Hlavní navigace

Ještě k úniku @gmail.com adres s hesly: používání e-mailu jako login je potíž

Daniel Dočekal

Potvrzuje se to, co bylo již na počátku patrné z analýzy uniklých hesel a k nim patřících e-mailů: jen minimum údajů bylo skutečně použitelných.

V průběhu minulého týdne se na ruském Internetu objevilo pět milionů @gmail.com mailových adres s připojenými hesly. Během krátké doby se o nich podařilo zjistit několik věcí – především to, že šlo v řadě případů o poměrně stará hesla, která nicméně ke konkrétním e-mailům patřila. A také, že mohla v některých případech umožnit přihlášení k takovémuto účtu na Gmailu.

Další zkoumání vedlo k všeobecně přijímané hypotéze, že nešlo o únik z Gmailu, ale spíše o výsledek jedné či více phishingových aktivit, které se podařilo sesbírat e-maily a hesla. Poté někdo zveřejnil ty adresy, které byly na @gmail.com doméně. Objevila se i další, méně přijímaná hypotéza, že by mohlo jít o únik z jiné služby – v obou případech ale šlo o hesla a e-maily, které velmi pravděpodobně sloužily k přihlašování jinam, než právě do Gmailu.

Něco takového je samozřejmě logické. E-mail se dnes stal základním identifikačním a přihlašovacím prvkem – Facebook jste si také zpravidla založili pomocí e-mailu, který normálně používáte (byť zejména zde bývá s ohledem na bezpečnost vhodné si pro tento účel pořídit e-mail samostatný).

Logické také je, že u některých e-mailů se heslo dalo stále použít pro přihlášení k Gmailu, případně bylo dříve použito. Uživatelé internetu nejenom mají potřebu používat co nejjednodušší hesla (nejrozšířenější heslo 12345 napovídá docela dost), ale také opakovat jedno a totéž heslo na řadě služeb. Nebaví je si vymýšlet hesla nová, ale hlavně si je nedokáží pamatovat.

Necelá dvě procenta

Google v Cleaning up after password dumps píše, že pouze malé procento těchto e-mailů by mohlo být použito pro přihlášení k Gmailu – konkrétně uvádí, že jde o méně než 2 %. Navíc dodává, že by pokusy o přihlášení k těmto účtům zablokoval automatický systém na ochranu účtů.

To první můžete a nemusíte Googlu věřit, ale vcelku to potvrzují i zjištění jiných. To druhé je odkaz na systém, který vyhodnocuje podezřelá přihlášení (například z jiné země, než se uživatel obvykle přihlašuje), a pokud má pochybnosti, požaduje další ověření přihlášení.

Google také zmiňuje, že takovéto úniky mohou být způsobené hacknutím služby, ve které uživatelé používají e-maily pro přihlášení (či obecně své e-maily uvádějí). Také varuje, že případné užívání stejných hesel na dalších službách pak vede k tomu, že útočníci získají přístup k dalším webům a účtům. Zmiňována je i varianta phishingu (rhybaření), malwaru či spamu.

Na závěr Google tradičně doporučuje (a) používat silná hesla, aktualizovat způsoby pro obnovení přístupu k účtu (telefon, další e-mail) a nejpodstatnější, (b) využití dvoufaktorové autentizace. Ne zcela marné je doporučení navštívit http://g.co/accountcheckup, kde můžete některé z těchto věcí aktivovat, ale také se dozvědět například to, kterým službám jste dali přístup k vašemu účtu. 

Osobně bych ještě přidal klasické doporučení na využití některého ze správců hesel. Užitečné může být i to, že v nových verzích Google Chrome je k dispozici generátor bezpečnějších hesel, což může být ve spojení s pamatováním si hesel (a synchronizací s vašimi dalšími Chrome prohlížeč) dobrá alternativa.

Našli jste v článku chybu?

15. 9. 2014 11:25

Jan (neregistrovaný)

Lidem se nechce vymyslet login, pripadne vymyslet jiny pokud je jejich pouzivany jiz obsazen. Proto se login rusi, email je unikatni skrz cely internet, jakysi login ne.

16. 9. 2014 4:49

Netvor (neregistrovaný)

Nic z textu mi nevysvětluje, proč by používání e-mailu jako loginu měla být potíž.

Nevnímavost vůči upozornění HTTPS? Potíž.
Slabá hesla? Potíž.
Opakování hesel? Potíž.
Nevnímavost vůči tomu, kam to heslo píšu? Potíž.

Ale v samotném konceptu využití e-mailu jako identifikátoru nevidím sebemenší problém (jiný než ten, že ten e-mail musím "prozradit", což ale v drtivé většině stejně udělat plus mínus musím).

Pokud, pane Dočekale, trváte na tom, že je to potíž, zkuste mi to vysvětlit. Například …




Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět