Pátek 2. prosince 2022, svátek má Blanka
  • schránka
  • Přihlásit Můj účet
  • Pátek 2. prosince 2022 Blanka

Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

  11:49aktualizováno  16:54
Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů. Podívejte se, zda patříte mezi ty, jejichž hesla mají v rukou hackeři. Poradíme vám, jak pracovat s hesly, aby vás podobné úniky nestály čas, peníze ani nervy.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Troy Hunt, odborník na počítačovou bezpečnost, upozornil na novou databázi přihlašovacích údajů a hesel. Našel ji na hostovací službě MEGA (data již nejsou dostupná na původní adrese).

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1"

Po pročištění 2,69 miliardy záznamů (87 gigabytů textu) zde identifikoval celkem 772 milionů unikátních e-mailových adres s příslušným heslem. Jde tak o zatím největší databázi uniklých hesel svého druhu. Jde o kompilát z několika stovek minulých úniků, nejsou to tedy jen nově uniklá hesla.

Důležité je, že uniklá hesla jsou skutečně hesla v textovém formátu, nikoli ověřovací součet (hash) hesla. To znamená, že kdokoli by se s tímto heslem mohl přihlásit k online službě a vydávat se pak za daného uživatele.

Uniklo i vaše heslo?

Ověřit si to můžete na stránkách HaveIBeenPWNed.com

Na stránkách HaveIBeenPWNed.com, které Troy Hunt provozuje, můžete ověřit, zda váš e-mail byl součástí některého dosud odhaleného úniku. Můžete také ověřit, zda uniklo konkrétní heslo. Stránka HaveIBeenPWNed neposílá vámi zadané heslo na server, posílá pouze lokálně vytvořený kontrolní součet.

Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat.

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených účtů

Nezjistíte ale, zda dané heslo uniklo právě v kombinaci s vaším e-mailem. Hunt totiž neuchovává informace o tom, odkud které heslo pochází.

Stránka HaveIBeenPWNed neposílá na server vaše heslo (podrobné vysvětlení dále v článku). Přesto je z bezpečnostního hlediska dobrým zvykem nezadávat heslo nikam, kam nepatří. Pomocí této stránky tak ověřujte hesla, která již aktivně nepoužíváte.

Hunt radí, aby lidé nepoužívali již uniklá hesla, protože tato hesla jsou nyní bez ohledu na svou původní délku nebo složitost relativně snadno prolomitelná. Útočníci navíc mohou disponovat kombinací e-mail + heslo. Tuto kombinaci mohou ve velkém vyzkoušet v různých službách (tzv. credential stuffing) a odhalit tak ty uživatele, kteří hesla opakují.

Co dělat, pokud můj e-mail nebo heslo uniklo?

Není důvod k panice, ale opatrnost je rozhodně na místě

Pokud je váš e-mail nebo vaše heslo v databázi uniklých přihlašovacích údajů, nemusíte se bát toho, že byste jenom kvůli tomu zrovna teď byli v hledáčku hackerů. Mohou to ostatně být staré údaje. Tady je doporučený postup:

  1. Změňte si heslo  – především tam, kde na tom záleží (e-mail, datové úložiště, finanční služby apod.)
  2. Zapněte dvoufaktorové ověření  – kdekoli to poskytovatel umožňuje, aktivujte si dvoukrokové zabezpečení účtu, ať už prostřednictvím SMS zprávy, speciální aplikací nebo hardwarovým klíčem
  3. Nikdy neopakujte hesla – pro každou službu byste měli mít jedinečné heslo, vyhnete se tak tomu, že útočník jedním heslem odemkne celou vaši internetovou identitu.

Ke správě hesel můžete použít specializovaný nástroj (1Password, LastPass, KeePass), který vám značně usnadní žonglování s unikátními hesly. Samozřejmě, že pak se musíte o to více postarat o zabezpečení daného nástroje.

Více o tom, jak zacházet s hesly, si přečtěte v našem návodu.

Pokud nechcete své heslo nikam posílat, můžete si místo toho stáhnout celý seznam hesel. Má přes 7 GB a obsahuje kontrolní součty hesel (nikoli hesla samotná).  

Proč lidé neumí pracovat s hesly?

NÁVOD: Jak pracovat s hesly

Hesla patří k nejproblematičtějším prvkům počítačové bezpečnosti. Jde o tajný řetězec, který spolu s přihlašovacím jménem slouží k jednoznačné identifikaci daného uživatele. Jde o klíč, kterým odemykáme a stvrzujeme svou identitu. Většina lidí ale s hesly neumí pracovat, protože instrukce ohledně hesel byly dlouhou dobu přinejlepším zavádějící.

Třeba známá poučka o tom, že heslo musí obsahovat malá písmena, velká písmena a číslice. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si s odstupem William Burr z NIST, který se na tvorbě doporučení podílel. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé tak často pravidla obcházeli. Volili si hesla, kde číslo nahrazovalo podobné písmeno (0 místo O, 1 místo malého L či velkého i apod.) a veškerá výhoda speciálních znaků byla ta tam.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov. Jako příklad uvádíme kombinaci čtyř slov: „oselukradspadlaven“.

Lepší než heslo plné velkých a malých písmen, je náhodně vygenerované heslo, které jste si schopni zapamatovat. Takové, které nikdo jiný nemá, které nejde nijak odvodit a které žádný útočník nenajde v databázi hesel nebo dokonce ve slovníku.

Nevěřte nikomu! Ani této stránce, které můžete věřit

Řada lidí v diskuzi pod článkem varuje před ověřováním hesel. Toto varování jsme ostatně měli od začátku v článku, ale hodí se to nejspíše zopakovat: Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat. Důvodů je hodně, ale tím hlavním je, že by se tak k heslu mohl dostat někdo, kdo by jej nějakým způsobem spojil s vaší identitou a tím se dostal k vašemu účtu.

Troy Hunt přiznává, že sám dlouho zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Obával se, že by tím mohl paradoxně lidem utvrdit špatné bezpečnostní návyky. Nakonec se rozhodl, že výhody převažují nad nevýhodami. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“

Huntova stránka provádí ověření vámi zadaného hesla, aniž by toto heslo někam posílala (podrobné vysvětlení). Využívá k tomu operace přímo na počítači uživatele (proto je nutný JavaScript). Na server tedy stránka neposílá vaše heslo, ale jen část jeho kontrolního součtu.

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo uniklo: JavaScript na počítači uživatele vytvoří kontrolní součet SHA1, pošle prvních pět znaků tohoto součtu na server, stáhne kontrolní součty, které začínají těmito pěti znaky a pak lokálně ověří, zda kontrolní součet uživatelova hesla je totožný s kontrolním součtem některého z hesel, které již uniklo.

I tak není dobrý nápad zadávat své aktuálně používané heslo do nějakého ověřovače. Přestože tento zrovna teď funguje tak, jak má, v budoucnu by se to mohlo změnit. Obecná rada proto zní: pomocí tohoto ověřovače si můžete ověřit, zda uniklo staré heslo, které již nepoužíváte. Aktuálně používané heslo si takto nekontrolujte. Ačkoli aktuální Huntova stránka vaše heslo nikdy nedostane, je taková opatrnost z bezpečnostího hlediska dobrý návyk.

A nové heslo si vůbec kontrolovat nemusíte. Stačí totiž, že jste jej zvolili náhodně, pak byste se neměli bát, že již takové heslo uniklo. Klíčem k bezpečnosti tedy je: dostatečně náhodně zvolené heslo a různá hesla pro různé služby.

Aktualizace: Doplnili jsme vysvětlení toho, jak stránka ověřuje zadané heslo oproti seznamu uniklých hesel, aniž by jej musela posílat na server.

Autor:
  • Nejčtenější

Velký meteorit ukrýval dva minerály, které jsme doposud na Zemi neviděli

Doposud jsme podobné nerosty mohli najít jako uměle vyrobené v laboratoři nebo v teoretických pracích. Díky poslu z...

Chřestýši pro Ukrajinu. Protiletadlový systém vznikal původně pro JAR

Ukrajinu podporuje dodávkami zbraní celá řada zemí. V pondělí 20. listopadu oznámil francouzský ministr obrany...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

„Svatba“ letounu L-39NG. Ve Vodochodech se po letech opět sériově vyrábí

Po osmi letech vývoje vyvrcholila práce na letounu L-39NG. Moderní následník slavného Albatrosu vstupuje do sériové...

Zlaté, šedé i modré fajfky. Musk chystá pro Twitter „bolestivý“ systém účtů

Nový majitel sociální sítě Twitter zveřejnil novinky v systému ověřených účtů. Nově se mají dělit na několik kategorií....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

PODCAST: Vodu z Dněpru nepijte. Utopilo se v něm hodně ruských vojáků

Podcast Náš spolupracovník Tomáš Kolařík se vypravil do ukrajinského Chersonu záhy po jeho osvobození. Během týdne pobytu ve...

Rozsáhlé zotročování lidí v Česku. Gang vydělal na práci bezdomovců miliony

Premium Na Ústecku roky mizeli bezdomovci a sociálně slabí žijící na ulici, jako by dostali „druhou šanci“. Končili v domě na...

Janečkova zpověď: vězení, alkohol, život bez domova. A kam zmizel Maradonův dres?

Premium Když ho konečně doženete, musíte zbystřit, jestli vás smysly neklamou. Jak může člověk, který se už patnáct let...

Vydělali za covidu, nakupují nemovitosti. Pandemie zrodila nové milionáře

Premium Zatímco většině podnikatelů v Česku způsobil covid ztráty, některým naopak poskytl životní příležitost ke zbohatnutí....

Facebook se „zbláznil“. Ukazoval jen vzkazy celebritám, přátele skryl

Řada uživatelů ve středu dopoledne hlásila, že se jim „zbláznil“ Facebook. Sociální síť ukazovala náhodné vzkazy....

Počítače se stanou neviditelnými. Jak cloud computing změní budoucnost

Díky cloud computingu lze využívat výkonné technologie s minimálními investicemi. Je všude přítomný a škálovatelný....

Zlaté, šedé i modré fajfky. Musk chystá pro Twitter „bolestivý“ systém účtů

Nový majitel sociální sítě Twitter zveřejnil novinky v systému ověřených účtů. Nově se mají dělit na několik kategorií....

Šest přehlížených funkcí, které ukazují, jak prohlížeč Edge dospívá

V posledních několika letech se posunul browser Microsoft Edge mílovými kroky vpřed. Se svým největším konkurentem sice...

Ať se dětem lépe dýchá. Proč vyrazit do Dětské léčebny Cvikov
Ať se dětem lépe dýchá. Proč vyrazit do Dětské léčebny Cvikov

Respirační onemocnění postihne čas od času každé dítě. Někdy ale může i banální onemocnění vést k nepříjemným chronickým stavům. Blíží se podzim a...

Ivan Trojan si s manželkou vypořádal majetek, bulvár spekuluje o rozvodu

Ivan Trojan (58) a Klára Pollertová-Trojanová (51) si v září podle veřejně dostupných dokumentů vypořádali společný...

Vsadil na neobvyklý nápad, už má 35 zaměstnanců a rostou i do světa

Lukáš Legát začal podnikat před devíti lety. Z původně garážové firmy je dnes společnost s pětatřiceti zaměstnanci,...

Žena už nemohla vystát obří ňadra, rozhodla se pro operativní zmenšení

Kylie Perkinsová, čtyřiadvacetiletá dvojnásobná matka z Aljašky, podstoupila zmenšení poprsí, aby se zbavila...

Otec zavelel, šetříme! Rodina vypnula elektřinu a topí jednou týdně

Zvyšování cen energií nutí lidi k nečekaným rozhodnutím. Jedna rodina z Londýna se rozhodla vrátit do minulosti. Šetří,...

Žena je pro mnohé příliš sexy, bývalí učitelé její odhalování nechápou

Říká si Ona Artist a na internetu pravidelně zveřejňuje sexy snímky. Pro mnohé už je to přehnané a především její...