Ověřte si, že nemáte slabé či kompromitované heslo

20.7.2021 | Jindřich Zechmeister

Zneužití vašeho hesla vám může výrazně zkomplikovat život. Proto je dobré věnovat úrovni svých hesel pozornost a měnit je pravidelně, nebo nejpozději v případě kompromitace. V tomto článku se podíváme jak svá hesla zkontrolovat, včas odhalit ta prozrazená a předejít potížím.

Jak se může někdo moje heslo dozvědět?

Prozrazené heslo umožňuje nepovolaným osobám přihlásit se na vaše účty. Kompromitace hesla většinou není vaše vina; údaje nebývají zneužity přímo na konkrétním počítači. Není důvod automaticky předpokládat, že útočník získal přístup k vašemu počítači či ho naboural a sleduje ho i nadále (tyto myšlenky jsou na místě až pokud zjistíte, že došlo k prolomení více hesel v poměrně krátké době).

Nejčastější příčinou jsou krádeže osobních údajů uživatelů z různých služeb. Můžete si to představit tak, že útočníkům se "podaří" hacknout a získat databázi uživatelů nějaké služby (tzv. Breach) a tu pak zveřejní. Vaše heslo je tak kompromitováno a může si ho přečíst celý svět. Jednoduchá hesla lze navíc snadno uhádnout.

Kontrola zneužití

Svoje heslo můžete snadno zkontrolovat online. Podíváme se na veřejně dostupné nástroje, které to umí. Většina z nich funguje automaticky a umí vám po zadání e-mailu posílat upozornění na nalezené incidenty (obsahující daný e-mail či heslo).

Nejznámějším nástrojem pro kontrolu je have i been pwned. Zde po zadání svého e-mailu vidíte, které služby či poskytovalé byli hacknuti a uživatelské účty kompromitovány. Pokud je váš účet zahrnut, tak je vhodné považovat heslo za prolomené a změnit ho. Vy ho znáte, takže je jasné, o které heslo se jedná i když není vidět.

Do nástroje Pwned Passwords můžete zadávat přímo heslo (a nikoliv hledat přiřazený e-mail). Výsledkem je oznámení, zdali bylo heslo součástí krádeže údajů (Breach), a kolikrát se tak stalo. Databáze obsahuje přes 613 milionů kompromitovaných hesel, které byly dříve prokazatelně ukradeny.

Další služby pro kontrolu kompromitace hesla (klikněte na odkaz):

Slabá a opakující se hesla odhalíte ve správci či klíčence

Hlídání kompromitace hesla či upozornění na jeho nedostatečnost by mělo být dostupné v každém pořádném správci hesel (password manager). V našem magazínu jsme se jim už věnovali a ty nejznámější najdete v samostatné rubrice Správci hesel.

Známý správce hesel Lastpass umožňuje platícím uživatelům nejen posouzení síly hesla, ale také prověření ukradení a zveřejnění hesla (výše zmiňovaný Breach). Existuje však dostatek online variant zdarma.

V některých systémech se hesla ukládají do klíčenek, které výše zmíněné funkce podporují; například klíčenka v iOS (iPhone) a macOS vás upozorní, že heslo je slabé či opakující se ve více službách. Od verze iOS 14 a macOS Big Sur umí klíčenka monitorovat i kompromitovaná hesla (viz zdroj). Pokud máte u uloženého hesla ikonu vykřičníku, tak byste ho určitě měli změnit.

Keychain upozorňuje na komrpomitované heslo
Keychain upozorňuje na kompromitované heslo. Klikněte pro zvětšení.

Kontrola slabých a kompromitovaných hesel v seznamu je samozřejmě rychlejší a praktičtější než zkoušení jednotlivých hesel.

Používejte také správce hesel nebo klíčenky

Průměrný uživatel internetu využívá tolik služeb a aplikací, že pokud by měl všude používat unikátní hesla, nemůže si je pamatovat. Já sám mám v Apple klíčence uloženo už 600 přistupových údajů - a to tam nejsou zdaleka všechny. Pokud tedy nechcete zcela rezignovat na svou bezpečnost a používat jedno heslo, pak doporučujeme používat správce hesel a pro každou službu používat heslo své. Správci hesel umí i navrhnout silné heslo, což dává dokonalý smysl. Návrhy hesel jsou integrovány i v některých prohlížečích, nebo tuto funkčnost umožňují doplňky od správců hesel. Umělá inteligence posoudí lépe než uživatel co je vhodné a silné heslo.

Samozřejmostí pro cloudové správce hesel je přihlášení pomocí 2FA. Pokud budete správce hesel používat ve svém telefonu, tak máte zpravidla k dispozici biometriku - otisk prstu či rozpoznání obličeje. To přidává další úroveň zabezpečení přístupu k heslům. Nemá smysl mít hesla uložena v bezpečné službě, ale pod slabým heslem...

Účinná obrana proti prolomení hesla je 2FA

V našem magazínu se dvoufaktorové autentizaci (2FA) věnujeme pravidelně, proto pro vás tento termín určitě není nový. Jednoduše řečeno přidává 2FA k přihlášení dodatečnou ochranu a pouhé heslo k přihlášení tak již nestačí. Musíte zadat ještě jednorázové heslo (OTP) pro přihlášení, které se generuje nezávisle v zařízení, které držíte pouze vy. Typicky se jedná o aplikaci v chytrém telefonu, která ke každé "spárované" službě ukazuje OTP heslo platné velice krátkou dobu (automaticky se mění).

Doporučujeme proto 2FA zapnout ve všech službách kde je to možné.

 

Nakonec nezbývá než vám popřát hodně štěstí na internetu bez bezpečnostních incidentů.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz