Uniklá hesla: Jak zjistit, jestli někdo nezískal vaše údaje

Možná máte pocit, že když používáte silná a jedinečná hesla, jste v bezpečí. Jenže internet funguje jinak, než si většina lidí představuje. Prakticky každý týden se objeví nový únik dat, při kterém se na internet dostávají přihlašovací údaje z napadených služeb. Ty pak často končí v rozsáhlých databázích uniklých hesel, které se volně šíří mezi útočníky i běžnými uživateli. Nejde přitom o chybu člověka, ale o problém napadených webů a aplikací, kam se přihlašujeme.

Stačí, aby byla ohrožena jediná z nich, a vaše přihlašovací údaje se mohou objevit někde, kam rozhodně nepatří. A právě proto má smysl dělat pravidelnou kontrolu hesla. Pomůže vám zjistit, jestli vaše údaje nejsou mezi uniklými hesly, a umožní vám zasáhnout ještě předtím, než přijdou následky.

V článku si vysvětlíme, proč nestačí mít jen silné heslo, jak fungují databáze s uniklými údaji, jak si bezpečně ověřit své účty a jak se chránit do budoucna.

Proč nestačí jen silné heslo

Silné heslo je skvělý start, ale samo o sobě nepokryje vše. Mnohem častěji než hádáním hesel útočníci získávají přihlašovací údaje díky prolomení služeb. Když se data ze služby vyklopí ven, části těchto záznamů se dostanou mezi uniklá hesla a dál kolují sítí.

Problém zesiluje, že se tyto soubory kombinují a obchodují. Útočníci je porovnávají s dalšími úniky, hledají shody a automaticky zkouší kombinace jméno plus heslo napříč stovkami webů. Tuhle taktiku bezpečnostní odborníci nazývají credential stuffing, a funguje, protože lidé stále opakují hesla nebo jen mírně obměňují jednu základní kombinaci.

Z toho plyne jednoduché pravidlo: síla hesla nezaručí bezpečí, pokud už bylo odhaleno jinde. Proto je potřeba pravidelně dělat kontrolu, abyste zjistili, jestli se vaše údaje neprodávají nebo neobíhají v databázích úniků. Ta informace vám umožní jednat dřív a zamezit dalším škodám.

Jak fungují databáze uniklých hesel

Když dojde k úniku dat z nějaké služby, útočníci získaná data často spojují s jinými úniky a vytvářejí rozsáhlé databáze. Obsahují miliardy e-mailů, uživatelských jmen a zašifrovaných podob hesel z různých let. Často jde o kombinaci mnoha menších úniků, které se časem sloučí do jediného obrovského souboru.

Aby se v takovém množství dat dalo vyznat, jsou záznamy označené podle zdroje a data úniku. Útočníci tyto soubory využívají pro hromadné, automatizované testy přihlášení, kdy se postupně zkouší uložené páry e-mail plus heslo na stovkách nebo tisících webů. Pokud používáte stejné heslo na více místech, jediná úspěšná shoda často stačí k tomu, aby útočník získal přístup i k vašim dalším účtům.

S podobnými databázemi ale pracují i bezpečnostní odborníci. Ti používají matematické otisky hesel, které umožňují porovnávat data, aniž by někdo viděl jejich skutečné znění. Díky tomu mohou vznikat bezpečné nástroje, které pomáhají uživatelům zjistit, jestli jejich údaje unikly, aniž by tím riskovali zneužití.

Jak provést bezpečnou kontrolu hesla

Pokud chcete zjistit, jestli vaše údaje někdy unikly, nejspolehlivější cestou je využít službu Have I Been Pwned. Patří k nejdůvěryhodnějším projektům v oblasti online bezpečnosti a shromažďuje data z tisíců ověřených úniků.

Použití je jednoduché. Otevřete web haveibeenpwned.com, zadejte svůj e-mail a potvrďte vyhledávání. Během několika vteřin se zobrazí výsledek. Pokud systém nenajde žádnou shodu, zobrazí se zelená hláška, že váš účet nebyl zaznamenán v žádném známém úniku. Pokud naopak shodu najde, uvidíte seznam služeb, kterých se únik týkal, a přibližné datum, kdy k němu došlo. Můžete se také přihlásit k odběru upozornění, která vás informují o nových incidentech.

Další možností jsou integrované nástroje v internetových prohlížečích. Google Chrome nabízí službu Password Checkup, Mozilla Firefox používá systém Firefox Monitor a Microsoft Edge obsahuje Password Monitor. Všechny tyto funkce umí automaticky sledovat uložená hesla a upozornit vás, pokud se objeví mezi uniklými hesly. Výhodou je, že kontrola probíhá přímo v rámci prohlížeče a nemusíte ji spouštět ručně.

Kdo chce mít o svých přihlašovacích údajích větší přehled, může podobnou kontrolu propojit se správcem hesel. Nástroje jako 1Password, Dashlane nebo LastPass fungují jako osobní trezor, který uchovává všechna hesla šifrovaně a dokáže je automaticky vyplňovat. Umožňují také generovat nová, silná a jedinečná hesla pro každý účet, takže si je už nemusíte pamatovat a v praxi je sami ani nemusíte znát, protože je za vás vyplňuje aplikace.

Funkce jako Watchtower v 1Password, Dark Web Monitoring v LastPass nebo Dark Web Insights v Dashlane využívají šifrované porovnávání s databázemi uniklých hesel a upozorní vás, pokud se vaše údaje objeví v novém úniku. Díky tomu máte přehled o všech účtech na jednom místě a jistotu, že na případný problém můžete reagovat okamžitě.

Když zjistíte, že vaše údaje unikly

Zjistit, že se váš účet objevil v databázi uniklých hesel, nemusí být důvod k panice. Znamená to, že se někdy v minulosti stal součástí úniku dat, ne nutně to, že ho někdo právě teď zneužívá. Důležité je zachovat klid a rychle podniknout několik kroků, které riziko minimalizují.

1. Změňte heslo na napadeném účtu.

Použijte zcela nové a jedinečné heslo, které jste nikdy nepoužili jinde. Pokud jste používali podobné kombinace u více služeb, změňte je také. Tím zabráníte tomu, aby se odhalené údaje daly zneužít znovu.

2. Zkontrolujte nedávná přihlášení.

Podívejte se, jestli se do vašeho účtu v poslední době nepřihlásil někdo cizí. Gmail, Microsoft, Facebook a další služby umožňují zobrazit historii přihlášení i aktivních zařízení. Pokud uvidíte něco podezřelého, ihned se odhlaste ze všech relací a znovu se přihlaste s novým heslem.

3. Zapněte dvoufázové ověření.

Kromě hesla budete zadávat i druhý ověřovací kód, který přijde do aplikace nebo na telefon. I kdyby někdo získal vaše přihlašovací údaje, bez druhého faktoru se do účtu nedostane. Dvoufázové ověření je dnes nejúčinnější způsob, jak se chránit i v případě dalších uniklých hesel.

4. Prověřte ostatní účty.

Útočníci často zkoušejí stejné kombinace e-mailu a hesla i na jiných webech. Proveďte novou kontrolu hesla a ujistěte se, že žádný další účet není ohrožený. Pokud používáte správce hesel, můžete díky němu spravovat všechny údaje na jednom místě a dostávat upozornění při každém novém úniku.

5. Poučte se pro příště.

Únik dat není konec světa, ale varování. Reagujte rychle, sledujte bezpečnost svých účtů a nastavte si systém, který vás ochrání i příště.

Jak se chránit do budoucna

Kybernetická bezpečnost není jednorázová akce, ale spíš dlouhodobý návyk. Po jedné kontrole hesla byste měli myslet i na to, jak podobným situacím v budoucnu předcházet. Základem je mít přehled o svých účtech, pečovat o ně průběžně a reagovat dřív, než dojde k problému.

1. Rozdělte si účty podle důležitosti.

Jinou váhu má e-mail, přes který se přihlašujete všude jinde, a jinou účet v e-shopu, kde nakupujete jednou za rok. U těch nejdůležitějších používejte unikátní přihlašovací údaje a dvoufázové ověření.

2. Nastavte si připomenutí.

Stejně jako měníte hesla k Wi-Fi nebo PIN ke kartě, vyplatí se jednou za čas udělat i rychlou revizi účtů. Zkontrolujte, jestli někde nepoužíváte staré nebo podobné přihlašovací údaje a jestli váš správce hesel nehlásí varování o uniklých heslech.

3. Dávejte pozor, kam klikáte.

Phishingové e-maily jsou stále častější. Nikdy neklikejte na odkazy, které vás žádají o přihlášení, i když vypadají důvěryhodně. Vždy se přihlašujte ručně přes oficiální web nebo aplikaci.

4. Aktualizujte zařízení a software.

Mnoho útoku využívá zranitelnosti v zastaralých systémech. Automatické aktualizace jsou jednoduchý způsob, jak se chránit bez námahy.

5. Vzdělávejte sebe i ostatní.

Bezpečné chování na internetu by mělo být stejně samozřejmé jako zamykání bytu. Sdílejte tyto návyky i s lidmi kolem sebe. Čím víc lidí je dodržuje, tím menší je šance, že někdo z vašeho okolí nechtěně přispěje k úniku dat.

Zkontrolujte své účty ještě dnes

Úniky dat jsou realitou dnešního internetu. Nejde jim úplně zabránit, ale můžete ovlivnit, jak vás zasáhnou. Stačí jednou za čas zkontrolovat své účty, upravit slabá místa a udržovat si přehled. Každý takový krok zvyšuje šanci, že i kdyby vaše údaje někdy unikly, zůstanou vám pod kontrolou.