Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

  11:49aktualizováno  16:54
Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů. Podívejte se, zda patříte mezi ty, jejichž hesla mají v rukou hackeři. Poradíme vám, jak pracovat s hesly, aby vás podobné úniky nestály čas, peníze ani nervy.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Troy Hunt, odborník na počítačovou bezpečnost, upozornil na novou databázi přihlašovacích údajů a hesel. Našel ji na hostovací službě MEGA (data již nejsou dostupná na původní adrese).

Rekordní sbírka uniklých přihlašovacích údajů s pracovním názvem „Collection #1"

Po pročištění 2,69 miliardy záznamů (87 gigabytů textu) zde identifikoval celkem 772 milionů unikátních e-mailových adres s příslušným heslem. Jde tak o zatím největší databázi uniklých hesel svého druhu. Jde o kompilát z několika stovek minulých úniků, nejsou to tedy jen nově uniklá hesla.

Důležité je, že uniklá hesla jsou skutečně hesla v textovém formátu, nikoli ověřovací součet (hash) hesla. To znamená, že kdokoli by se s tímto heslem mohl přihlásit k online službě a vydávat se pak za daného uživatele.

Uniklo i vaše heslo?

Ověřit si to můžete na stránkách HaveIBeenPWNed.com

Na stránkách HaveIBeenPWNed.com, které Troy Hunt provozuje, můžete ověřit, zda váš e-mail byl součástí některého dosud odhaleného úniku. Můžete také ověřit, zda uniklo konkrétní heslo. Stránka HaveIBeenPWNed neposílá vámi zadané heslo na server, posílá pouze lokálně vytvořený kontrolní součet.

Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat.

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených účtů

Nezjistíte ale, zda dané heslo uniklo právě v kombinaci s vaším e-mailem. Hunt totiž neuchovává informace o tom, odkud které heslo pochází.

Stránka HaveIBeenPWNed neposílá na server vaše heslo (podrobné vysvětlení dále v článku). Přesto je z bezpečnostního hlediska dobrým zvykem nezadávat heslo nikam, kam nepatří. Pomocí této stránky tak ověřujte hesla, která již aktivně nepoužíváte.

Hunt radí, aby lidé nepoužívali již uniklá hesla, protože tato hesla jsou nyní bez ohledu na svou původní délku nebo složitost relativně snadno prolomitelná. Útočníci navíc mohou disponovat kombinací e-mail + heslo. Tuto kombinaci mohou ve velkém vyzkoušet v různých službách (tzv. credential stuffing) a odhalit tak ty uživatele, kteří hesla opakují.

Co dělat, pokud můj e-mail nebo heslo uniklo?

Není důvod k panice, ale opatrnost je rozhodně na místě

Pokud je váš e-mail nebo vaše heslo v databázi uniklých přihlašovacích údajů, nemusíte se bát toho, že byste jenom kvůli tomu zrovna teď byli v hledáčku hackerů. Mohou to ostatně být staré údaje. Tady je doporučený postup:

  1. Změňte si heslo  – především tam, kde na tom záleží (e-mail, datové úložiště, finanční služby apod.)
  2. Zapněte dvoufaktorové ověření  – kdekoli to poskytovatel umožňuje, aktivujte si dvoukrokové zabezpečení účtu, ať už prostřednictvím SMS zprávy, speciální aplikací nebo hardwarovým klíčem
  3. Nikdy neopakujte hesla – pro každou službu byste měli mít jedinečné heslo, vyhnete se tak tomu, že útočník jedním heslem odemkne celou vaši internetovou identitu.

Ke správě hesel můžete použít specializovaný nástroj (1Password, LastPass, KeePass), který vám značně usnadní žonglování s unikátními hesly. Samozřejmě, že pak se musíte o to více postarat o zabezpečení daného nástroje.

Více o tom, jak zacházet s hesly, si přečtěte v našem návodu.

Pokud nechcete své heslo nikam posílat, můžete si místo toho stáhnout celý seznam hesel. Má přes 7 GB a obsahuje kontrolní součty hesel (nikoli hesla samotná).  

Proč lidé neumí pracovat s hesly?

NÁVOD: Jak pracovat s hesly

Hesla patří k nejproblematičtějším prvkům počítačové bezpečnosti. Jde o tajný řetězec, který spolu s přihlašovacím jménem slouží k jednoznačné identifikaci daného uživatele. Jde o klíč, kterým odemykáme a stvrzujeme svou identitu. Většina lidí ale s hesly neumí pracovat, protože instrukce ohledně hesel byly dlouhou dobu přinejlepším zavádějící.

Třeba známá poučka o tom, že heslo musí obsahovat malá písmena, velká písmena a číslice. Cílem měla být bezpečnější autentizace uživatelů skrze silnější hesla. „Ve skutečnosti ale tato pravidla přiváděla uživatele k šílenství,“ uvědomuje si s odstupem William Burr z NIST, který se na tvorbě doporučení podílel. „A nedonutilo je to vybírat si silná hesla.“

Uživatelé tak často pravidla obcházeli. Volili si hesla, kde číslo nahrazovalo podobné písmeno (0 místo O, 1 místo malého L či velkého i apod.) a veškerá výhoda speciálních znaků byla ta tam.

Místo hesla plného čísel a písmen je vhodné (a lépe zapamatovatelné) kombinovat větší množství náhodně vybraných slov. Jako příklad uvádíme kombinaci čtyř slov: „oselukradspadlaven“.

Lepší než heslo plné velkých a malých písmen, je náhodně vygenerované heslo, které jste si schopni zapamatovat. Takové, které nikdo jiný nemá, které nejde nijak odvodit a které žádný útočník nenajde v databázi hesel nebo dokonce ve slovníku.

Nevěřte nikomu! Ani této stránce, které můžete věřit

Řada lidí v diskuzi pod článkem varuje před ověřováním hesel. Toto varování jsme ostatně měli od začátku v článku, ale hodí se to nejspíše zopakovat: Varování: Nikdy nezadávejte své heslo na stránkách, kterým nemůžete důvěřovat. Důvodů je hodně, ale tím hlavním je, že by se tak k heslu mohl dostat někdo, kdo by jej nějakým způsobem spojil s vaší identitou a tím se dostal k vašemu účtu.

Troy Hunt přiznává, že sám dlouho zvažoval, zda stránku pro ověření úniku hesla vůbec vytvářet. Obával se, že by tím mohl paradoxně lidem utvrdit špatné bezpečnostní návyky. Nakonec se rozhodl, že výhody převažují nad nevýhodami. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“

Huntova stránka provádí ověření vámi zadaného hesla, aniž by toto heslo někam posílala (podrobné vysvětlení). Využívá k tomu operace přímo na počítači uživatele (proto je nutný JavaScript). Na server tedy stránka neposílá vaše heslo, ale jen část jeho kontrolního součtu.

Takto vypadá funkce HaveIBeenPWNed, která ověřuje, zda uživatelem zadané heslo uniklo: JavaScript na počítači uživatele vytvoří kontrolní součet SHA1, pošle prvních pět znaků tohoto součtu na server, stáhne kontrolní součty, které začínají těmito pěti znaky a pak lokálně ověří, zda kontrolní součet uživatelova hesla je totožný s kontrolním součtem některého z hesel, které již uniklo.

I tak není dobrý nápad zadávat své aktuálně používané heslo do nějakého ověřovače. Přestože tento zrovna teď funguje tak, jak má, v budoucnu by se to mohlo změnit. Obecná rada proto zní: pomocí tohoto ověřovače si můžete ověřit, zda uniklo staré heslo, které již nepoužíváte. Aktuálně používané heslo si takto nekontrolujte. Ačkoli aktuální Huntova stránka vaše heslo nikdy nedostane, je taková opatrnost z bezpečnostího hlediska dobrý návyk.

A nové heslo si vůbec kontrolovat nemusíte. Stačí totiž, že jste jej zvolili náhodně, pak byste se neměli bát, že již takové heslo uniklo. Klíčem k bezpečnosti tedy je: dostatečně náhodně zvolené heslo a různá hesla pro různé služby.

Aktualizace: Doplnili jsme vysvětlení toho, jak stránka ověřuje zadané heslo oproti seznamu uniklých hesel, aniž by jej musela posílat na server.

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 10 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 10 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 12 příspěvků

28. března 2024

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 30 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

v diskusi je 10 příspěvků

27. března 2024

Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...

Stále víc hráčů dobrovolně opouští Survivor. Je znamením doby zhýčkanost?

Letošní ročník reality show Survivor je zatím nejkritizovanějším v celé historii soutěže. Může za to fakt, že už...