Hlavní navigace

Byly vaše údaje v nějakém úniku hesel? Nezapomněli jste na to nejpodstatnější?

Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal

Rozlousknutí milionů hesel z Ashley Madison seznamky znamená, že její uživatelé mohou očekávat nezvanou internetovou návštěvu.

Tři lidé, které znám, a jejichž e-mail i heslo byly v úniku Ashley Madison, se mě ptali, co mají dělat s podezřelou aktivitou na jejich online účtech. Google dvěma z nich zablokoval účet pro podezřelou aktivitu a všichni dostali varování od dalších online služeb, že se někdo pokoušel přihlásit na jejich účet či účty. Jeden z nich, který má naštěstí u důležitých věcí dvoufaktorové ověření, dostal několik požadavků na ověření, aniž by se kamkoliv přihlašoval.

Není náhoda, že všichni tři mají e-mail v uniklých datech ze seznamky Ashley Madison. Dva mají navíc maily i v dávném masivním úniku z Adobe. Je dost jasné, že rozlousknutí desítek milionů hesel z Ashley Madison (viz Nejpoužívanější hesla z Ashley Madison vlastně nepřekvapí) znamená aktivity útočníků/hackerů, kteří se snaží dostat k online identitám a účtům lidí, kteří byli tak neopatrní, že měli v Ashley Madison snadno rozlousknutelná hesla. 

Získat přístup do e-mailových schránek, účtů na sociálních sítích, ale také třeba k účtům v počítačových hrách může být velmi lákavé. A také výnosné, protože to může vést ke zpeněžení samotných účtů, nebo k cílenému útoku na zcela konkrétní lidi ze zcela konkrétních firem.

Dva z výše zmíněných, kteří byli jak v Ashley Madison, tak v Adobe, nakonec potvrdili, že v obou případech použili stejné heslo. Takové to univerzální heslo, které používají prakticky všude. Opatrný dotaz na to, jestli ho používají ještě někde jinde, kde to může být nebezpečné, vyvolal trochu paniky. Vůbec nemysleli na to, že pokud tohle heslo používají i k mailu, který zároveň získal útočník, tak je dost zázrak, že tu schránku ještě mají.

Byl váš e-mail v Ashley Madison databázi?

Pokud byl váš e-mail v uniklé databázi ze seznamky Ashley Madison, nebo pokud byl v jakémkoliv jiném úniku, kde byla i hesla nebo jejich „šifrovaná“ podoba, tak máte zásadní problém. Někdo se bude pokoušet, většinou zcela automatizovaným způsobem, přihlásit na váš e-mail, ale také na desítky či stovky dalších zajímavých služeb, které můžete pod tímto mailem (a k němu připojeným heslem) používat.

Pokud se mu to povede, tak následně nově získaný přístup využije. Účty v sociálních sítích může použít pro útok na vaše přátele, nebo je prostě prodat. Pokud máte připojenou platební kartu, může toho využít. Účty ve hrách prostě prodá, je běžné, že za jeden takový získá i několik set dolarů. E-mail využije pro získání přístupu ke všem dalším službám, kde jste měli jiné heslo. A pak může „identitu“ rovněž prodat, nebo jakkoliv dál využít.

Co dělat, pokud se vám něco takového povedlo? Detailněji je to popsané třeba v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby na @365tipů, ale lze to shrnout do několika podstatných, krátkých a jasných bodů. Můžete si z nich udělat checklist a začít vše velmi rychle řešit:

  1. Okamžitě si nastavit nová hesla k e-mailu (e-mailům) a zabezpečit je dvoufaktorem, nezapomenout prověřit, jestli už ve vašem účtu někdo nebyl a nepřidal si tam zadní vrátka.
  2. Změnit heslo všude, kde jste používali stejné heslo, které získali útočníci. A také hlavně všude, kde byl pro přihlášení používán kompromitovaný e-mail.
  3. Ideálně si pořídit správce hesel (LastPass, KeePass atd) a s jeho pomocí změnit hesla všude, kde máte účty.
  4. Pořídit si náhradní záchranný e-mail, opět dostatečně zabezpečený, který použijete tam, kde je možné přes extra e-mail získat případně kompromitovaný účet zpět.
  5. Všude, kde to jde, si zapnout upozornění na přihlašování, ať víte, odkud se případně někdo k vašim účtům pokoušel přihlašovat. Doplnit dvoufaktorová přihlášení všude tam, kde je to podporováno, nejenom na e-mail.
  6. Zlikvidovat bezpečnostní otázky, které lidé nepochopitelně vyplňují zcela poctivě. Musíte s nimi zacházet stejně jako s dalšími hesly a mít u nich nesmyslné odpovědi.

Nevíte, jestli váš e-mail je v nějaké uniklé databázi? Na haveibeenpwned.com se můžete podívat, jestli není v únicích z Adobe, Ashley Madison, Snapchatu a řady dalších. Upozornění – zadáváte tam pouze e-mail, ne žádné přihlašovací údaje. Služba pak prostě zkontroluje e-mailovou adresu (případně uživatelské/přihlašovací ID) proti databázi.

Neberte to na lehkou váhu, jeden z mých nejstarších e-mailů, který používám pro zbytečnosti, je v datech od Adobe i z „Gmail“ úniku.

Co ještě dodat?

Celé tohle všechno stále znamená to, co už víme dlouho: nesmíte opakovaně používat stejné heslo (k tomu vám pomůže snadno správce hesel), hesla musí být dostatečně silná (opět vám pomůže správce hesel) a případný správce hesel si pochopitelně musíte dobře chránit. Jakékoliv opravdu důležité služby musíte chránit dvoufaktorovým ověřováním nebo jiným způsobem, který znemožní přihlášení, pokud někdo bude mít prostě jenom jméno a heslo.

Pokud jako dodatečné ověření slouží váš mobil, tak samozřejmě pozor na to, aby byl dostatečně zabezpečený, tj. pokud se dostane do rukou někomu nepovolanému, tak aby se do něj snadno nedostal. A pokud ho ztratíte zcela, tak abyste ho mohli na dálku vymazat.

test 3

Pro zásadní a důležité služby se vyplatí nepoužívat jeden stejný e-mail, ale rozdělit si je na více účtů. Sociální sítě je obecně více než vhodné používat pod zcela jiným účtem, než je ten váš zásadní a základní. To, že se z e-mailu stal univerzální přihlašovací údaj, je sice praktické, ale také krajně rizikové.

Úplně poslední poznámka. Pokud váš e-mail a heslo bylo v úniku Ashley Madison, opravdu to neberte na lehkou váhu. Dešifrování milionů hesel vedlo k snahám toho využít. A jakákoliv služba, kde máte totéž heslo (nebo podobné heslo), je ohrožena. Pokud už není pozdě.

Našli jste v článku chybu?
17. 9. 2015 10:52

Ke všem ne, ale ke hromadě služeb ano. Stačí si nechat skrz formulář „zapomněl jsem heslo“ poslat heslo nové. Hodně věcí má takto slabé zabezpečení. Pikantní je, když vám pošlou rovnou to zapomenuté heslo :).

17. 9. 2015 10:49

Stačí vymyslet vhodný klíč k tomu, jak heslo k dané službě kdykoli odvodit. Aby to byl klíč, kde ze znalosti jednoho hesla k jedné službě neodvodíte heslo k jiné službě, pokud neznáte ten odvozovací klíč.

Mám to tak a dokonce vím, že to mám tak jednoduché, že v mém případě by možná někoho i napadlo, jak ta hesla generuji, ale spoléhám na borce, kteří používají všude stejná hesla a hesla typu 123456, protože ti budou vždy snazším cílem útočníků než já, kde by se museli už trošku zamyslet, což by…