Dodržovat základní bezpečnostní pravidla při používání hesel je čím dál důležitější. Stále přibývající a často opravdu rozsáhlé úniky dat vedou k tomu, že existují obří databáze e-mailových adres a hesel, které jsou buď volně dostupné nebo nelegálně nabízené ke koupi. Pokud se vaše údaje v některé z nich nalézají, můžete mít závažný problém.
Hesla z těchto databází se stávají součástí slovníku hesel v programech určených pro provádění kybernetických útoků a účty, které je využívají, jsou tedy v přímém ohrožení. Po některých únicích přijde postiženým uživatelům od napadené společnosti e-mail s informacemi o útoku a výzvou ke změně hesla: nemusí k tomu ale dojít vždy. Navíc při množství a objemu nejrůznějších útěků je někdy těžké se zorientovat v tom, zda naše data mohla být či byla zcizena.
Existuje proto stránka Have I Been Pwned? od australského experta na internetovou bezpečnost Troye Hunta. Nejprve nabízela uživatelům možnost zkontrolovat si, zda byla jejich e-mailová adresa nebo uživatelská jméno obsaženo v nějakém z úniků (ze kterého jsou dostupná zcizená data). Troy shromáždil databázi stamilionů adres a uživatelských jmen z desítek úniků, která se stále rozrůstá: dnes už obsahuje téměř 5 miliard účtů z 269 napadených webů. Stačí jen vepsat e-mail nebo jméno a stránka vám ukáže, zda je součástí databáze a z jakého úniku se do ní dostala.
Nově lze vyhledávat přímo v půl miliardě uniklých hesel
VarováníBuďte vždy obezřetní, kam na webu zadáváte své heslo! Nikdy nezadávejte důležité heslo jinam, než do zabezpečeného a ověřeného pole, do kterého toto heslo patří. Pokud se přihlašujete do své banky, pošty a dalších služeb, jděte přímo na oficiální adresu a ověřte si, že jste připojeni přes zabezpečené HTTPS připojení. |
Databáze ovšem neobsahovala přidružená hesla, která Troy nechtěl šířit. V minulém roce ovšem vydal americký Národní institut standardů a technologie nové směrnice. Ty volají po omezení užívání hesel, která byla součástí nějakého z úniků a Troy se rozhodl iniciativě pomoci. Měl totiž co nabídnout: má přístup k obří databázi uniklých údajů a uživatelsky velmi přívětivou stránku, skrze kterou může kdokoliv zjistit, zda je v ohrožení. Nově vytvořená databáze začínala s 306 miliony zcizených hesel a s dnešní velkou aktualizací jich obsahuje už přes půl miliardy.
Tato stránka neodesílá vaše heslo. Namísto toho vytvoří jeho SHA1 hash (kontrolní součet) a pošle na server prvních pět znaků tohoto hashe.
Pokud nechcete někam zadávat svoje heslo (dobře děláte!), nevadí. Celou databázi lze i přímo stáhnout: hesla jsou v podobě SHA-1 hashů a nelze si je tedy jen tak přečíst, svoje hesla mezi nimi ale snadno vyhledáte.
Jde hlavně o to zjistit, zda námi dříve používaná hesla byla součástí některého z úniků. K tomu slouží ona nová sekce Troyovy stránky „Passwords“, která s aktualizací doznala také dalšího vylepšení: řekne nám nejen, zda je zadané heslo v databázi, ale i kolikrát se v ní objevilo. Například obyčejné „password“ v ní je celkem 3,3milionkrát.
Některá „vtipná“ hesla a jejich frekvence:
- heslo (18 581krát)
- hesloheslo (2 684krát)
- heslohesloheslo (81krát)
- hesloheslohesloheslo (14krát)
- mojeheslo (1 770krát)
- heslokleslo (80krát)
- nevim (8 878krát)
- heslo1 (3 602krát)
- technet (385krát)
- praha (1 693krát)
- brno (236krát)
- dobroje (94krát)
- krivudanje (2krát)
- dobrojeprisjetitisedaprividnopravputpremaciljupredstavljaustvaripravodlivokrivudanje (ani jednou, přátelé!)
Další vtipná hesla, která našli naši fanoušci:
- iamidiot (175krát)
- i am idiot (1krát)
- miloszeman (8krát)
- jagr (305krát)
- babis (377krát)
- hovnokleslo (1 682krát)
- blbost (683krát)
- pitomec (396krát)
- smrdim (71krát)
- ihatemyjob (456krát)
- ihatemylife (2 181krát)
- ihatemywife (86krát)
- ihatemyhusband (38krát)
- ihatemykids (8krát)
- imissmywife (36krát)
- imissmyhusband (2krát)
- imissmykids (51krát)
Pokud najdete další vtipná hesla, dejte nám vědět a vybraná doplníme.
Co dělat, když zjistíme, že naše heslo bylo odcizeno?Samozřejmým prvním krokem je heslo změnit: a to nejen tam, kde bylo odcizeno, ale kdekoliv jinde. Tím se dostáváme k prvnímu bodu z hlavních zásad, jak s hesly pracovat, o kterých píšeme v našem návodu:
A pozor na to, co je silné heslo: nerozhoduje počet speciálních znaků, čísel a tak podobně. Lepší je udělat dlouhé heslo složené z běžných slov, které si snadno zapamatujete. Více píšeme článku o silných heslech. |
Na této stránce bylo dříve varování, abychom nikam – ani sem – nepsali hesla, která dosud aktivně využíváme. Nejsou sice zaznamenávána a Troy vám je dle vlastních slov neukradne, šlo spíše o to, aby si lidé nevytvářeli podobně špatné návyky v zacházení se svými daty.
Ovšem na svém blogu Troy popisuje, proč tuto výzvu nakonec odstranil: za prvé, lidé ji podle ohlasů nerespektovali a za druhé, ve výsledku je s tím prý vlastně spokojený. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“
Aktualizace: Doplnili jsme podrobnosti o fungování utilitky.