« Vaše heslo musí obsahovat 8 znaků, velké písmeno, malé písmeno, číslici a speciální znak. »
Všichni toto pravidlo známe. A přesto se v kybernetické bezpečnosti nazývá “bezpečnostní divadlo”. Heslo jako P@ssw0rd1! všechna tato pravidla respektuje, ale moderní hackovací software ho prolomí mrknutím oka.
Skutečná bezpečnost není založena na svévolných vizuálních pravidlech, ale na neúprosné matematické realitě: entropii.
Entropie podle Clauda Shannona
Abychom pochopili sílu hesla, musíme se obrátit na Clauda Shannona, otce teorie informace. Entropie měří stupeň nejistoty nebo nepředvídatelnosti informace.
Aplikováno na hesla, entropie se počítá v bitech. Čím vyšší je počet bitů, tím nepředvídatelnější je heslo pro počítač. Zjednodušený vzorec pro entropii (E) náhodně vygenerovaného hesla je:
E = L × log2(R)
- L je délka hesla.
- R je velikost sady znaků (26 pro malá písmena, 62 s velkými písmeny a číslicemi, 94 se symboly).
Zvětšení sady znaků (přidání symbolů) zvyšuje entropii, ale zvětšení délky (přidání znaků) ji zvyšuje mnohem drastičtěji. Délka však poráží složitost pouze pod jednou podmínkou: že je heslo vygenerováno zcela náhodně.
Hrubá síla vs. Slovníkový útok
Pokud použijete slova nebo předvídatelné struktury, pravidlo čisté délky se hroutí.
Hackovací software nezkouší všechny kombinace písmen jednu po druhé (tzv. Hrubá síla). Používají masivní databáze obsahující miliardy existujících slov, běžných frází a předchozích úniků dat. To je Slovníkový útok.
Pokud je vaše heslo dlouhé, ale skládá se ze slov ze slovníku nebo předvídatelných substitucí, je jeho skutečná entropie dramaticky nižší než teoretická matematická entropie.
Zde jsou odhadované časy prolomení proti clusteru moderních grafických karet (GPU), přičemž nejrychlejší cesta využívající strukturální slabiny je vyznačena tučně:
| Heslo | Teoretická entropie | Proti hrubé síle | Proti slovníku |
|---|---|---|---|
password123 | ~15 bitů | Několik hodin | Okamžitě |
S3cr3t!99 | ~40 bitů | Několik let | Několik hodin / dní (pomocí mutací) |
correct horse battery staple | ~130 bitů | Miliardy let | Několik hodin / dní |
gL7!pQ9z#vX2 | ~78 bitů | ~3 000 let | Selhání (návrat k hrubé síle) |
Iluze Leetspeaku a pravidla mutací
Vezměme si příklad S3cr3t!99. Vizuálně se zdá být složité a robustní. Přesto jde jednoduše o slovo ze slovníku “secret”, kde jsou ’e’ nahrazena ‘3’, s přidáním velmi běžné přípony (!99). Tomu se říká leetspeak.
Proti slovníkovému útoku toto heslo vydrží jen pár hodin, nebo dokonce minut. Moderní crackovací software (jako Hashcat) se nespokojí s testováním pevných seznamů slov; automaticky aplikují pravidla mutací. Vezmou každé slovo ze svého slovníku, otestují všechny možné kombinace leetspeaku, převrátí velká písmena a přidají roky nebo symboly. Leetspeak nabízí falešný pocit bezpečí.
Trik s posunem klávesnice (Keyboard Shift)
Ke zkomplikování zapamatovatelné fráze používají někteří trik s posunem rozložení klávesnice. Pamatujete si například frázi my-cat. Ale v okamžiku psaní položíte prsty na fyzickou klávesnici QWERTZ (českou), zatímco máte operační systém nastaven na QWERTY (anglickou).
- Zamýšlené slovo:
my-cat - Napsaný výsledek:
mz/cat(Klávesa ‘y’ se stane ‘z’ a ‘-’ se stane ‘/’).
Je to dobrý nápad v OPSEC? Ne, tato metoda není sama o sobě dostatečná. Přesně jako u leetspeaku, pokročilý crackovací software integruje hardwarová pravidla mutací, která automaticky testují mezinárodní posuny klávesnic (QWERTY, AZERTY, QWERTZ, Dvorak). V OPSEC je to bezpečnost skrze nejasnost: zdrží to amatérského útočníka, ale nezastaví to cílený a vybavený útok.
Nicméně, pokud je tato technika spojena s heslem, které je již v základu silné (jako velmi dlouhá zapamatovatelná heslová fráze), významně to zvyšuje entropii vložením nečekaných speciálních znaků do již tak robustní struktury.
Konstrukce ideálního hesla (~250 bitů)
Pokud mají seznamy slov, leetspeak a triky s psaním své limity, jak sestavíme dokonalé hlavní heslo? Pro dosažení optimální bezpečnosti a odolání výpočetním nástrojům nové generace je současným cílem zaměřit se na přibližně 250 bitů entropie.
Existují dva způsoby, jak toho dosáhnout v závislosti na vašich potřebách:
1. Čistě náhodná možnost (Ideální pro správce hesel)
Řetězec znaků vygenerovaný zcela náhodně, což ztěžuje stroji jeho uhodnutí:
k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6
39 náhodných znaků využívajících celý repertoár symbolů.
2. Možnost hybridní heslové fráze (Ideální pro zapamatovatelné hlavní heslo)
Sled slov ze slovníku vygenerovaných náhodně, striktně kombinovaných s číslicemi a symboly:
Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover
Tato metoda umožňuje člověku zapamatovat si strukturu vizuálně nebo svalově, přičemž zachovává obrovskou matematickou bariéru.
Kvantová hrozba: Groverův algoritmus
Proč cílit na 250 bitů, když 128 bitů již dnes blokuje superpočítače? Odpověď spočívá v nástupu kvantové výpočetní techniky.
V kryptografii umožňuje Groverův algoritmus kvantovému počítači prohledávat netříděnou databázi mnohem rychleji než klasický počítač. Konkrétně Grover efektivně snižuje úroveň zabezpečení symetrického klíče nebo hesla na polovinu.
Tváří v tvář kvantovému počítači s Groverovým algoritmem nabídne heslo s entropií 128 bitů pouze odolnost ekvivalentní 64 bitům (což se stává prolomitelným).
V důsledku toho, k udržení skutečné 128bitové bezpečnosti v postkvantovém světě, je nutné zdvojnásobit počáteční entropii. To je jeden z pilířů konceptu Harvest Now, Decrypt Later (HNDL): státní útočníci dnes vysávají šifrovaná data, aby je zítra prolomili. Zaměření na 250 bitů entropie je minimálním standardem pro dlouhodobou ochranu vašich hlavních klíčů.
Arpokrat Password Generator: Otestujte si sami
Nenechávejte bezpečnost svých přístupů náhodě. Vyvinuli jsme interní nástroj, který vám umožní generovat kryptograficky robustní hesla (včetně postkvantových), a především vyhodnotit skutečnou entropii vašich vlastních hesel.
Otestujte svá stávající hesla a zjistěte, zda by odolala moderní výpočetní síle. Nástroj funguje 100% lokálně ve vašem prohlížeči, po síti nekolují žádná data.
Poslední slabý článek: Recyklace a správa přístupů
Matematická entropie nechrání před lidskou chybou. Heslo o síle 250 bitů je k ničemu, pokud je znovu použito na více webech (útok zvaný Credential Stuffing) nebo pokud není chráněno druhým faktorem ověření (2FA).
Zlatým pravidlem digitální hygieny je pamatovat si pouze jedno heslo: vaše hlavní heslo o 250 bitech (ve formě hybridní heslové fráze). Všechny vaše ostatní přístupy (banka, sociální sítě, servery) musí používat jedinečná hesla o síle 250 bitů čisté entropie (náhodné řetězce znaků) vygenerované speciálně pro ně.
K ukládání a správě tohoto množství klíčů, které je nemožné si pamatovat, je nezbytné použití správce hesel Zero-Knowledge. Jedním z nejlepších současných standardů je Proton Pass. Sídlí ve Švýcarsku, je open-source a end-to-end šifrovaný, což zaručuje, že ani jeho vlastní inženýři nemohou číst obsah vašeho trezoru. Je to ideální společník pro ukládání ultra-výkonných klíčů generovaných Arpokratem, který uzamkne celý váš digitální život za skutečnou matematickou bariérou.