Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

  11:49aktualizováno  16:54
Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů. Podívejte se, zda patříte mezi ty, jejichž hesla mají v rukou hackeři. Poradíme vám, jak pracovat s hesly, aby vás podobné úniky nestály čas, peníze ani nervy.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Troy Hunt, odborník na počítačovou bezpečnost, upozornil na novou databázi přihlašovacích údajů a hesel. Našel ji na hostovací službě MEGA (data již nejsou dostupná na původní adrese).

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1"

Po pročištění 2,69 miliardy záznamů (87 gigabytů textu) zde identifikoval celkem 772 milionů unikátních e-mailových adres s příslušným heslem. Jde tak o zatím největší databázi uniklých hesel svého druhu. Jde o kompilát z několika stovek minulých úniků, nejsou to tedy jen nově uniklá hesla.

Důležité je, že uniklá hesla jsou skutečně hesla v textovém formátu, nikoli ověřovací součet (hash) hesla. To znamená, že kdokoli by se s tímto heslem mohl přihlásit k online službě a vydávat se pak za daného uživatele.

Uniklo i vaše heslo?

Ověřit si to můžete na stránkách HaveIBeenPWNed.com

Na stránkách HaveIBeenPWNed.com, které Troy Hunt provozuje, můžete ověřit, zda váš e-mail byl součástí některého dosud odhaleného úniku. Můžete také ověřit, zda uniklo konkrétní heslo. Stránka HaveIBeenPWNed neposílá vámi zadané heslo na server, posílá pouze lokálně vytvořený kontrolní součet.

Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat.

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených...

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených účtů

Nezjistíte ale, zda dané heslo uniklo právě v kombinaci s vaším e-mailem. Hunt totiž neuchovává informace o tom, odkud které heslo pochází.

Stránka HaveIBeenPWNed neposílá na server vaše heslo (podrobné vysvětlení dále v článku). Přesto je z bezpečnostního hlediska dobrým zvykem nezadávat heslo nikam, kam nepatří. Pomocí této stránky tak ověřujte hesla, která již aktivně nepoužíváte.

Hunt radí, aby lidé nepoužívali již uniklá hesla, protože tato hesla jsou nyní bez ohledu na svou původní délku nebo složitost relativně snadno prolomitelná. Útočníci navíc mohou disponovat kombinací e-mail + heslo. Tuto kombinaci mohou ve velkém vyzkoušet v různých službách (tzv. credential stuffing) a odhalit tak ty uživatele, kteří hesla opakují.

Co dělat, pokud můj e-mail nebo heslo uniklo?

Není důvod k panice, ale opatrnost je rozhodně na místě

Pokud je váš e-mail nebo vaše heslo v databázi uniklých přihlašovacích údajů, nemusíte se bát toho, že byste jenom kvůli tomu zrovna teď byli v hledáčku hackerů. Mohou to ostatně být staré údaje. Tady je doporučený postup:

  1. Změňte si heslo  – především tam, kde na tom záleží (e-mail, datové úložiště, finanční služby apod.)
  2. Zapněte dvoufaktorové ověření  – kdekoli to poskytovatel umožňuje, aktivujte si dvoukrokové zabezpečení účtu, ať už prostřednictvím SMS zprávy, speciální aplikací nebo hardwarovým klíčem
  3. Nikdy neopakujte hesla – pro každou službu byste měli mít jedinečné heslo, vyhnete se tak tomu, že útočník jedním heslem odemkne celou vaši internetovou identitu.

Ke správě hesel můžete použít specializovaný nástroj (1Password, LastPass, KeePass), který vám značně usnadní žonglování s unikátními hesly. Samozřejmě, že pak se musíte o to více postarat o zabezpečení daného nástroje.

Více o tom, jak zacházet s hesly, si přečtěte v našem návodu.

Pokud nechcete své heslo nikam posílat, můžete si místo toho stáhnout celý seznam hesel. Má přes 7 GB a obsahuje kontrolní součty hesel (nikoli hesla samotná).  

Proč lidé neumí pracovat s hesly?

NÁVOD: Jak pracovat s hesly

Hesla patří k nejproblematičtějším prvkům počítačové bezpečnosti. Jde o tajný řetězec, který spolu s přihlašovacím jménem slouží k jednoznačné identifikaci daného uživatele. Jde o klíč, kterým odemykáme a stvrzujeme svou identitu. Většina lidí ale s hesly neumí pracovat, protože instrukce ohledně hesel byly dlouhou dobu přinejlepším zavádějící.

Třeba známá poučka o tom, že heslo musí obsahovat malá písmena, velká písmena a číslice. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si s odstupem William Burr z NIST, který se na tvorbě doporučení podílel. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé tak často pravidla obcházeli. Volili si hesla, kde číslo nahrazovalo podobné písmeno (0 místo O, 1 místo malého L či velkého i apod.) a veškerá výhoda speciálních znaků byla ta tam.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat...

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov. Jako příklad uvádíme kombinaci čtyř slov: „oselukradspadlaven“.

Lepší než heslo plné velkých a malých písmen, je náhodně vygenerované heslo, které jste si schopni zapamatovat. Takové, které nikdo jiný nemá, které nejde nijak odvodit a které žádný útočník nenajde v databázi hesel nebo dokonce ve slovníku.

Nevěřte nikomu! Ani této stránce, které můžete věřit

Řada lidí v diskuzi pod článkem varuje před ověřováním hesel. Toto varování jsme ostatně měli od začátku v článku, ale hodí se to nejspíše zopakovat: Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat. Důvodů je hodně, ale tím hlavním je, že by se tak k heslu mohl dostat někdo, kdo by jej nějakým způsobem spojil s vaší identitou a tím se dostal k vašemu účtu.

Troy Hunt přiznává, že sám dlouho zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Obával se, že by tím mohl paradoxně lidem utvrdit špatné bezpečnostní návyky. Nakonec se rozhodl, že výhody převažují nad nevýhodami. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“

Huntova stránka provádí ověření vámi zadaného hesla, aniž by toto heslo někam posílala (podrobné vysvětlení). Využívá k tomu operace přímo na počítači uživatele (proto je nutný JavaScript). Na server tedy stránka neposílá vaše heslo, ale jen část jeho kontrolního součtu.

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo...

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo uniklo: JavaScript na počítači uživatele vytvoří kontrolní součet SHA1, pošle prvních pět znaků tohoto součtu na server, stáhne kontrolní součty, které začínají těmito pěti znaky a pak lokálně ověří, zda kontrolní součet uživatelova hesla je totožný s kontrolním součtem některého z hesel, které již uniklo.

I tak není dobrý nápad zadávat své aktuálně používané heslo do nějakého ověřovače. Přestože tento zrovna teď funguje tak, jak má, v budoucnu by se to mohlo změnit. Obecná rada proto zní: pomocí tohoto ověřovače si můžete ověřit, zda uniklo staré heslo, které již nepoužíváte. Aktuálně používané heslo si takto nekontrolujte. Ačkoli aktuální Huntova stránka vaše heslo nikdy nedostane, je taková opatrnost z bezpečnostího hlediska dobrý návyk.

A nové heslo si vůbec kontrolovat nemusíte. Stačí totiž, že jste jej zvolili náhodně, pak byste se neměli bát, že již takové heslo uniklo. Klíčem k bezpečnosti tedy je: dostatečně náhodně zvolené heslo a různá hesla pro různé služby.

Aktualizace: Doplnili jsme vysvětlení toho, jak stránka ověřuje zadané heslo oproti seznamu uniklých hesel, aniž by jej musela posílat na server.

Autor:

50. výročí přistání na Měsící

Americký kosmický let Apollo 11 splnil svoji misi 20. července 1969. Na povrch Měsíce jako první člověk vstoupil velitel posádky Neil Armstrong. Doprovázel jej Edwin "Buzz" Aldrin, zatímco Michael Collins zůstal na palubě vesmírné lodi.

Téma Apollo 11 v článcích Technet.cz:
O čem si povídali kosmonauti Apolla 11. Poslechněte si tisíce hodin „ticha“
Co kdyby Apollo 11 zůstalo na Měsíci? Pohřbili by je přes rádio zaživa
Vlajky na Měsíci stále stojí. Podívejte se na důkaz ze sondy LRO

Nejčtenější

U Prochorovky to bylo jinak. Němci nám kradou tankovou bitvu, zuří Rusko

U Prochorovky se v červenci 1943 odehrála jedna z největších tankových bitev.

Nejslavnější tanková bitva u Prochorovky je ruská propaganda, napsal Die Welt s odkazem na zjištění německých a...

K síti se připojila největší solární elektrárna. Rekord dlouho nevydrží

Pohled na elektrárnu Nur Abú Zabí ze vzduchu

Ve Spojených arabských emirátech k začátku července spustili největší fotovoltaickou elektrárnu na světě. Má maximální...

Amatérský astronom vyfotografoval supertajný americký raketoplán X-37B

Americký raketoplán X-37B na orbitě

Nizozemský pozorovatel satelitů a vědecký novinář Ralf Vandebergh nejspíš udělal nejlepší fotku svého života. Podařilo...

Jeho formule chtěl každý. Autor slavných vystřihovánek slaví devadesátiny

Richard Vyškovský se svým modelem cisternové stříkačky CAS 32 na podvozku Tatra...

Richard Vyškovský je pro laickou veřejnost nepříliš známé jméno, v modelářské komunitě je však doslova celebritou. S...

Největší dobrodružství 20. století začalo o tři čtvrtě sekundy později

Tři Američané právě odstartovali na misi, kterou bedlivě sleduje celý svět.

Ani ostřílený hlasatel vesmírného střediska na Mysu Canaveral nedokáže zakrýt pohnutí. Je 16. července 1969, 9:32 ráno...

Další z rubriky

První obří pokuta dle GDPR: Aerolinky mají zaplatit miliardy za únik dat

British Airways

Britský úřad pro ochranu osobních údajů udělil nejvyšší pokutu ve své historii. Firmě British Airways uložil peněžitý...

Nenechte se napálit falešnou exekucí. Českem koluje další vlna e-mailů

Ilustrační snímek

Podvodníci zkoušejí nalákat důvěřivce na novou vlnu e-mailů, které vyhrožují falešnou exekucí. Vedle toho zkoušejí i...

Za velký výpadek služeb Google mohl přehmat, vysvětlil viceprezident

Výpadek služeb Google v Česku

Viceprezident společnosti Google se omluvil za výpadek, který postihl služby Google Drive a YouTube v USA a v Evropě....

Najdete na iDNES.cz