Heslá
Tento návod opisuje spôsob, ako pomôcť používateľom vytvoriť ľahko zapamätateľné a bezpečné heslá.
Obsah:
- Nastavenie vhodných pravidiel tvorby hesla
- Nenúťte používateľov, aby si často menili heslo
- Chybné pokusy o prihlásenie sa
- Automaticky skrývajte heslá
- Umožnite používateľom vložiť heslo
- Pomoc pri zabudnutom hesle
Nastavenie vhodných pravidiel tvorby hesla
Príliš prísne alebo mätúce pravidlá pri tvorbe hesla môžu sťažiť používateľom vytvorenie zapamätateľných hesiel.
Môže to mať za následok, že používatelia:
- prestanú používať danú službu,
- budú často žiadať o obnovu hesla,
- svoje heslo si uložia na nezabezpečené miesto.
Zvoľte obmedzenia, ktoré zodpovedajú bezpečnostným potrebám vašej služby. Ak potrebujete zvýšiť bezpečnosť, je vhodnejšie pridať dvojúrovňové overenie, než zložité pravidlá pri tvorbe hesla.
Pri tvorbe hesla dodržujte tieto pravidlá:
- heslo musí obsahovať minimálne 8 znakov,
- neobmedzujte používateľov v maximálnej dĺžke hesla,
- je potrebné používateľom uviesť všetky obmedzenia pri tvorbe hesla,
- používajte zoznam nežiadúcich, často používaných hesiel.
Indikátory sily hesla
Niektoré služby používajú indikátory sily hesla, aby pomohli používateľom vytvoriť bezpečné heslá. Z výskumov zatiaľ nie je známe, či majú tieto indikátory reálny vplyv na tvorbu silnejších hesiel.
Nenúťte používateľov, aby si často menili heslo
Niektoré služby nútia používateľov si pravidelne meniť heslá, napríklad každý mesiac.
Nútiť používateľov k pravidelným zmenám hesla sa neodporúča, pretože:
- je väčšia pravdepodobnosť, že používatelia zabudnú heslo,
- používatelia často zmenia iba časť ich predchádzajúceho hesla,
- je pravdepodobné, že si heslo uložia na nezabezpečenom mieste.
Zmenu hesla vyžadujte od používateľov iba v prípade podozrenia zo zneužitia hesla.
Chybné pokusy o prihlásenie sa
Ak používateľ zadá nesprávne údaje o svojom účte, nezverejňujte, či sa jednalo o nesprávne meno alebo heslo.
Odhalenie tejto informácie by mohlo napomôcť hekerom preniknúť do účtov používateľov.
Nechajte používateľom aspoň 10 pokusov na zadanie správneho hesla skôr, než účet zablokujete alebo podniknete iné bezpečnostné kroky.
Automaticky skrývajte heslá
Používatelia môžu byť pri zadávaní alebo vytváraní hesla vo verejnom priestore, takže by ste mali heslá automaticky skryť.
Ak chcete pomôcť používateľom pri tvorbe bezpečného hesla a zamedziť vzniku preklepov:
- nechajte používateľov nech si zobrazia heslo, ak o to majú záujem,
- zobrazte vždy posledný zadaný znak hesla,
- nechajte používateľov zadať heslo dvakrát a automaticky ich porovnajte.
Umožnite používateľom vložiť heslo
Umožnite používateľom prilepiť heslo do poľa tomu určeného (funkcia kopírovať a prilepiť). Používatelia môžu mať rôzne dôvody, prečo chcú vložiť svoje heslo, napríklad ak používajú aplikáciu na správu hesiel.
Pomoc pri zabudnutom hesle
Dostatočne silné heslá sú často zložité na zapamätanie.
Ak chcete pomôcť používateľom, ktorí zabudli svoje heslo, mali by ste:
- poslať používateľom odkaz alebo kód na obnovu hesla,
- vyhnúť sa otázkam na obnovu hesla,
- vyhnúť sa pripomínaniu hesla.
Posielanie odkazu na obnovu hesla
Heslá by ste nikdy nemali posielať e-mailom, pretože to nie je bezpečný kanál.
Namiesto toho odošlite používateľom na e-mailovú adresu alebo telefónne číslo, pod ktorým sa zaregistrovali, časovo obmedzený odkaz, prípadne kód na obnovu hesla.
Vždy, keď dôjde k obnove hesla, upovedomte o tom používateľa pre prípad, že sa niekto iný snaží získať prístup k jeho účtu.
Pri obnove hesla nepoužívajte bezpečnostné otázky
Nepoužívajte pri obnove hesla bezpečnostné otázky, pretože odpovede sú:
- rovnako ťažké na zapamätanie ako heslo samotné,
- príliš ľahké na to, aby sa ich niekto dozvedel (napríklad “krstné meno matky”),
- variabilné, a teda časom podliehajú zmenám (napríklad “vaša obľúbená farba”).
Vyhnite sa pripomínaniu hesla
Vyhnite sa pripomínaniu konkrétneho znenia hesla používateľovi, ktorý si na heslo nevie spomenúť, pretože:
- existuje vysoké riziko, že napomáhate potenciálnemu útočníkovi, ktorý sa snaží získať prístup k účtu,
- tento spôsob nefunguje, ak majú používatelia veľmi silné heslá obsahujúce náhodné reťazce znakov.