K ochraně uživatelských účtů přispívají i bezpečná hesla. Jako tvůrci webu můžeme uživatelům pomoci v tvorbě kvalitních a bezpečných hesel, přitom je tahle možnost často podceňovaná. Místo složitých pravidel a častých změn hesel by se weby a aplikace měly zaměřit na moderní doporučení, která reflektují současné standardy.
Méně pravidel, více délky
Podle doporučení amerického Národního institutu standardů a technologií (NIST) by hesla měla být:
Dlouhá: Minimální délka 8 znaků je spíš už nedostatečný základ. Motivujte měřidlem délky hesla uživatele k zadání hesel dlouhých alespoň 15 znaků. Povolte až 64 znaků (nebo více) a umožněte tak uživatelům využít správců hesel a tvořit skutečně silná hesla.
Bez složitých pravidel: Požadavek na speciální znaky nebo kombinace malých a velkých písmen často vede k tomu, že uživatelé hesla recyklují nebo zapisují. Jediným pravidlem by měla být délka.
Obnova zapomenutých hesel – zvyšte zabezpečení
Obnova zapomenutého hesla musí být jednoduchá, ale bezpečná. Proces by měl zahrnovat autentizaci uživatele, avšak nesmí být založen na otázkách typu „Jak se jmenoval váš první mazlíček?“ Tyto metody jsou snadno zneužitelné. Využijte raději ověření pomocí e-mailu, SMS nebo vícefaktorové autentizace.
Zapomeňte na pravidelné změny hesla
Častá změna hesel vede k jejich zjednodušování nebo opakování. Nevynucujte si tedy na uživatelích pravidelné změny hesel a měňte je, pouze v případě podezření na únik nebo kompromitaci.
Upravte formuláře na hesla
Důležitou součástí zabezpečení je správné nastavení formulářů. HTML atribut autocomplete
umožní správcům hesel bezpečně generovat a doplňovat hesla:
K poli pro aktuální heslo přidejte:
<input type="password" autocomplete="current-password">
K poli pro nové heslo použijte:
<input type="password" autocomplete="new-password">
Jak upozorňuje bezpečnostní expert Michal Špaček, tento jednoduchý krok výrazně usnadní práci uživatelům a zároveň zvýší bezpečnost. Doporučujeme přidat pro atribut autocomplete
také hodnoty username
pro uživatelská jména a one-time-code
pro jednorázové kódy u vícefaktorové autentizace.
Správcům hesel můžete také naznačit, že přijímáte opravdu dlouhá hesla, když k formulářovému prvku přidáte atribut maxlength
.
Ověřujte hesla v databázi uniklých hesel
Projekt Have I Been Pwned nabízí ke stažení aktualizovanou databázi 320 milionů unikátních prolomených hesel Pwned Passwords. Tato hesla, hashovaná pro ochranu soukromí, lze využít k ověření, zda uživatelé nepoužívají kompromitované kombinace. Projekt upozorňuje na riziko opětovného použití prolomených hesel a pomáhá organizacím zvýšit bezpečnost svých uživatelů.
Uživatelé ocení snadné používání, a vy zvýšíte bezpečnost bez zbytečných komplikací. Váš web či aplikace tak budou o krok blíže k ideálu bezpečného a uživatelsky přívětivého prostředí.🎄04
(Obrázek vánoční sněhové vločky v upoutávce pochází z ProSymbols na webu The Noun Project, CC BY 3.0)