Pátek 3. července 2020, svátek má Radomír
  • schránka
  • Přihlásit Můj účet
  • Pátek 3. července 2020 Radomír

Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

  11:49aktualizováno  16:54
Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů. Podívejte se, zda patříte mezi ty, jejichž hesla mají v rukou hackeři. Poradíme vám, jak pracovat s hesly, aby vás podobné úniky nestály čas, peníze ani nervy.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Troy Hunt, odborník na počítačovou bezpečnost, upozornil na novou databázi přihlašovacích údajů a hesel. Našel ji na hostovací službě MEGA (data již nejsou dostupná na původní adrese).

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1"

Po pročištění 2,69 miliardy záznamů (87 gigabytů textu) zde identifikoval celkem 772 milionů unikátních e-mailových adres s příslušným heslem. Jde tak o zatím největší databázi uniklých hesel svého druhu. Jde o kompilát z několika stovek minulých úniků, nejsou to tedy jen nově uniklá hesla.

Důležité je, že uniklá hesla jsou skutečně hesla v textovém formátu, nikoli ověřovací součet (hash) hesla. To znamená, že kdokoli by se s tímto heslem mohl přihlásit k online službě a vydávat se pak za daného uživatele.

Uniklo i vaše heslo?

Ověřit si to můžete na stránkách HaveIBeenPWNed.com

Na stránkách HaveIBeenPWNed.com, které Troy Hunt provozuje, můžete ověřit, zda váš e-mail byl součástí některého dosud odhaleného úniku. Můžete také ověřit, zda uniklo konkrétní heslo. Stránka HaveIBeenPWNed neposílá vámi zadané heslo na server, posílá pouze lokálně vytvořený kontrolní součet.

Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat.

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených...

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených účtů

Nezjistíte ale, zda dané heslo uniklo právě v kombinaci s vaším e-mailem. Hunt totiž neuchovává informace o tom, odkud které heslo pochází.

Stránka HaveIBeenPWNed neposílá na server vaše heslo (podrobné vysvětlení dále v článku). Přesto je z bezpečnostního hlediska dobrým zvykem nezadávat heslo nikam, kam nepatří. Pomocí této stránky tak ověřujte hesla, která již aktivně nepoužíváte.

Hunt radí, aby lidé nepoužívali již uniklá hesla, protože tato hesla jsou nyní bez ohledu na svou původní délku nebo složitost relativně snadno prolomitelná. Útočníci navíc mohou disponovat kombinací e-mail + heslo. Tuto kombinaci mohou ve velkém vyzkoušet v různých službách (tzv. credential stuffing) a odhalit tak ty uživatele, kteří hesla opakují.

Co dělat, pokud můj e-mail nebo heslo uniklo?

Není důvod k panice, ale opatrnost je rozhodně na místě

Pokud je váš e-mail nebo vaše heslo v databázi uniklých přihlašovacích údajů, nemusíte se bát toho, že byste jenom kvůli tomu zrovna teď byli v hledáčku hackerů. Mohou to ostatně být staré údaje. Tady je doporučený postup:

  1. Změňte si heslo  – především tam, kde na tom záleží (e-mail, datové úložiště, finanční služby apod.)
  2. Zapněte dvoufaktorové ověření  – kdekoli to poskytovatel umožňuje, aktivujte si dvoukrokové zabezpečení účtu, ať už prostřednictvím SMS zprávy, speciální aplikací nebo hardwarovým klíčem
  3. Nikdy neopakujte hesla – pro každou službu byste měli mít jedinečné heslo, vyhnete se tak tomu, že útočník jedním heslem odemkne celou vaši internetovou identitu.

Ke správě hesel můžete použít specializovaný nástroj (1Password, LastPass, KeePass), který vám značně usnadní žonglování s unikátními hesly. Samozřejmě, že pak se musíte o to více postarat o zabezpečení daného nástroje.

Více o tom, jak zacházet s hesly, si přečtěte v našem návodu.

Pokud nechcete své heslo nikam posílat, můžete si místo toho stáhnout celý seznam hesel. Má přes 7 GB a obsahuje kontrolní součty hesel (nikoli hesla samotná).  

Proč lidé neumí pracovat s hesly?

NÁVOD: Jak pracovat s hesly

Hesla patří k nejproblematičtějším prvkům počítačové bezpečnosti. Jde o tajný řetězec, který spolu s přihlašovacím jménem slouží k jednoznačné identifikaci daného uživatele. Jde o klíč, kterým odemykáme a stvrzujeme svou identitu. Většina lidí ale s hesly neumí pracovat, protože instrukce ohledně hesel byly dlouhou dobu přinejlepším zavádějící.

Třeba známá poučka o tom, že heslo musí obsahovat malá písmena, velká písmena a číslice. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si s odstupem William Burr z NIST, který se na tvorbě doporučení podílel. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé tak často pravidla obcházeli. Volili si hesla, kde číslo nahrazovalo podobné písmeno (0 místo O, 1 místo malého L či velkého i apod.) a veškerá výhoda speciálních znaků byla ta tam.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat...

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov. Jako příklad uvádíme kombinaci čtyř slov: „oselukradspadlaven“.

Lepší než heslo plné velkých a malých písmen, je náhodně vygenerované heslo, které jste si schopni zapamatovat. Takové, které nikdo jiný nemá, které nejde nijak odvodit a které žádný útočník nenajde v databázi hesel nebo dokonce ve slovníku.

Nevěřte nikomu! Ani této stránce, které můžete věřit

Řada lidí v diskuzi pod článkem varuje před ověřováním hesel. Toto varování jsme ostatně měli od začátku v článku, ale hodí se to nejspíše zopakovat: Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat. Důvodů je hodně, ale tím hlavním je, že by se tak k heslu mohl dostat někdo, kdo by jej nějakým způsobem spojil s vaší identitou a tím se dostal k vašemu účtu.

Troy Hunt přiznává, že sám dlouho zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Obával se, že by tím mohl paradoxně lidem utvrdit špatné bezpečnostní návyky. Nakonec se rozhodl, že výhody převažují nad nevýhodami. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“

Huntova stránka provádí ověření vámi zadaného hesla, aniž by toto heslo někam posílala (podrobné vysvětlení). Využívá k tomu operace přímo na počítači uživatele (proto je nutný JavaScript). Na server tedy stránka neposílá vaše heslo, ale jen část jeho kontrolního součtu.

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo...

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo uniklo: JavaScript na počítači uživatele vytvoří kontrolní součet SHA1, pošle prvních pět znaků tohoto součtu na server, stáhne kontrolní součty, které začínají těmito pěti znaky a pak lokálně ověří, zda kontrolní součet uživatelova hesla je totožný s kontrolním součtem některého z hesel, které již uniklo.

I tak není dobrý nápad zadávat své aktuálně používané heslo do nějakého ověřovače. Přestože tento zrovna teď funguje tak, jak má, v budoucnu by se to mohlo změnit. Obecná rada proto zní: pomocí tohoto ověřovače si můžete ověřit, zda uniklo staré heslo, které již nepoužíváte. Aktuálně používané heslo si takto nekontrolujte. Ačkoli aktuální Huntova stránka vaše heslo nikdy nedostane, je taková opatrnost z bezpečnostího hlediska dobrý návyk.

A nové heslo si vůbec kontrolovat nemusíte. Stačí totiž, že jste jej zvolili náhodně, pak byste se neměli bát, že již takové heslo uniklo. Klíčem k bezpečnosti tedy je: dostatečně náhodně zvolené heslo a různá hesla pro různé služby.

Aktualizace: Doplnili jsme vysvětlení toho, jak stránka ověřuje zadané heslo oproti seznamu uniklých hesel, aniž by jej musela posílat na server.

Autor:

Přechod na DVB-T2

Od 27. 11. probíhá postupný přechod na vysílací standard DVB-T2. Kvůli koronavirové pandemii vláda rozhodla o odložení zbývajících přechodů na vysílání DVB-T2. Diváci si tak musí pořídit televizi s podporou kódování H.265 (HEVC) nebo starší televizi doplnit vhodným set-top boxem.

  • Nejčtenější

Spletli se při navigaci. Stíhačky jim za to udělily trest smrti

K troskám izraelského civilního letadla sestřeleného bulharskými stíhačkami se jako první dostali místní. Odnesli, co...

Varování: probíhá útok na RDP protokol pro vzdálený přístup k počítači

O probíhajícím útoku na protokol RDP, který je používán některými programy pro vzdálený přístup k ploše, informovala...

CERN udělal první krok k novému stokilometrovému urychlovači částic

Evropská laboratoř jaderného výzkumu známá pod mezinárodní zkratkou CERN přijala novou aktualizaci strategie výzkumu....

Spojené státy mají covidový problém. I lepší nástroje na jeho zvládnutí

V USA se virus SARS-CoV-2 podle všeho rychle šíří ve státech, které se během jara nejhoršímu vyhnuly. Není jasné, zda v...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Bulharské MiGy raději zabíjely, než by nechaly civilní stroj proletět

Těsně před půl osmou ráno 27. června roku 1955 dopravní letoun Lockheed Constellation společnosti El Al na cestě z...

Na podzim může přijít katastrofa, varuje bývalý viceguvernér centrální banky

Premium Patří mezi nejtalentovanější a nejznámější ekonomy v Česku. V pouhých 32 letech se stal viceguvernérem České národní...

Velké srovnání cen zubařských zákroků. V regionech se liší i o tisíce

Premium Stomatologie je už léta oborem, v němž pacienti musí hodně platit. Pomalu se to ale mění. Akutní péče je díky větší...

Radit lidem, aby během pandemie seděli doma, byla chyba, říká Pavel Pafko

Premium Zdůrazňuje, že není žádný king, ani se nepovažuje za mimořádně talentovaného. Pavel Pafko prý jen pracoval víc než...

  • Další z rubriky

Facebook reaguje na bojkot firem. Zakáže nenávistná reklamní sdělení

Společnost Facebook čelí bezprecedentnímu bojkotu reklamy kvůli hnutí StopHateForProfit, které se snaží donutit...

Tento poplatek neplaťte. Úřad za výzvou k platbě za registr nestojí

Do e-mailových, ale i datových schránek se v těchto dnech dostávají výzvy k zaplacení registrace firmy do rejstříku. Na...

Twitter poprvé použil nálepku pro kontrolu faktů u tweetů Donalda Trumpa

Twitter poprvé vyzval čtenáře, aby si ověřili fakta u tweetů, které zveřejnil prezident Spojených států. Reagoval tak...

Vysokorychlostní internet do odlehlých míst Česka. Firmy si rozdělí miliardu

Celkem šest společností si rozdělí dotaci ve výši jedné miliardy korun na to, aby dostaly internet s rychlostí alespoň...

O novém vztahu jsem svého manžela informovala, říká Světlana Witowská

Moderátorka Světlana Witowská (47) kromě konce v hlavních zpravodajských pořadech České televize řeší také nový vztah....

Výpadek systémů T-Mobilu pokračuje. Operátor přestal účtovat mobilní data

Už téměř 24 hodin nefungují T-Mobilu interní systémy. Podle operátora si náprava vyžádá desítky hodin. Problém nastal v...

Peníze zapomněla v bankomatu, poctivého nálezce odmítli v bance i na úřadě

Stát se to může každému z nás. Jsme zamyšlení, roztržití nebo nám zrovna zazvoní telefon a tak transakci u bankomatu...

Bývalá pornoherečka Mia Khalifa žádá stažení videí. Fanoušci sepsali petici

Fanoušci bývalé pornoherečky jménem Mia Khalifa (27) požadují v nové petici, aby byla z internetu stažena veškerá videa...

Na podzim může přijít katastrofa, varuje bývalý viceguvernér centrální banky

Premium Patří mezi nejtalentovanější a nejznámější ekonomy v Česku. V pouhých 32 letech se stal viceguvernérem České národní...