Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

  11:49aktualizováno  16:54
Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů. Podívejte se, zda patříte mezi ty, jejichž hesla mají v rukou hackeři. Poradíme vám, jak pracovat s hesly, aby vás podobné úniky nestály čas, peníze ani nervy.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Troy Hunt, odborník na počítačovou bezpečnost, upozornil na novou databázi přihlašovacích údajů a hesel. Našel ji na hostovací službě MEGA (data již nejsou dostupná na původní adrese).

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1"

Po pročištění 2,69 miliardy záznamů (87 gigabytů textu) zde identifikoval celkem 772 milionů unikátních e-mailových adres s příslušným heslem. Jde tak o zatím největší databázi uniklých hesel svého druhu. Jde o kompilát z několika stovek minulých úniků, nejsou to tedy jen nově uniklá hesla.

Důležité je, že uniklá hesla jsou skutečně hesla v textovém formátu, nikoli ověřovací součet (hash) hesla. To znamená, že kdokoli by se s tímto heslem mohl přihlásit k online službě a vydávat se pak za daného uživatele.

Uniklo i vaše heslo?

Ověřit si to můžete na stránkách HaveIBeenPWNed.com

Na stránkách HaveIBeenPWNed.com, které Troy Hunt provozuje, můžete ověřit, zda váš e-mail byl součástí některého dosud odhaleného úniku. Můžete také ověřit, zda uniklo konkrétní heslo. Stránka HaveIBeenPWNed neposílá vámi zadané heslo na server, posílá pouze lokálně vytvořený kontrolní součet.

Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat.

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených...

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených účtů

Nezjistíte ale, zda dané heslo uniklo právě v kombinaci s vaším e-mailem. Hunt totiž neuchovává informace o tom, odkud které heslo pochází.

Stránka HaveIBeenPWNed neposílá na server vaše heslo (podrobné vysvětlení dále v článku). Přesto je z bezpečnostního hlediska dobrým zvykem nezadávat heslo nikam, kam nepatří. Pomocí této stránky tak ověřujte hesla, která již aktivně nepoužíváte.

Hunt radí, aby lidé nepoužívali již uniklá hesla, protože tato hesla jsou nyní bez ohledu na svou původní délku nebo složitost relativně snadno prolomitelná. Útočníci navíc mohou disponovat kombinací e-mail + heslo. Tuto kombinaci mohou ve velkém vyzkoušet v různých službách (tzv. credential stuffing) a odhalit tak ty uživatele, kteří hesla opakují.

Co dělat, pokud můj e-mail nebo heslo uniklo?

Není důvod k panice, ale opatrnost je rozhodně na místě

Pokud je váš e-mail nebo vaše heslo v databázi uniklých přihlašovacích údajů, nemusíte se bát toho, že byste jenom kvůli tomu zrovna teď byli v hledáčku hackerů. Mohou to ostatně být staré údaje. Tady je doporučený postup:

  1. Změňte si heslo  – především tam, kde na tom záleží (e-mail, datové úložiště, finanční služby apod.)
  2. Zapněte dvoufaktorové ověření  – kdekoli to poskytovatel umožňuje, aktivujte si dvoukrokové zabezpečení účtu, ať už prostřednictvím SMS zprávy, speciální aplikací nebo hardwarovým klíčem
  3. Nikdy neopakujte hesla – pro každou službu byste měli mít jedinečné heslo, vyhnete se tak tomu, že útočník jedním heslem odemkne celou vaši internetovou identitu.

Ke správě hesel můžete použít specializovaný nástroj (1Password, LastPass, KeePass), který vám značně usnadní žonglování s unikátními hesly. Samozřejmě, že pak se musíte o to více postarat o zabezpečení daného nástroje.

Více o tom, jak zacházet s hesly, si přečtěte v našem návodu.

Pokud nechcete své heslo nikam posílat, můžete si místo toho stáhnout celý seznam hesel. Má přes 7 GB a obsahuje kontrolní součty hesel (nikoli hesla samotná).  

Proč lidé neumí pracovat s hesly?

NÁVOD: Jak pracovat s hesly

Hesla patří k nejproblematičtějším prvkům počítačové bezpečnosti. Jde o tajný řetězec, který spolu s přihlašovacím jménem slouží k jednoznačné identifikaci daného uživatele. Jde o klíč, kterým odemykáme a stvrzujeme svou identitu. Většina lidí ale s hesly neumí pracovat, protože instrukce ohledně hesel byly dlouhou dobu přinejlepším zavádějící.

Třeba známá poučka o tom, že heslo musí obsahovat malá písmena, velká písmena a číslice. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si s odstupem William Burr z NIST, který se na tvorbě doporučení podílel. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé tak často pravidla obcházeli. Volili si hesla, kde číslo nahrazovalo podobné písmeno (0 místo O, 1 místo malého L či velkého i apod.) a veškerá výhoda speciálních znaků byla ta tam.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat...

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov. Jako příklad uvádíme kombinaci čtyř slov: „oselukradspadlaven“.

Lepší než heslo plné velkých a malých písmen, je náhodně vygenerované heslo, které jste si schopni zapamatovat. Takové, které nikdo jiný nemá, které nejde nijak odvodit a které žádný útočník nenajde v databázi hesel nebo dokonce ve slovníku.

Nevěřte nikomu! Ani této stránce, které můžete věřit

Řada lidí v diskuzi pod článkem varuje před ověřováním hesel. Toto varování jsme ostatně měli od začátku v článku, ale hodí se to nejspíše zopakovat: Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat. Důvodů je hodně, ale tím hlavním je, že by se tak k heslu mohl dostat někdo, kdo by jej nějakým způsobem spojil s vaší identitou a tím se dostal k vašemu účtu.

Troy Hunt přiznává, že sám dlouho zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Obával se, že by tím mohl paradoxně lidem utvrdit špatné bezpečnostní návyky. Nakonec se rozhodl, že výhody převažují nad nevýhodami. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“

Huntova stránka provádí ověření vámi zadaného hesla, aniž by toto heslo někam posílala (podrobné vysvětlení). Využívá k tomu operace přímo na počítači uživatele (proto je nutný JavaScript). Na server tedy stránka neposílá vaše heslo, ale jen část jeho kontrolního součtu.

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo...

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo uniklo: JavaScript na počítači uživatele vytvoří kontrolní součet SHA1, pošle prvních pět znaků tohoto součtu na server, stáhne kontrolní součty, které začínají těmito pěti znaky a pak lokálně ověří, zda kontrolní součet uživatelova hesla je totožný s kontrolním součtem některého z hesel, které již uniklo.

I tak není dobrý nápad zadávat své aktuálně používané heslo do nějakého ověřovače. Přestože tento zrovna teď funguje tak, jak má, v budoucnu by se to mohlo změnit. Obecná rada proto zní: pomocí tohoto ověřovače si můžete ověřit, zda uniklo staré heslo, které již nepoužíváte. Aktuálně používané heslo si takto nekontrolujte. Ačkoli aktuální Huntova stránka vaše heslo nikdy nedostane, je taková opatrnost z bezpečnostího hlediska dobrý návyk.

A nové heslo si vůbec kontrolovat nemusíte. Stačí totiž, že jste jej zvolili náhodně, pak byste se neměli bát, že již takové heslo uniklo. Klíčem k bezpečnosti tedy je: dostatečně náhodně zvolené heslo a různá hesla pro různé služby.

Aktualizace: Doplnili jsme vysvětlení toho, jak stránka ověřuje zadané heslo oproti seznamu uniklých hesel, aniž by jej musela posílat na server.

Autor:
 

Nejčtenější

Živého kytaristu už dnes na popové desce neuslyšíte, říká věhlasný zvukař

Allen Sides v pražském poslechovém studiu VOIX

Pracoval na skoro tisícovce alb, postavil osmnáct nahrávacích studií a jeho reprosoustavy hrají i ve studiích George...

Jednosměrná letenka na rudou planetu se odkládá. Mars One krachuje

Ilustrace základny na Marsu, jak si ji představují v organizaci Mars One...

Firma Mars One, která slibovala soukromý let na Mars už v roce 2024, zkrachovala. Plány dostat na Mars lidské obyvatele...

Tančík pro vnuka poručíka Grubera. Němci ho nasadili i proti Tálibánu

Lehké obrněné vozidlo Wiesel s 20mm kanonem

V množině bojových vozidel Bundeswehru nalezneme s trochou štěstí i malé, ale o to více zajímavé tančíky Wiesel. Do...

Poslední Hitlerovy narozeniny nestály za nic. Supertanků se nedočkal

3D model stíhače tanků Jagdpanther, přezbrojeného na kanón ráže 128 mm tak, jak...

Na podzim 1944 se třetí říše hroutí a německé zbrojovky se snaží o nemožné. Hledají recept na zázračné zbraně,...

Kapitán nedosáhl na pedály. Začátek proudové éry přinesl zvláštní nehody

B-707 N7071  Braniff

Nová technika není vždy nutně bezpečnější. Dokládá to vývoj v letectví na přelomu 50. a 60. let. Piloti se s novými...

Další z rubriky

YouTube ztíží použití tlačítka dislike, aby se nezneužívalo

YouTube

YouTube vyzkouší, jak omezit vliv uživatelů, kteří se vyžívají v klikání na tlačítko s palcem dolů.

Zuckerberg má radikální plán: Chce sloučit tři nejoblíbenější kecálky

Mark Zuckerberg, šéf společnosti Facebook, plánuje integraci hlavních...

Mark Zuckerberg chce sjednotit komunikační platformy WhatsApp, Messenger a Instagram, a podtrhnout tak svou dominanci...

Rusko si kvůli válce vyzkouší odpojení od světového internetu

Ilustrační foto - internet

Rusko plánuje operaci, při níž che vyzkoušet, zda se dokáže odstřihnout od světového internetu a zvládne ho provozovat...

Najdete na iDNES.cz