Heslo anebo Login je obecný prostředek k ověření totožnosti (autentizaci) uživatele. Uživatel je pokládán za oprávněného, pokud prokáže znalost hesla. Bezpečnost autentifikace pomocí hesla závisí na síle hesla a jeho zabezpečení na straně uživatele, během ověřování i na straně systému, který heslo ověřuje. Na straně uživatele je proto potřeba volit vhodné heslo, uchovat jej v tajnosti a zabezpečit proti zjištění cizí osobou či jiným subjektem.Uživatel je pokládán za oprávněného, pokud prokáže znalost hesla. Bezpečnost autentifikace pomocí hesla závisí na síle hesla a jeho zabezpečení na straně uživatele, během ověřování i na straně systému, který heslo ověřuje. Na straně uživatele je proto potřeba volit vhodné heslo, uchovat jej v tajnosti a zabezpečit proti zjištění cizí osobou či jiným subjektem.
Heslo v systému SHERPA
Systém SHERPA je vemi komplexní informační systém, který obsahuje množství citlivých ekonomických dat. O bezpečnost dat na servrech i při přenosu internetem se staráme za Vás my, ale citlivím bodem je právě přístupové heslo uživatele při přhlášení se do systému. Z toho důvodu doporučujeme nepodceňovat !
Výběr vhodného hesla
Nebezpečné je používat taková hesla, která lze uhádnout s použitím hrubé síly – například použít všechna slova z připraveného slovníku. Heslo by mělo být dlouhé a mělo by se skládat z „náhodné“ skupiny znaků. Odborníci na kyber bezpečnost se shodují, že by délka hesla měla mít minimálně 10 znaků. Dnes si také již mnoho služeb vynucuje, aby uživatelé zadávali hesla delší než 8 znaků, kde bude minimálně jedno číslo a jeden speciální znak. Je dobré si tuto „náhodnou“ skupinu znaků nějakým mnemotechnickým způsobem označit. Například „12345ctJcts“ – „Jedna dvě tři čtyři pět, cos to Janku cos to sněd“.
Známé hlášky, obměny jednoduchých slov, data narození, jména přítelkyň, manželek, dětí, psů aj. jsou pro hesla zcela nevhodná. Pomocí slovníkového útoku, nebo informovaného útočníka, lze taková hesla snadno odhalit a prolomit. Velmi vhodné jsou také generátory hesel od autoritativních společností zabývajících bezpečností na internetu. Tyto generátory vytvoří heslo, které bude jen těžko prolomitelné a bude splňovat všechna výše nastíněná kritéria. Vyžadování silných hesel je však kontraproduktivní, protože uživatelé pak více využívají rizikové způsoby, jak se s takovým systémem vyrovnat.
Zabezpečení hesla
Na straně uživatele je potřeba bezpečně uchovávat heslo. Rizikové je také používání stejného hesla k různým účelům. Heslo uniklé z kteréhokoli špatně zabezpečeného systému pak může útočník využít k přístupu do systémů ostatních. Využití různých hesel zpravidla vyžaduje jejich uložení, které umožňují specializované programy. Uložení všech hesel na jednom místě (počítači, mobilním telefonu) však představuje samo o sobě bezpečnostní riziko.
Další slabé místo je únik hesla při jeho zadávání. K tomu může dojít různým způsobem, např. odpozorováním cizí osobou nebo nasnímáním kamerou nelegálně umístěnou na bankomatu. Další možnosti odposlechu hesla umožňují počítačové systémy, např. nešifrovaný přenos hesla nebo neaktualizovaný či nezabezpečený počítač napadený škodlivým softwarem. Přestože se k uložení hesla používá šifrování či hašovací funkce, chyba v programu může snadno heslo odkrýt. Vždy existuje možnost, že systém obsahuje úmyslná či neúmyslná zadní vrátka. Jde tedy i o důvěryhodnost systému.