko, čo zahŕňa uloženie peňazí alebo dát ...).
- Prihlasujte sa cez zabezpečené stránky! Vždy aspoň letmým pohľadom overte, že heslo zadávate na stránke, ktorá používa HTTPS (šifrované spojenie medzi vaším prehliadačom a vzdialeným serverom). Znemožníte tak útočníkom odpočúvať vaše heslo po ceste (alebo im to aspoň výrazne skomplikujete).
- Využite dvojfaktorové zabezpečenie! Tam kde to služba umožňuje, nezabudnite zapnúť dvojstupňové overenie (tiež dvojfaktorová autentizácia, dvojfázové overenie). Napríklad Google, Facebook, Microsoft a väčšina poskytovateľov elektronického bankovníctva ponúka nejakú formu dodatočného overenia, či už cez SMS (neodporúča sa), špeciálnu aplikáciu alebo dokonca hardvérový token. Dvojfaktorové zabezpečenie síce je niekedy otravné, ale stále je najlepším zabezpečením proti množstvu útokov na diaľku, cielených aj plochých.
- Využite prihlásenie cez platformu, ale opatrne: niektoré služby umožňujú prihlásenie skrz platformu tretej strany (najčastejšie Google, Twitter alebo Facebook). Tým odpadá starosť s výberom používateľského mena a hesla. Nezabudnite však skontrolovať, či tým nedávate nejakej službe prístup k súkromným údajom