Lucie MudrákováJistě jste to už někde četli nebo slyšeli. Pro každý svůj účet na internetu byste měli mít vždy jen jedno unikátní heslo. Teď si možná říkáte, jak si všechna ta hesla pamatovat a už jste možná začali přemýšlet, jak si to zjednodušit. To ale přichází zlaté pravidlo číslo dvě: Každé takové unikátní heslo by mělo být dostatečně dlouhé a obsahovat minimálně 12 znaků, a to jak velká a malá písmena, tak číslice a popřípadě také speciální znaky, pokud to daná služba umožňuje. Hesla by se také neměla nikam zapisovat, ani ukládat do prohlížečů, které nejsou před kybernetickými útoky dostatečně zabezpečené.
Udržovat hesla v bezpečí nemusí být v digitálním věku vůbec jednoduché. Bohužel nárůst kybernetických útoků jasně svědčí o tom, že hackeři nám to do budoucna neusnadní. Dnes se blíže podíváme na nejčastější útoky na vaše hesla a jak posílit jejich ochranu.
Je pro vás nepředstavitelné mít 10 a více hesel složených pouze z číslic, písmen a znaků? Zkuste heslové fráze. Jedná se o poměrně elegantní řešení, jak si silná a dostatečně dlouhá hesla lépe pamatovat. Jak takovou heslovou frázi vytvořit? Ideálně poskládejte větu, která dává smysl jenom vám, například se jedná o nějaký vtip v rodině, který lidem vně rodinného kruhu nic neřekne. Heslo pak může vypadat i takto: NaLouceUChatyRoste12Kopretin. Dávejte jen pozor na příliš známé a kultovní hlášky z filmů a texty populárních písní. Tvorba takových hesel může být i zábavou pro celou rodinu.
⇒ Fantastická hesla a kde je najít: Průvodce bezpečností hesel pro děti
Také hackeři používají hrubou sílu
Pro kyberzločince jsou přihlašovací údaje velmi cenným zbožím, které mohou zpeněžit na online tržišti na dark webu. Při útocích hrubou silou se snaží uhodnout nebo získat naše přihlašovací údaje a přístup k účtům. A bohužel ani složitá hesla nejsou ušetřena. Při útocích hrubou silou slouží útočníkům databáze uniklých hesel – ty si mohou pořídit opět na dark webu, kde bývají zveřejňována data uniklá při bezpečnostních incidentech firem, které spravují naše osobní údaje.
To, zda váš e-mail nebo heslo figurovalo v nějakém úniku dat a váš účet tak může být potenciálně v nebezpečí, zjistíte například na stránce haveibeenpwned.com.
Hackeři bedlivě sledují vývoj v oblasti zabezpečení hesel a snadno přizpůsobují své taktiky, aby dosáhli úspěchu. Útok hrubou silou může mít mnoho podob:
1. Jednoduchý útok hrubou silou
Při jednoduchém útoku hrubou silou se hackeři snaží uhodnout heslo bez použití specializovaného programu nebo databáze. Mohou otestovat nejčastější kombinace hesel nebo využít informace dostupné online, například na našich sociálních sítích. Opět se zde hodí připomenout jedno ze základních pravidel kybernetické bezpečnosti – do hesla nepatří datum narození.
2. Kropení hesel neboli Password spraying
Při těchto útocích používají hackeři seznam nejčastějších hesel a frází a pomocí speciálního softwaru a nástrojů testují jedno heslo na mnoha různých účtech. I jeden útok může vést k tomu, že hackeři získají přístup k desítkám nebo dokonce stovkám různých účtů.
3. Slovníkový útok
Při slovníkovém útoku hackeři zkoušejí různé kombinace a varianty běžně používaných slov. Útoky se obvykle neprovádějí ručně – útočníci často používají program, který pracuje s rozsáhlými seznamy běžných hesel a slovníky (jak napovídá název útoku), a do vybraného systému zadávají velké množství různých kombinací hesel.
4. Credential stuffing
Pokud útočník vlastní seznam uniklých přihlašovacích údajů, může pomocí speciálního softwaru zadat („nacpat“ z anglického slova stuff) kombinace uživatelských jmen a hesel do mnoha různých webových stránek. V případě, že jste takto zneužité přihlašovací údaje použili na více účtech (tedy máte na více účtech stejnou kombinaci přihlašovací jména – e-mailu – a hesla) mohou kyberzločinci získat přístup k několika účtům s jedinou kombinací přihlašovacích údajů.
5. Zpětný útok hrubou silou
Někdy se stane, že hackeři již heslo mají – stačí jen najít správného uživatele. S využitím uniklých seznamů hesel mohou hackeři prohledávat různé platformy a databáze a zkoušet kompromitované přihlašovací údaje na různých účtech.
6. Hybridní útok hrubou silou
Hybridní útoky hrubou silou kombinují výše popsané techniky. Běžně útočníci volí například slovníkový útok v kombinaci s jednoduchým útokem hrubou silou. Při pokusu o proniknutí do různých účtů, kdy obvykle již znají uživatelská jména, využívají běžná slova a fráze v kombinaci se sadou písmen nebo čísel, která mohou být náhodná nebo založená na předchozím průzkumu potenciální oběti.
Jak chránit hesla před útoky
Hlavním opatřením před útoky hrubou silou nadále zůstává pečlivá správa našich hesel – jedinečné heslo pro každý z našich účtů a delší heslové fráze obsahující různé znaky. Řešením mohou být také správci hesel, specializované programy, které ukládají hesla v zašifrované podobě.
Posílením našich účtů je také další faktor, tedy využívání vícefázového ověřování. Klasicky tuto metodu známe z internetového bankovnictví, kdy přihlášení do účtu ověřujeme ještě kódem z SMS nebo z oficiální aplikace. Díky dalšímu faktoru uhodnutí hesla neumožní hackerům okamžitě získat přístup k vašim datům.
S tím, jak přibývají phishingové útoky, které sázejí na manipulativní komunikaci a naše lidské emoce, můžeme naše přihlašovací údaje dát do rukou hackerů sami – například jejich vyzrazením domnělému bankéři na telefonu, nebo zadáním údajů na falešné stránce s platebními bránami nebo přihlašovacími okny. Zde platí, abychom ke všemu, co děláme v online prostředí, přistupovali obezřetně a věnovali pozornost všem varovným znakům, které nás mohou na podvodnou komunikaci upozornit.
⇒ 3 základní tipy k bezpečnému online účtu
⇒ 5 způsobů, jak hackeři kradou údaje z platebních karet
⇒ 4 nejčastější podvody na českém internetu
⇒ ChatGPT: Stojíme na prahu nové éry podvodných zpráv?
⇒ Co mám dělat, když hacker získá moje citlivé údaje?
Martin Dohnal
Tereza Malkusová
