O hesle a bezpečnosti sítě

Přečtěte si prosím tento dokument celý!

Co bychom měli vědět o heslech

Heslem prokazujete svou identitu a musíte ho tedy uchovávat v tajnosti. Jen tak zajistíte, ze Vaši soukromou poštu nebude číst nikdo jiný.

Můžete namítnout - mně nevadí, že si to někdo přečte. Uvědomte si však, ze jiný člověk znalý Vašeho hesla může i Vaším jménem dopisy odesílat. A to již může být nepříjemné, protože příjemce pravděpodobně nebude o pravosti dopisu pochybovat. Stále Vám to nevadí? Ne?

Tak dál - z pohledu správce serveru. Onen člověk nezíslá "jen" přístup k Vaší soukromé poště, ale i komplení přístup do Internetu. Nemusí jen posílat dopisy Vaším jménem, ale může se pokoušet o různé nedovolené akce - např. získat přístup na server se studijní agendou, změnit obsah něčí www stránky, publikovat materiály, jejichž šíření je v rozporu se zákonem. A to vše Vaším jménem. To by Vám už asi vadilo.

Takže ve svém vlastním zájmu, v zájmu ostatních uživatelů počítačové sítě a v neposlední řadě podle pravidel pro používání počítačové sítě na RUK

jste povinni udržovat své heslo v tajnosti a nepropůjčovat svá práva v počítačové síti jiným osobám.

Jak udržovat své heslo v tajnosti? Nestačí jen to, že ho nikomu neřeknete. Měli byste dbát dalších věcí - např. zvolit si heslo, které se nedá snadno uhodnout (třeba ne své jméno nebo login). Nebo nepsat si heslo na papír a když už ano (všichni jsme trochu zapomětliví), tak ne na stejný papír, na kterém máte poznamenané své login, adresu, jméno serveru a heslo vkladní knížky. Nebo neťukat heslo na klávesnici, pokud se Vám někdo (třeba soused v učebně) dívá na ruce. Kromě toho existují programy, které mechanicky rychle zkouší jedno heslo za druhým tak dlouho, dokud neuspěje. Proto je podstatná i volba hesla - příliš krátká hesla nebo snadno uhodnutelná takový program lehce zjistí.

Nedá se s jistotou vyloučit, že Vaše heslo někdo nezjistil a nepoužívá ho aniž o to víte. Proto je dobré preventivně čas od času si heslo změnit.

O tom více v dalších kapitolách.

Jaké heslo si zvolit?

První heslo Vám přidělí správce sítě dle svého uvážení či podle Vašeho přání. Později si ho můžete (a musíte) sami změnit. Jak, to je popsáno dále. Nejprve jak by mělo správné heslo vypadat:

Heslo může

• obsahovat jakékoliv znaky (písmena, číslice, lomítka, zavináč, tečky, čárky, mříže... písmenka s diakritikou se nedoporučují). Rozlišují se malá a velká písmenka.
• být dlouhé nejméně šest a nejvíce čtrnáct znaků.

Heslo nesmí

• jít snadno uhodnout z toho, co o Vás kdo ví. Jako heslo tedy nevolte vlastní login, jméno, datum narození, telefonní číslo, jméno Vašeho partnera, dětí, šéfa, města, sve oblíbené slovo (kletbu), barvu, květinu... Také ne sekvenci qwerty nebo aaaaaa, jirka0 apod. V ideálním případě by to nemělo být slovo. Když ano, tak určitě ne anglické.
• být tak složité, abyste si ho nepamatovali a museli si ho napsat na papír. Dobré heslo by bylo například Jez-eK. Dobré by bylo samozřejmě pouze tehdy, pokud to není Vaše jméno, nechováte ježky doma a samozřejmě kdyby to nebylo uvedené v tomto textu.

Tam, kde na bezpečnosti zvláště záleží (např. v bance), si nemůže uživatel volit heslo sám, ale počítač mu dá vybrat z několika dobrých (podle počítače) hesel. U nás toto zavedené není, ale pokud chcete, můžete si nechat od počítače poradit.

Platnost hesla

Z bezpečnostních důvodů je dobré si čas od času heslo změnit. Abychom Vás donutili si heslo měnit (ale nejen proto, jsou i další důvody), doba platnosti hesla je omezena na dva měsíce (přesně 60 dnů). Své heslo si tedy musíte před vypršením této lhůty (nezáleží na tom, zda e-mail používáte nebo ne) změnit na jiné.  

Pokud tak neučiníte, zablokuje se Vám přístup k většině služeb. Dalších 120 dnů se ještě můžete přihlásit telnetem. Hned po přihlášení se rozběhne program pro změnu hesla a můžete si heslo změnit a pracovat dál. Během této doby je např. zablokováno FTP.

Po uplynutí dalších 120 dnů se konto zablokuje úplně a musíte kontaktovat správce sítě. Snažte se prosím, abyste správce sítě museli žádat o prodloužení hesla co nejméně a to i ve vlastním zájmu - nemusí být k zastižení právě když budete nutně potřebovat se k poště dostat. Od změny hesla do úplného zablokování konta máte čas 60 + 120 dnů, což je (v praxi ověřeno) dostatečná doba.

Doporučujeme poznačit si v kalendář tak po čtyřiceti dnech "změnit heslo".

Datum, kdy vám heslo vyprší, můžete zjistit po přihlášení příkazem shexp (show expiration). Je dobré se například před nástupem dovolené přesvědčit, zda Vám po návratu bude heslo ještě platit. Příklad:

dec59.ruk.cuni.cz> shexp

Expires Sun Aug 7  14:55:34

Heslo platí do neděle 7. srpna 1998

Změna hesla

Pokud si chcete změnit heslo (aby Vám nepropadlo nebo při podezření, že ho někdo zjistil), můžete tak učinit sami a to kdykoliv, nejčastěji však jednou za 24 hodin.

Změnit heslo si můžete příkazem passwd. 

1. Systém Vás nejprve vyzve, abyste zadali staré heslo. Smyslem toho je ověřit si, že u terminálu sedíte skutečne Vy a ne kolega s příliš vyvinutým smyslem pro humor. 
2. Dále Vám nabídne čtyři možnosti, ze kterých si určitě vyberete poslední (stisknout p a Enter) neboli naťukat si vlastní heslo (v ostatních možnostech Vám počítač nabízí, že Vám sám nějaké heslo vymyslí. Chcete-li mít opravdu dobré heslo nebo nemůžete-li si nic vymyslet, můžete si klidně některou možnost vyzkoušet).  
3. Dále budete vyzváni, abyste zadali nové heslo, které se samozřejmě musí od starého lišit. Následuje ověření, zda jste heslo dobře napsali.

Příklad změny hesla uživatele petr:

dec59.ruk.cuni.cz> passwd
Old password:
Last successful password change for petr: Wed Jun  7 15:13:22 2000
Last unsuccessful password change for petr: NEVER

Do you want (choose one letter only):

        Pronounceable passwords generated for you (g)
        A string of characters generated for you (c)
        A string of letters generated for you (l) ?
        To pick your password (p) ?


Enter choice here (q to quit): p
New password:
Re-enter new password:
dec59.ruk.cuni.cz>_

Po napsání "p" nezapomeňte stisknout Enter!

Heslo se samozřejmě na obrazovce nezobrazuje (je tajné), nenechte se tím zmást. Nové heslo píšete pro jistotu dvakrát, takže systém pozná překlep a upozorní Vás na to.

Pokud se Vám během změny hesla něco nečekaně vypíše na obrazovku, nenechte se tím zmást a pozorně si to přečtěte. Zřejmě jste udělali některou z častých chyb:

• udělali jste překlep při psaní hesla - zkuste to znovu
• napsali jste krátké nebo dlouhé heslo (musí mít 6 - 8 znaků)
• napsali jste jako "nové heslo" heslo, které jste měli dosud nebo které jste už někdy použili

Několik rad

• před psaním hesla se podívejte, jakou máte nastavenou klávesnici. Česká má na rozdíl od anglické prohozené "y" a "z", místo číslic jsou písmenka s diakritikou.
• před psaním hesla si zkontrolujte, zda není zapnutá klávesa "CAPS LOCK", před psaním čísli na numerické klávesnici zkontrolujte "NUM LOCK"
• máte-li více kont, používejte různá hesla. Pokud někdo "prolomí" jedno Vaše konto, nedostane se na ostatní.
• nové heslo se nejlépe zapamatuje častým používáním. Nejčastěji ho zapomenete, pokud si ho změníte těsně před odjezdem na dovolenou. 

Odpovědi na některé často kladené otázky

Když už mi heslo propadlo, musím zajít za správcem sítě osobně?

Není to nutné, stačí zatelefonovat nebo požádat kolegu, aby poslal na adresu postmaster@cuni.cz prosbu o prodloužení s Vaším jménem.

Mám do dopisu napsat staré heslo?

NE, V ŽÁDNÉM PŘÍPADĚ! Nikdy neposílejte své heslo e-mailem, není do dost bezpečné! Správce sítě Vaše heslo znát nepotřebuje, jen prodlouží platnost. Stačí, když si ho pamatujete.

A co když mi heslo propadlo a já už si ho nepamatuju?

V tom případě musíte zajít osobně za správcem sítě (o konzultačních hodinách), prokázat se osobním průkazem a naťukat si heslo nové.

Nešlo by prodloužit v mém případě platnost hesla?

Jen pokud byste chtěl číst e-mail přes POP protokol a zřekl se přístupu na unix (pozn.: má smysl asi jen u zaměstnanců UK, kteří mají k dispozici vlastní počítač).

Odjíždím na delší dobu do zahraničí. Nevím, zda se tam do šedesáti dnů k Internetu dostanu a nerad bych ztratil možnost e-mailovat. Co s tím?

Podobné mimořádné případy konzultujte se správcem sítě.

Jsem počítačový expert, mám deset kont na jiných počítačích, proč zrovna já nemůžu mít neomezenou dobu platnosti hesla?

Jako počítačový expert jistě chápete, že je občasná změna hesla nezbytná a ve vlastním zájmu ji provádíte. Jsem si proto jist, že Vás omezení platnosti hesla   nijak neomezuje.

Známý se mě pořád ptá jaké mám heslo a mně je trapné to před ním tajit.

Nemá to být trapné Vám, ale jemu. Zapomíná, že každý člověk má právo nechat si své osobní věci pro sebe.

Nepřeháníte to?

:-)