Jak dlouhé by mělo být heslo

Hesla chrání téměř vše, co děláme online—e-mail, bankovnictví, sociální média, cloudové úložiště, vývojářské platformy a mnoho dalšího. Výběr správné délky (a složení) hesla je jedním z nejjednodušších způsobů, jak zlepšit zabezpečení bez přílišného narušení vašeho každodenního pracovního postupu.

Tento článek vysvětluje, jak dlouhé by mělo být heslo, proč na délce záleží, co doporučují přední standardizační organizace, a jak vytvořit silná, jedinečná hesla, která jsou snadno spravovatelná.

Co je to silné heslo?

Silné heslo je takové, které je pro útočníky těžké uhodnout nebo vypočítat. Síla hesla pochází ze dvou hlavních složek:

• Délka: více znaků dramaticky zvyšuje počet možných kombinací.
• Nepředvídatelnost: náhodnost a vyvarování se běžných vzorců nebo osobních informací.

Když jsou tyto dvě složky přítomny, hesla odolávají útokům hrubou silou (systematické zkoušení kombinací), slovníkovým útokům (zkoušení běžných slov a vzorců) a mnoha automatizovaným technikám prolomení.

Minimální délka hesla: cílem je 16 znaků (nebo více)

Odborníci na bezpečnost konzistentně zdůrazňují délku. Americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) doporučuje volbu hesel, která jsou “dlouhá—alespoň 16 znaků dlouhá (ještě delší je lepší).” Jejich pokyny naleznete zde: https://www.cisa.gov/secure-our-world/require-strong-passwords

Národní institut standardů a technologie (NIST) zaujímá podobný postoj ve svých Směrnicích k digitální identitě, které zdůrazňují, že délka hesla je primárním faktorem při charakterizování síly hesla a že by uživatelé měli být motivováni k vytváření delších hesel, kde je to praktické. Viz: https://pages.nist.gov/800-63-4/sp800-63b.html

V praxi by mělo být 14 znaků považováno za dolní hranici, zatímco 16+ znaků je lepší výchozí hodnota. U zvláště citlivých nebo dlouhodobě platných účtů je výhodné jít ještě déle—za předpokladu, že to stránka dovolí a můžete heslo bezpečně uložit.

Je vhodné vždy použít nejdelší heslo?

Delší hesla jsou proti hrubé síle téměř vždy silnější. Ale existuje několik praktických ohledů:

• Omezení stránek: Některé služby omezují maximální délku nebo zakazují určité znaky. Pokud k tomu dojde, použijte nejdelší povolenou délku s vysokou náhodností.
• Použitelnost: Pokud zadáváte hesla na malých zařízeních nebo ve stísněném prostředí, mohou být extrémně dlouhé řetězce obtížné—pokud nepoužíváte správce hesel pro automatické vyplňování.
• Model ohrožení: U účtů se silným omezením rychlosti a vícefaktorovou autentizací (MFA) může délka nad 20–24 znaků mít snižující se návratnost ve srovnání s povolením MFA a zajištěním jedinečnosti.

Shrnutí: Použijte nejdelší, nejvíce náhodné heslo, které vyhovuje pravidlům stránky a vašemu pracovnímu postupu—a poté přidejte MFA, kde je k dispozici.

Potřebuji čísla, velká písmena a speciální znaky?

Mnoho stránek vyžaduje kombinaci znakových sad (malá písmena, velká písmena, číslice, symboly). Zahrnutí více sad obecně zvětšuje vyhledávací prostor a ztěžuje útoky pokusového hádání. Nicméně, “pravidla složitosti” jsou méně důležitá než délka a náhodnost. Náhodné heslo s 20 znaky, které používá pouze písmena, může být silnější než osmimístný řetězec, který míchá všechny typy znaků.

Pokud stránka vynucuje pravidla složení, nechte generátor hesel vytvořit náhodné heslo, které je splňuje. Pokud ne, upřednostňujte délku a náhodnost před vynucenou složitostí.

Čtyři často zmiňované znakové sady jsou:

1. Číslice (0–9)
2. Malá písmena (a–z)
3. Velká písmena (A–Z)
4. Symboly (např. ! $ % & ? # @)

Náhodnost: klíč ke skutečné síle

Délka sama o sobě nestačí, pokud heslo sleduje předvídatelné vzorce. Vyvarujte se:

• Cestám po klávesnici jako 1qaz2wsx nebo qwertyuiop
• Běžným slovům a frázím (i velmi dlouhým)
• Osobním informacím (jména, data, adresy)

Dva skvělé způsoby, jak dosáhnout náhodnosti, kterou si můžete dovolit:

• Náhodná hesla: Nechte generátor hesel vytvořit 16–24 znakové řetězce, které zahrnují více znakových sad. Uložte je do správce hesel, abyste je nikdy nemuseli pamatovat.
• Přístupové fráze: Použijte 4–6 náhodně vybraných slov (ne běžný citát nebo text písně). Náhodné přístupové fráze jako tunel-magnet-hedvábí-kyslík-duet mohou být jak dlouhé, tak snadněji zapamatovatelné. Přidejte oddělovače a, pokud je to povoleno, symbol nebo číslo či dvě.

Proč “velmi dlouhá” hesla mohou být stále slabá

Některé dlouhé řetězce jsou snadné cíle, protože sledují zjevné vzorce nebo se objevují v datových souborech narušení. Například dlouhé sekvence na klávesnici, opakující se bloky znaků nebo široce sdílené „triky“ jsou mezi prvními pokusy moderního crackingu. Délka musí být spárována s nepředvídatelností, aby byla účinná.

Než použijete heslo, je rozumné se ujistit, že se neobjevuje v známých datových souborech narušení. Mnozí správci hesel a bezpečnostní nástroje poskytují kontroly "byl jsem kompromitován" nebo podobné prověrky. Také můžete použít test síly hesla pro ohodnocení vašich hesel.

Mimo hádání: rizika phishingu a opakovaného použití

Ne všechny převzetí účtů zahrnují hádání. Phishing a opakované použití jsou častými příčinami kompromitace:

• Phishing: I 30znakové heslo může být ukradeno, pokud ho zadáte na falešné stránce. Použijte MFA, kde je to možné, a zvažte hardwarové bezpečnostní klíče pro vysoce hodnotné účty.
• Opakované použití: Pokud opakovaně používáte heslo, narušení na jedné stránce může kaskádově působit na jiné stránky. Jedinečná hesla na každé stránce omezují dosah.

Délka pomáhá proti hádání, ale phishing a opakované použití jsou zmírněny MFA a správcem hesel, který zajišťuje jedinečné přihlašovací údaje bez námahy.

Nejlepší postupy pro silná hesla

• Použijte správce hesel: Generujte a ukládejte jedinečná, náhodná hesla pro každý účet. Tím se odstraní nutnost si je pamatovat a zjednoduší se používání dlouhých řetězců.
• Upřednostněte délku a náhodnost: Usilujte o 16+ znaků. Pokud je to možné, zahrňte více znakových sad, ale neobětujte délku pro splnění libovolných pravidel.
• Zapněte MFA všude: Aplikace TOTP, autentizátory pomocí push notifikací nebo hardwarové klíče výrazně snižují riziko.
• Nepoužívejte opakovaně hesla: Jeden web, jedno heslo—vždy.
• Vyvarujte se osobních informací a vzorců: Žádná jména, data narození, adresy nebo cesty na klávesnici.
• Pravidelně revidujte kritické účty: E-maily, finanční služby, vývojářské platformy a administrační konzole si zaslouží více pozornosti.

Správa jedinečných, silných hesel pro každý účet

Praktický způsob, jak měřit 16–24 znaková jedinečná hesla napříč desítkami (nebo stovkami) stránek, je použití správce hesel. Se správcem můžete:

• Generovat silná hesla přizpůsobená politice každého webu (zkuste náš generátor hesel)
• Automaticky vyplňovat pro předejití překlepům (a snížení vystavení pohledům přes rameno)
• Bezpečně synchronizovat mezi zařízeními
• Kontrolovat opakovaně použité, slabé nebo kompromitované hesla (použijte náš test síly hesla)

Pokud stránka omezuje délku nebo symboly, nakonfigurujte generátor odpovídajícím způsobem—stále upřednostňujte maximální délku.

Rychlá doporučení

• Každodenní účty: 16–20 náhodných znaků
• Vysoce hodnotné účty (e-maily, bankovnictví, cloudová správa): 20–24 náhodných znaků + MFA
• Dlouhodobá tajemství (API klíče, SSH klíče): použijte úložiště správce; sledujte pokyny platform; dávejte přednost přístupovým frázím pouze tehdy, pokud jsou skutečně náhodné

Závěrečné myšlenky

Jak dlouhé by mělo být heslo? Tak dlouhé, jak to stránka dovoluje—cílem by mělo být alespoň 16 znaků—a udělejte ho náhodným a jedinečným. Přidejte MFA pro silnou druhou vrstvu. Se správcem hesel, který zajišťuje generování a ukládání, můžete mít robustní zabezpečení bez dodatečné mentální zátěže.