Heslová fráze

Heslová fráze (anglicky passphrase) je v informatice označení pro sekvenci písmen či slov, která se používá pro autentizaci přístupu do počítačového systému. Rozdíl proti klasickému heslu spočívá u heslové fráze v tom, že se jedná typicky o delší sekvenci znaků, která má zajistit vyšší bezpečnost. Vyšší bezpečnost je zajištěna vyšším počtem možných kombinací, které musí útočník vyzkoušet například pro útok hrubou silou nebo slovníkový útok. Když se v textu místo slova heslo použije slovní spojení heslová fráze, naznačuje tím pisatel, že by uživatel měl použít něco bezpečnějšího, než v případě klasického hesla.

Heslová fráze se používá například pro ochranu privátního klíče u asymetrické kryptografie nebo jako předsdílené tajemství u WPA/PSK ve Wi-Fi.

Bezpečnost

Pokud se slova nebo části fráze vyskytují ve slovníku – obzvlášť v takovém, který je v dispozici v elektronické podobě – tak je heslová fráze náchylnější na slovníkový útok. Problém je o to horší, pokud se celá fráze nachází v knize s citáty nebo slovníku frází. Nicméně potřebná námaha (čas a náklady) může být neprakticky velká pokud je v heslové frázi použit dostatek slov, které jsou náhodně vybrány a seřazeny. Počet kombinací, které by se musely otestovat, může být obrovský, a tím pádem učiní slovníkový útok neefektivním. Dodržení těchto podmínek však může být náročné a použití alespoň jednoho slova, které nelze nalézt v žádném slovníku,, výrazně zvyšuje bezpečnost heslové fráze.

Pokud heslové fráze tvoří lidé, tak jsou často ovlivněni tím, jak často se dané slovo používá v běžné řeči. Takto vybraná heslová fráze o čtyřech slovech zřídkakdy překročí entropii 30 bitů. Na druhou stranu hesla vytvořená lidmi bývají mnohem slabší a užití heslových frází, i kdyby byly pouze dvouslovné, může zvýšit entropii z méně než 10 bitů na více než 20 bitů.[zdroj?]

Porovnání s hesly

Heslové fráze se liší od hesel. Heslo je obvykle krátké a obsahuje třeba 6 až 10 znaků. Taková hesla mohou být vhodná pro různá využití (pokud jsou často obměňována, vhodně zvolena, nenachází se ve slovnících, jsou dostatečně náhodná a nebo pokud systém neumožňuje zkoušení hesel online, atd.) jako jsou:

  • přihlašování se do počítačových systémů
  • vyjednání klíče v interaktivním prostředí (např. dohodnutí o kryptografickém klíči na základě hesla)
  • přístup k čipové kartě nebo PIN u platebních karet

Nicméně hesla typicky nejsou vhodná pro použití jako klíč k bezpečnostním systémům (např. kryptografie), u kterých jsou data čitelná a umožňují tak offline tipování hesla. Heslové fráze jsou v těchto případech obecně silnější a lepší alternativou. Jednak jsou mnohem delší (běžně mohou mít např. 20 až 30 znaků), čímž naprosto znemožňují některé typy útoků hrubou silou. Pokud je navíc heslová fráze dobře zvolena – nebude se jednat o žádnou běžně používanou frázi nebo citát – pak jsou i slovníkové útoky skoro nemožné. Oproti heslům mohou být navíc navrženy tak, aby byly mnohem lépe zapamatovatelné bez toho, aniž by byla potřeba si je někam poznamenat. Pokud ovšem nejsou heslové fráze dostatečně chráněny a jsou třeba odhaleny přímo jako text, potom nejsou o nic užitečnější než hesla. Z tohoto důvodu je doporučeno nepoužívat stejnou heslovou frázi na více stránkách nebo službách.

Výběr heslové fráze

Obvykle se doporučuje, aby heslová fráze splňovala následující podmínky:

  • dostatečně dlouhá na to, aby byla obtížná na uhádnutí
  • nemělo by se jednat o slavný citát z literatury
  • obtížná na uhádnutí i někým, kdo velice dobře zná daného uživatele
  • jednoduchá na zapamatování a napsání na klávesnici
  • pro lepší bezpečnost je možné použít i nějaké vlastní jednoduše zapamatovatelné kódování
  • není použita vícekrát v různých aplikacích nebo stránkách

Příklady metod

Jedna z metod pro vytvoření silné heslové fráze je použití hracích kostek k náhodnému vybrání slov z dlouhého seznamu. Tato technika se často označuje diceware. Mohlo by se zdát, že použití seznamu slov odporuje tomu, že fráze nebo její částí by se neměly vyskytovat ve slovníku. Nicméně bezpečnost této techniky spočívá v tom, že existuje obrovská spousta možností, jakými lze vybrat slova. Samotný seznam slov díky tomu nemusí být utajován. Pokud je například v seznamu 7776 slov (65, počet kombinací, které mohou padnout na pěti šestistěnných hracích kostkách) a vybereme náhodně šest slov, potom existuje 77766 = 221073919720733357899776 kombinací, čímž získáme přibližně 78 bitů entropie.

Pro vytvoření heslové fráze můžeme použít také dvě fráze, kdy z první z nich vytvoříme akronym a ten použijeme jako část v druhé frázi. Tato metoda nemusí být až tak vhodná, jelikož některé organizace nebo jednotlivci mohou mít seznam nejpoužívanějších frází (např. různé citáty, texty písní apod.), které budou takto upravené a potom budou použity pro útok hrubou silou.

Související články