Co je plnění pověření? (a jak se chránit)

Na temném webu se objevilo k prodeji neuvěřitelných 500 milionů účtů platformy Zoom. Tento masivní únik je důsledkem takzvaného „vyplňování přihlašovacích údajů“, což je běžná taktika kyberzločinců. Podívejme se, co tento termín přesně znamená a jak se proti němu můžeme bránit.

Základem jsou uniklé databáze hesel

Útoky na online služby jsou bohužel na denním pořádku. Zločinci často využívají zranitelností v systémech, aby získali databáze uživatelských jmen a hesel. Tyto odcizené údaje se pak prodávají na temném webu, kde zločinci platí za přístup k nim v bitcoinech.

Představme si, že jste měli kdysi účet na fóru Avast, které bylo prolomeno již v roce 2014. V důsledku tohoto útoku se vaše uživatelské jméno a heslo dostaly do rukou zločinců. I když jste byli informováni o incidentu a změnili jste si heslo k fóru, problém nemusí být vyřešen.

Problém spočívá v tom, že mnoho lidí používá stejná hesla pro různé webové stránky. Pokud jste se do fóra Avast přihlašovali pomocí e-mailu „mujmail@email.cz“ a hesla „MojeSkveleHeslo“, a stejné údaje jste použili i jinde, každý, kdo získá přístup k uniklým údajům, se může dostat i k vašim dalším účtům.

Jak funguje „vyplňování přihlašovacích údajů“

Termín „vyplňování přihlašovacích údajů“ označuje proces, kdy zločinci používají databáze uniklých přihlašovacích údajů a zkouší je použít k přihlášení do jiných online služeb.

Zločinci tedy vezmou rozsáhlé databáze uniklých kombinací uživatelských jmen a hesel – často miliony – a automaticky se s nimi pokoušejí přihlásit na různých webových stránkách. Protože někteří lidé používají stejná hesla na více místech, je pravděpodobné, že některá přihlášení budou úspěšná. Celý tento proces je automatizovaný pomocí speciálního softwaru.

Přestože to zní technicky složitě, ve skutečnosti jde o jednoduchý princip. Zločinci zkoušejí již uniklé přihlašovací údaje v různých službách a sledují, co funguje. V podstatě „hackeři“ vloží tyto údaje do přihlašovacích formulářů a čekají, co se stane. A bohužel, některá přihlášení jsou úspěšná.

Tato metoda patří mezi nejběžnější způsoby, jak útočníci získávají přístup k online účtům. Jen v roce 2018 společnost Akamai zaznamenala téměř 30 miliard útoků využívajících „vyplňování přihlašovacích údajů“.

Jak se chránit

Ochrana před „vyplňováním přihlašovacích údajů“ je relativně jednoduchá a vyžaduje dodržování základních pravidel pro správu hesel, která odborníci doporučují již dlouhou dobu. Neexistuje žádné zázračné řešení – stačí dobrá „hygiena“ hesel. Zde je několik rad:

  • Nepoužívejte stejná hesla opakovaně: Pro každý online účet používejte jedinečné heslo. Pokud vaše heslo unikne, útočníci ho nebudou moci použít k přihlášení k jiným službám.
  • Používejte správce hesel: Pamatovat si silná a jedinečná hesla pro všechny vaše účty je téměř nemožné. Použijte správce hesel, jako je 1Password (placený) nebo Bitwarden (zdarma a open source), který si hesla pamatuje za vás a dokonce je může generovat.
  • Aktivujte dvoufaktorové ověřování: Při dvoufaktorovém ověřování je pro přihlášení potřeba kromě hesla i dodatečný kód, který je generován aplikací nebo zaslán SMS zprávou. I když útočník získá vaše uživatelské jméno a heslo, bez tohoto kódu se k vašemu účtu nedostane.
  • Získejte upozornění na úniky hesel: Využijte služby jako Have I Been Pwned?, která vás upozorní, pokud se vaše přihlašovací údaje objeví v nějakém úniku.

Jak se mohou služby chránit před „vyplňováním přihlašovacích údajů“

I když je osobní odpovědnost za bezpečnost účtů klíčová, online služby mají rovněž mnoho možností, jak se proti tomuto typu útoků bránit.

  • Vyhledávání v databázích uniklých hesel: Společnosti jako Facebook a Netflix skenují uniklé databáze hesel a porovnávají je s údaji svých uživatelů. Pokud se objeví shoda, mohou uživatele vyzvat ke změně hesla.
  • Nabídka dvoufaktorového ověřování: Uživatelé by měli mít možnost aktivovat dvoufaktorové ověřování pro ochranu svých účtů. Pro citlivé služby by mělo být dvoufaktorové ověřování povinné. Kromě toho mohou služby vyžadovat potvrzení přihlášení prostřednictvím odkazu zaslaného e-mailem.
  • Vyžadování CAPTCHA: Pokud pokus o přihlášení vypadá podezřele, může služba vyžadovat zadání kódu CAPTCHA z obrázku nebo splnění jiného úkolu, aby se ověřilo, že se o přihlášení pokouší člověk, a ne robot.
  • Omezení opakovaných pokusů o přihlášení: Služby by měly blokovat roboty, kteří se opakovaně pokoušejí o přihlášení v krátkém čase. Sofistikovaní roboti se mohou pokoušet o přihlášení z různých IP adres, aby zamaskovali své aktivity.

Špatné návyky při používání hesel a nezabezpečené online systémy, které se snadno kompromitují, bohužel vytvářejí prostor pro „vyplňování přihlašovacích údajů“. Proto není překvapením, že mnoho technologických společností usiluje o vytvoření bezpečnějšího světa bez hesel.