Prohledejte půl miliardy uniklých hesel. Najdete tam i to svoje?

aktualizováno  13:50
Úniků dat, často velmi citlivých, stále přibývá. O spoustě z nich se ani nemusíme dozvědět. Kromě e-mailových adres přitom bývají odcizena i šifrovaná či nešifrovaná hesla. Mají crackeři k dispozici i to vaše? Podívejte se na novou stránku, která shromáždila půl miliardy uniklých hesel.

Ilustrační foto | foto: AP

Dodržovat základní bezpečnostní pravidla při používání hesel je čím dál důležitější. Stále přibývající a často opravdu rozsáhlé úniky dat vedou k tomu, že existují obří databáze e-mailových adres a hesel, které jsou buď volně dostupné nebo nelegálně nabízené ke koupi. Pokud se vaše údaje v některé z nich nalézají, můžete mít závažný problém.

Hesla z těchto databází se stávají součástí slovníku hesel v programech určených pro provádění kybernetických útoků a účty, které je využívají, jsou tedy v přímém ohrožení. Po některých únicích přijde postiženým uživatelům od napadené společnosti e-mail s informacemi o útoku a výzvou ke změně hesla: nemusí k tomu ale dojít vždy. Navíc při množství a objemu nejrůznějších útěků je někdy těžké se zorientovat v tom, zda naše data mohla být či byla zcizena.

Existuje proto stránka Have I Been Pwned? od australského experta na internetovou bezpečnost Troye Hunta. Nejprve nabízela uživatelům možnost zkontrolovat si, zda byla jejich e-mailová adresa nebo uživatelská jméno obsaženo v nějakém z úniků (ze kterého jsou dostupná zcizená data). Troy shromáždil databázi stamilionů adres a uživatelských jmen z desítek úniků, která se stále rozrůstá: dnes už obsahuje téměř 5 miliard účtů z 269 napadených webů. Stačí jen vepsat e-mail nebo jméno a stránka vám ukáže, zda je součástí databáze a z jakého úniku se do ní dostala.

Nově lze vyhledávat přímo v půl miliardě uniklých hesel

Varování

Buďte vždy obezřetní, kam na webu zadáváte své heslo!

Nikdy nezadávejte důležité heslo jinam, než do zabezpečeného a ověřeného pole, do kterého toto heslo patří. Pokud se přihlašujete do své banky, pošty a dalších služeb, jděte přímo na oficiální adresu a ověřte si, že jste připojeni přes zabezpečené HTTPS připojení.

Databáze ovšem neobsahovala přidružená hesla, která Troy nechtěl šířit. V minulém roce ovšem vydal americký Národní institut standardů a technologie nové směrnice. Ty volají po omezení užívání hesel, která byla součástí nějakého z úniků a Troy se rozhodl iniciativě pomoci. Měl totiž co nabídnout: má přístup k obří databázi uniklých údajů a uživatelsky velmi přívětivou stránku, skrze kterou může kdokoliv zjistit, zda je v ohrožení. Nově vytvořená databáze začínala s 306 miliony zcizených hesel a s dnešní velkou aktualizací jich obsahuje už přes půl miliardy.

Tato stránka neodesílá vaše heslo. Namísto toho vytvoří jeho SHA1 hash (kontrolní součet) a pošle na server prvních pět znaků tohoto hashe.

Pokud nechcete někam zadávat svoje heslo (dobře děláte!), nevadí. Celou databázi lze i přímo stáhnout: hesla jsou v podobě SHA-1 hashů a nelze si je tedy jen tak přečíst, svoje hesla mezi nimi ale snadno vyhledáte.

Jde hlavně o to zjistit, zda námi dříve používaná hesla byla součástí některého z úniků. K tomu slouží ona nová sekce Troyovy stránky „Passwords“, která s aktualizací doznala také dalšího vylepšení: řekne nám nejen, zda je zadané heslo v databázi, ale i kolikrát se v ní objevilo. Například obyčejné „password“ v ní je celkem 3,3milionkrát.

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených...

Vyhledávání v databázi hesel: „jaracimrman“ bylo heslo použité u 19 odhalených účtů

Některá „vtipná“ hesla a jejich frekvence:

  • heslo (18 581krát)
  • hesloheslo (2 684krát)
  • heslohesloheslo (81krát)
  • hesloheslohesloheslo (14krát)
  • mojeheslo (1 770krát)
  • heslokleslo (80krát)
  • nevim (8 878krát)
  • heslo1 (3 602krát)
  • technet (385krát)
  • praha (1 693krát)
  • brno (236krát)
  • dobroje (94krát)
  • krivudanje (2krát)
  • dobrojeprisjetitisedaprividnopravputpremaciljupredstavljaustvaripravodlivokrivudanje (ani jednou, přátelé!)

Další vtipná hesla, která našli naši fanoušci:

  • iamidiot (175krát)
  • i am idiot (1krát)
  • miloszeman (8krát)
  • jagr (305krát)
  • babis (377krát)
  • hovnokleslo (1 682krát)
  • blbost (683krát)
  • pitomec (396krát)
  • smrdim (71krát)
  • ihatemyjob (456krát)
  • ihatemylife (2 181krát)
  • ihatemywife (86krát)
  • ihatemyhusband (38krát)
  • ihatemykids (8krát)
  • imissmywife (36krát)
  • imissmyhusband (2krát)
  • imissmykids (51krát)

Pokud najdete další vtipná hesla, dejte nám vědět a vybraná doplníme.

Co dělat, když zjistíme, že naše heslo bylo odcizeno?

Samozřejmým prvním krokem je heslo změnit: a to nejen tam, kde bylo odcizeno, ale kdekoliv jinde. Tím se dostáváme k prvnímu bodu z hlavních zásad, jak s hesly pracovat, o kterých píšeme v našem návodu:

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

  • Používejte různá hesla pro různé služby - Asi nejčastější hřích, kterého se dopouštíme, je, že máme několik hesel (nebo dokonce i jen jedno jediné) pro všechny služby, které používáme. Toto je nebezpečné z toho důvodu, že pokud je napadena byť jen jedna služba, automaticky má útočník možnost dostat se i všude jinde.
  • Využijte program pro správu hesel - Nikdo si nedokáže zapamatovat nespočet odlišných hesel. K tomu vám může pomoci správce jako například LastPass nebo KeePass.
  • Zapněte dvoufaktorové ověření - Tam, kde to služba umožňuje, zapněte dvojité zabezpečení, například pomocí Google Authenticator nebo SMS.

A pozor na to, co je silné heslo: nerozhoduje počet speciálních znaků, čísel a tak podobně. Lepší je udělat dlouhé heslo složené z běžných slov, které si snadno zapamatujete. Více píšeme článku o silných heslech.

Na této stránce bylo dříve varování, abychom nikam – ani sem – nepsali hesla, která dosud aktivně využíváme. Nejsou sice zaznamenávána a Troy vám je dle vlastních slov neukradne, šlo spíše o to, aby si lidé nevytvářeli podobně špatné návyky v zacházení se svými daty.

Ovšem na svém blogu Troy popisuje, proč tuto výzvu nakonec odstranil: za prvé, lidé ji podle ohlasů nerespektovali a za druhé, ve výsledku je s tím prý vlastně spokojený. „Mohu garantovat, že značnému množství lidí stránka vrátila pozitivní výsledek a oni následkem toho změnili své bezpečnostní návyky,“ píše. „Vidět, že vaše heslo bylo odcizeno, mívá takový účinek, že lidi vede k přehodnocení některých svých rozhodnutí, co se bezpečnosti týče.“

Aktualizace: Doplnili jsme podrobnosti o fungování utilitky.



Nejčtenější

Nelíbí se mi, kam se internet vydal, říká vynálezce WWW. Chce to změnit

Tim Berners-Lee představuje vizi nového, decentralizovaného internetu...

V roce 1990 spustil první webový server a odstartoval tak revoluci. Díky němu se internet rozšířil do celého světa, do...

Mučení a vraždu novináře prý nahrály hodinky Apple. Nejspíš to bylo jinak

Apple Watch 2

Údajná vražda opozičního saúdskoarabského novináře Džamála Chášakdžího na konzulátu v Turecku vyvolává mezinárodní...



Ve věku 65 let zemřel na rakovinu Paul Allen, s Gatesem založil Microsoft

Paul Allen na snímku z prosince 2017.

Ve věku 65 letech zemřel v pondělí spoluzakladatel firmy Microsoft Paul Allen. Miliardář, filantrop a hledač lodních...

Návrat „imperialistického brouka“? Výzkumný program USA vzbudil obavy

Program „Hmyzí spojenci“ má změnit škůdce v pomocníky v zemědělství.

Skupina vědců v časopise Science varuje před možným zneužitím amerického výzkumného programu, který vyvíjí zcela nový...

Grafika snů: podrobné srovnání RTX 2080 s GTX 1080Ti

Porovnání grafických karet s čipem Nvidia GeForce RTX 2080 a GTX 1080Ti (vpravo)

Porovnali jsme novou grafickou kartu RTX 2080 s předchozí špičkou GTX 1080Ti. Výsledky jsou zajímavé a ačkoli v mnoha...

Další z rubriky

YouTube postihl dočasný výpadek, nefungoval ani v Česku

YouTube výpadek (ilustrační montáž)

Největší videoserver na světě a druhý nejnavštěvovanější server světa byl v noci na středu dlouho nedostupný. Výpadek...

Totální otevřenost mezi partnery není vhodná pro každého, varuje IBM

Jason Kelley

Blockchain je známý především jako technologie, na které běží kryptoměny jako bitcoin a ethereum. Řada firem ale hledá,...

Google nemusí platit za data uživatelů iPhonu, rozhodli v Británii

Stránky sdružení Google You Owe Us, které podalo žalobu na Google

Britský Nejvyšší soud zablokoval žalobu na společnost Google za údajně nezákonné shromáždění údajů o milionech...



Najdete na iDNES.cz