Hlavní navigace

Byly vaše údaje v nějakém úniku hesel? Nezapomněli jste na to nejpodstatnější?

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 16. 9. 2015

Rozlousknutí milionů hesel z Ashley Madison seznamky znamená, že její uživatelé mohou očekávat nezvanou internetovou návštěvu.

Tři lidé, které znám, a jejichž e-mail i heslo byly v úniku Ashley Madison, se mě ptali, co mají dělat s podezřelou aktivitou na jejich online účtech. Google dvěma z nich zablokoval účet pro podezřelou aktivitu a všichni dostali varování od dalších online služeb, že se někdo pokoušel přihlásit na jejich účet či účty. Jeden z nich, který má naštěstí u důležitých věcí dvoufaktorové ověření, dostal několik požadavků na ověření, aniž by se kamkoliv přihlašoval.

Není náhoda, že všichni tři mají e-mail v uniklých datech ze seznamky Ashley Madison. Dva mají navíc maily i v dávném masivním úniku z Adobe. Je dost jasné, že rozlousknutí desítek milionů hesel z Ashley Madison (viz Nejpoužívanější hesla z Ashley Madison vlastně nepřekvapí) znamená aktivity útočníků/hackerů, kteří se snaží dostat k online identitám a účtům lidí, kteří byli tak neopatrní, že měli v Ashley Madison snadno rozlousknutelná hesla. 

Získat přístup do e-mailových schránek, účtů na sociálních sítích, ale také třeba k účtům v počítačových hrách může být velmi lákavé. A také výnosné, protože to může vést ke zpeněžení samotných účtů, nebo k cílenému útoku na zcela konkrétní lidi ze zcela konkrétních firem.

Dva z výše zmíněných, kteří byli jak v Ashley Madison, tak v Adobe, nakonec potvrdili, že v obou případech použili stejné heslo. Takové to univerzální heslo, které používají prakticky všude. Opatrný dotaz na to, jestli ho používají ještě někde jinde, kde to může být nebezpečné, vyvolal trochu paniky. Vůbec nemysleli na to, že pokud tohle heslo používají i k mailu, který zároveň získal útočník, tak je dost zázrak, že tu schránku ještě mají.

Byl váš e-mail v Ashley Madison databázi?

Pokud byl váš e-mail v uniklé databázi ze seznamky Ashley Madison, nebo pokud byl v jakémkoliv jiném úniku, kde byla i hesla nebo jejich „šifrovaná“ podoba, tak máte zásadní problém. Někdo se bude pokoušet, většinou zcela automatizovaným způsobem, přihlásit na váš e-mail, ale také na desítky či stovky dalších zajímavých služeb, které můžete pod tímto mailem (a k němu připojeným heslem) používat.

Pokud se mu to povede, tak následně nově získaný přístup využije. Účty v sociálních sítích může použít pro útok na vaše přátele, nebo je prostě prodat. Pokud máte připojenou platební kartu, může toho využít. Účty ve hrách prostě prodá, je běžné, že za jeden takový získá i několik set dolarů. E-mail využije pro získání přístupu ke všem dalším službám, kde jste měli jiné heslo. A pak může „identitu“ rovněž prodat, nebo jakkoliv dál využít.

Co dělat, pokud se vám něco takového povedlo? Detailněji je to popsané třeba v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby na @365tipů, ale lze to shrnout do několika podstatných, krátkých a jasných bodů. Můžete si z nich udělat checklist a začít vše velmi rychle řešit:

  1. Okamžitě si nastavit nová hesla k e-mailu (e-mailům) a zabezpečit je dvoufaktorem, nezapomenout prověřit, jestli už ve vašem účtu někdo nebyl a nepřidal si tam zadní vrátka.
  2. Změnit heslo všude, kde jste používali stejné heslo, které získali útočníci. A také hlavně všude, kde byl pro přihlášení používán kompromitovaný e-mail.
  3. Ideálně si pořídit správce hesel (LastPass, KeePass atd) a s jeho pomocí změnit hesla všude, kde máte účty.
  4. Pořídit si náhradní záchranný e-mail, opět dostatečně zabezpečený, který použijete tam, kde je možné přes extra e-mail získat případně kompromitovaný účet zpět.
  5. Všude, kde to jde, si zapnout upozornění na přihlašování, ať víte, odkud se případně někdo k vašim účtům pokoušel přihlašovat. Doplnit dvoufaktorová přihlášení všude tam, kde je to podporováno, nejenom na e-mail.
  6. Zlikvidovat bezpečnostní otázky, které lidé nepochopitelně vyplňují zcela poctivě. Musíte s nimi zacházet stejně jako s dalšími hesly a mít u nich nesmyslné odpovědi.

Nevíte, jestli váš e-mail je v nějaké uniklé databázi? Na haveibeenpwned.com se můžete podívat, jestli není v únicích z Adobe, Ashley Madison, Snapchatu a řady dalších. Upozornění – zadáváte tam pouze e-mail, ne žádné přihlašovací údaje. Služba pak prostě zkontroluje e-mailovou adresu (případně uživatelské/přihlašovací ID) proti databázi.

Neberte to na lehkou váhu, jeden z mých nejstarších e-mailů, který používám pro zbytečnosti, je v datech od Adobe i z „Gmail“ úniku.

Co ještě dodat?

Celé tohle všechno stále znamená to, co už víme dlouho: nesmíte opakovaně používat stejné heslo (k tomu vám pomůže snadno správce hesel), hesla musí být dostatečně silná (opět vám pomůže správce hesel) a případný správce hesel si pochopitelně musíte dobře chránit. Jakékoliv opravdu důležité služby musíte chránit dvoufaktorovým ověřováním nebo jiným způsobem, který znemožní přihlášení, pokud někdo bude mít prostě jenom jméno a heslo.

Pokud jako dodatečné ověření slouží váš mobil, tak samozřejmě pozor na to, aby byl dostatečně zabezpečený, tj. pokud se dostane do rukou někomu nepovolanému, tak aby se do něj snadno nedostal. A pokud ho ztratíte zcela, tak abyste ho mohli na dálku vymazat.

Pro zásadní a důležité služby se vyplatí nepoužívat jeden stejný e-mail, ale rozdělit si je na více účtů. Sociální sítě je obecně více než vhodné používat pod zcela jiným účtem, než je ten váš zásadní a základní. To, že se z e-mailu stal univerzální přihlašovací údaj, je sice praktické, ale také krajně rizikové.

Úplně poslední poznámka. Pokud váš e-mail a heslo bylo v úniku Ashley Madison, opravdu to neberte na lehkou váhu. Dešifrování milionů hesel vedlo k snahám toho využít. A jakákoliv služba, kde máte totéž heslo (nebo podobné heslo), je ohrožena. Pokud už není pozdě.

Našli jste v článku chybu?

17. 9. 2015 10:52

Ke všem ne, ale ke hromadě služeb ano. Stačí si nechat skrz formulář „zapomněl jsem heslo“ poslat heslo nové. Hodně věcí má takto slabé zabezpečení. Pikantní je, když vám pošlou rovnou to zapomenuté heslo :).

17. 9. 2015 10:49

Stačí vymyslet vhodný klíč k tomu, jak heslo k dané službě kdykoli odvodit. Aby to byl klíč, kde ze znalosti jednoho hesla k jedné službě neodvodíte heslo k jiné službě, pokud neznáte ten odvozovací klíč.

Mám to tak a dokonce vím, že to mám tak jednoduché, že v mém případě by možná někoho i napadlo, jak ta hesla generuji, ale spoléhám na borce, kteří používají všude stejná hesla a hesla typu 123456, protože ti budou vždy snazším cílem útočníků než já, kde by se museli už trošku zamyslet, což by…

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat