Hromadné úniky hesel jsou dnes již běžným jevem a v minulosti se nevyhnuly ani gigantům jako LinkedIn, MySpace, Dropbox a dalším. Nezřídka se stává, že uniklé databáze přihlašovacích údajů se dostanou na veřejnost, kde se stanou dostupné pro každého, kdo ví, kde je hledat.

Na nejvýznamnější úniky se zaměřila webová stránka haveibeenpwned.com. Autoři se rozhodli dát dohromady databázi emailových adres a přihlašovacích jmen, které se nacházejí na těchto seznamech. Tím umožnili každému odhalit, zdali se na nich nachází a jeho heslo bylo zkompromitováno.

Pozitivní nález - heslo uniklo

Co dělat, když se hackerům podařilo získat vaše heslo?

Pokud jste se na seznamu našli, nezbývá než si změnit heslo a to nejen na službách, které byly zkompromitovány, ale na všech serverech, kde jste dané heslo použili. Zejména pokud jste dosud používali pouze jedno heslo může to být skutečně oříšek, ale riziko je vysoké. Hackeři uniklé seznamy nadále využívají k získání přístupu na citlivější služby jako je internetové bankovnictví, emailové schránky či elektronické obchody, které si pamatují údaje k vašim platebním kartám.

Jak bojovat proti únikům hesel?

Bez ohledu na to, jestli se vaše přihlašovací údaje objevily na serveru či ne, měli byste dodržovat několik zásad používání hesel, kterými výrazně snížíte riziko při úniku.

Složitost je pasé?
Dříve byla akcentovaná především složitost hesla čili minimálně 8 znaků, kombinace velkých, malých písmen, čísel a speciálních znaků. Nelze říct, že složitost již není aktuální. Zejména pokud útočník o vás nemá žádné údaje, tak mu nezbyde nic jiného než zkoušet všechny kombinace, popřípadě podpořené slovníkem nejčastějších hesel.

V současnosti je třeba se především zaměřit na počet hesel, které využíváte. Je velká pravděpodobnost, že ať je vaše heslo sebe komplikovanější, tak dříve či později dojde k napadení serveru, kde je vaše heslo uložené, a útočník se k němu stejně dostane.

V rozmanitosti je síla
Ve chvíli, kdy pro každé služby budete mít rozdílné heslo, únik hesla poté nebude mít takový dopad. V ohrožení bude vždy jen služba, kde k úniku došlo. Bohužel v praxi by to většinou končilo permanentně zapomenutým heslem, jelikož služeb, pro které je třeba vymýšlet hesla, je skutečně mnoho.

Ideálním kompromisem je vzít v potaz charakter služby, ke které se připojujeme, a údaje, které jsou přístupné po přihlášení. Pozornost je třeba věnovat internetovému bankovnictví, přístupům k intranetu, mailovým schránkám a internetovým obchodům, kde zadáváme údaje k platebním kartám.

Čas od času to chce změnu
Jelikož většina úniků přihlašovacích údajů se na veřejnost nedostane, může vaše heslo kolovat po černém trhu už nyní a vy to můžete zjistit, až bude pozdě. Jediný způsob, jak se proti tomu bránit, je pravidelná změna hesla. Pravidla jsou opět stejná, čím je služba pro vás důležitější a data citlivější, tím častěji je třeba měnit heslo.

Hackeři ví, že …

  • většina speciálních znaků v hesle je na konci a to buď tečka, nebo vykřičník.
  • většina čisel v hesle je na konci a jedná se často o rok.
  • písmena I se v hesle nahrazují jedničkou, O nulou a trojkou.
  • při používání více hesel základ zůstává stejný a mění se pouze začátek nebo konec.
  • v heslech bývá často obsaženo slovo heslo, jména, datumy narození nebo přihlašovací jména.
  • většina podstatných jmen v heslech je v 1. pádu.

 

Zdroje: vlastní, 1