(00:00) Motivujte uživatele k bezpečným heslům

(00:22) Méně pravidel, více délky

(01:02) Obnova zapomenutých hesel – zvyšte zabezpečení

(01:26) Zapomeňte na pravidelné změny hesla

(01:41) Upravte formuláře na hesla

(02:27) Ověřujte hesla v databázi uniklých hesel

K ochraně uživatelských účtů přispívají i bezpečná hesla. Jako tvůrci webu můžeme uživatelům pomoci v tvorbě kvalitních a bezpečných hesel, přitom je tahle možnost často podceňovaná. Místo složitých pravidel a častých změn hesel by se weby a aplikace měly zaměřit na moderní doporučení, která reflektují současné standardy.

Méně pravidel, více délky

Podle doporučení amerického Národního institutu standardů a technologií (NIST) by hesla měla být:

* Dlouhá: Minimální délka 8 znaků je spíš už nedostatečný základ. Motivujte měřidlem délky hesla uživatele k zadání hesel dlouhých alespoň 15 znaků. Povolte až 64 znaků (nebo více) a umožněte tak uživatelům využít správců hesel a tvořit skutečně silná hesla.

* Bez složitých pravidel: Požadavek na speciální znaky nebo kombinace malých a velkých písmen často vede k tomu, že uživatelé hesla recyklují nebo zapisují. Jediným pravidlem by měla být délka.

Obnova zapomenutých hesel – zvyšte zabezpečení

Obnova zapomenutého hesla musí být jednoduchá, ale bezpečná. Proces by měl zahrnovat autentizaci uživatele, avšak nesmí být založen na otázkách typu „Jak se jmenoval váš první mazlíček?“ Tyto metody jsou snadno zneužitelné. Využijte raději ověření pomocí e-mailu, SMS nebo vícefaktorové autentizace.

Zapomeňte na pravidelné změny hesla

Častá změna hesel vede k jejich zjednodušování nebo opakování. Nevynucujte si tedy na uživatelích pravidelné změny hesel a měňte je, pouze v případě podezření na únik nebo kompromitaci.

Upravte formuláře na hesla

Důležitou součástí zabezpečení je správné nastavení formulářů. HTML atribut autocomplete umožní správcům hesel bezpečně generovat a doplňovat hesla:

K poli pro aktuální heslo přidejte: autocomplete="current-password"

K poli pro nové heslo použijte: autocomplete="new-password"

Jak upozorňuje bezpečnostní expert Michal Špaček, tento jednoduchý krok výrazně usnadní práci uživatelům a zároveň zvýší bezpečnost. Doporučujeme přidat pro atribut autocomplete také hodnoty username pro uživatelská jména a one-time-code pro jednorázové kódy u vícefaktorové autentizace.

Správcům hesel můžete také naznačit, že přijímáte opravdu dlouhá hesla, když k formulářovému prvku přidáte atribut maxlength.

Ověřujte hesla v databázi uniklých hesel

Projekt Have I Been Pwned nabízí ke stažení aktualizovanou databázi 320 milionů unikátních prolomených heselPwned Passwords. Tato hesla, hashovaná pro ochranu soukromí, lze využít k ověření, zda uživatelé nepoužívají kompromitované kombinace. Projekt upozorňuje na riziko opětovného použití prolomených hesel a pomáhá organizacím zvýšit bezpečnost svých uživatelů.

Uživatelé ocení snadné používání, a vy zvýšíte bezpečnost bez zbytečných komplikací. Váš web či aplikace tak budou o krok blíže k ideálu bezpečného a uživatelsky přívětivého prostředí.🎄04

This is a public episode. If you would like to discuss this with other subscribers or get access to bonus episodes, visit www.reknisioweb.cz