Únik 1,3 miliardy hesel ohrožuje statisíce Čechů. Bezplatný on-line nástroj umožňuje zkontrolovat, zda je mezi nimi i to vaše
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Na internetu se objevila databáze uniklých přihlašovacích údajů. Jestli je zrovna to vaše heslo v bezpečí, můžete ověřit s bezplatným on-line nástrojem.
Na internetu se objevila jedna z největších databází, která obsahuje 1,3 miliard ukradených hesel. Nejde o ledajaký únik. Podle redakce Mobify je množství dat tak obrovské, že ohrožuje prakticky každého, kdo se pohybuje v on-line světě. Útočníci mohou informace zneužít k masivním pokusům o přihlášení a přebírání účtů.
Databáze uniklých hesel je mixem z více zdrojů
Platforma Have I Been Pwned (HIBP) lidem umožňuje ověřit, zda je jejich heslo v bezpečí, či někde uniklo. Nyní přidala novou databázi, která obsahuje přes miliardu unikátních hesel. Jde o nejrozsáhlejší balík dat, jaký kdy zpracovala. Nejzajímavější je, že zhruba 625 milionů hesel z nich nikdy ještě nezaznamenali, jde tedy o zcela nová.
Databáze je sestavená ze souborů, které na internetu sdílela skupina nazývající se Synthient. Nejde přitom o jeden útok, ale o různorodou směs dat z několika zdrojů. Část hesel podle nás pochází z tzv. credential stuffing útoku. Útočníci při něm využijí automatizované nástroje a zkouší, zda už kdysi uniklé heslo nebo login nepasuje k dalším účtům, vysvětluje Wikipedia.
Opakované používání hesel je nebezpečné
Kyberzločinci postupují jednoduše, ale účelně. Pokud se jim podaří získat váš login z jedné služby, zkusí ho logicky použít i u dalších a se stejným heslem. Proto mají tzv. credential stuffing takovou hodnotu. Jde v podstatě o digitální „svazek klíčů“, jehož použitím lze odemknout stovky různých účtů.
HIBP v současnosti eviduje přes 17 miliard záznamů (ano, miliard). Pokud člověk používá jedno heslo stále dokola, šance, že se jeho údaje nachází v některé z těchto databází, je vysoká. Nejčastěji zneužívané kombinace jsou ty, které lidé považují za těžké, ale reálně je lze snadno uhádnout, například heslo doplněné o rok narození apod.
Společnost HIBP proto umožňuje uživatelům zdarma ověřit, zda se vaše heslo vyskytuje v jejich databázi těch uniklých. Stačí ho zadat a systém zobrazí všechny související incidenty, v nichž bylo použito, pokud bylo. Dále tam také můžete zadat e-mail, na který dostanete upozornění, objeví-li se vaše heslo někde, kde nemá.
Firmy doporučují přechod na přístupové klíče
Rostoucí počet úniků ukazuje, že tradiční hesla nejsou už dávno bezpečná. Velké technologické společnosti proto tlačí na zavedení přístupových klíčů (passkeys), které fungují bez hesla. Stačí jen odemknout telefon či počítač a přihlašování následně probíhá na základě přístupového klíče uloženého v zařízení.
Výhodou je, že tyto klíče nejdou ukrást ani odhadnout. Neodesílají se na server a nedají se opsat anebo přeposlat. I když člověk ztratí telefon, klíče se bezpečně obnoví ze zálohy v cloudu. Novinku zavedl už například WhatsApp, o čemž redakce Mobify nedávno psala. Pro co největší bezpečnost dodržujte následující:
- Používejte správce hesel, který generuje dlouhá a unikátní hesla.
- Zapněte vícefázové ověřování všude, kde to jen je možné.
- Pravidelně měňte hesla u důležitých účtů (e-mail, bankovnictví, sociální sítě).
- Vyzkoušejte přechod na přístupové klíče, pokud je platforma podporuje.
Samotný únik hesla ještě neznamená přímé převzetí účtu, ale je to od něj už jen krůček. Kyberzločinci s těmito daty pracují měsíce až roky a trpělivě testují, kde se trefí.
Zdroje
Autorský komentář Lukáše Altmana