Hesla jsou klíčová pro ochranu našich digitálních životů. Zajišťují, že jen my – nebo osoby, kterým to dovolíme – máme přístup k našim osobním datům a majetku. Ať už jde o bankovní účet nebo profil na sociálních sítích, hesla jsou první linií obrany. Často ale podceňujeme jejich význam a z pohodlnosti používáme stejné heslo opakovaně.
Zatímco zabezpečení aplikací a služeb se vyvíjí, kybernetické hrozby rostou s nimi. Používání jednoho hesla pro všechno vás vystavuje značnému nebezpečí. Je to jako nechat klíče od všech dveří na jednom kroužku. Navíc, existují i další, méně zřejmá rizika spojená s tímto nebezpečným zvykem.
Následující body objasňují, proč byste měli být při volbě hesel opatrnější.
1. Útoky zneužívající hesla
Nejste sami, kdo používá stále stejné heslo. Podle NordPass, mnoho lidí dává přednost lehce odhadnutelným heslům jako „host“ nebo „heslo“. Takový přístup je velice riskantní, protože prolomení těchto hesel je otázkou chvilky.
Pokud na všech svých účtech používáte slabé, opakující se heslo, jste ideálním cílem pro útoky zneužívající hesla. Při takovém útoku se využívá rozsáhlý seznam ukradených hesel a uživatelských jmen a testuje se na tisících webových stránek. Pokud se vaše opakované heslo objeví v úniku dat, může to vést k vážným problémům u mnoha vašich účtů.
2. Ohrožení firemních účtů
V roce 2012 došlo k bezpečnostnímu incidentu u Dropboxu, který postihl 69 milionů uživatelů. Podle The Guardian, útok se stal proto, že zaměstnanec Dropboxu použil stejné heslo, které měl předtím na LinkedIn. Po prolomení jeho LinkedIn účtu získali útočníci přístup i do firemní sítě Dropboxu.
Z toho plyne, že pokud používáte stejné heslo i pro váš firemní účet, vystavujete sebe i celou firmu obrovskému riziku. Proto mnohé technologické firmy využívají správce hesel, což umožňuje bezpečné ukládání a generování silných hesel.
Když přidáte zaměstnance nebo dodavatele do správce hesel, získají přístup ke všem účtům uloženým v aplikaci, což zjednodušuje přihlašování a eliminuje nutnost sdílení hesel.
Opakovaná nebo podobná hesla jsou slabá a snadno předvídatelná. Hackeři je mohou snadno prolomit pomocí nástrojů umělé inteligence. I bezplatná verze ChatGPT může pomoci s brainstormingem takových hesel:
Pokud je jednoduché uhodnout heslo na základě výzvy, útočníci mohou obejít omezení ChatGPT a vytvořit osobnější výzvu, která povede k odhalení vašeho hesla.
Zkusil jsem to sám. Vymyslel jsem fiktivní postavu Adama a jeho peripetie s hackery, kteří se mu snažili nabourat do Facebooku:
Výsledkem je, že ChatGPT vygeneroval seznam možných hesel, které by Adam mohl používat:
Některá hesla se zdají absurdní, ale ve skutečnosti máme tendenci volit hesla, která si snadno zapamatujeme – která jsou spojená s lidmi a věcmi, na kterých nám záleží. Čím více o nás hackeři vědí (a sociální sítě jim poskytují dostatek informací), tím vyšší je šance, že heslo uhodnou.
Moderní nástroje pro prolomení hesel jsou na vysoké úrovni. Testují běžná hesla a varianty slov a hesel získaných z úniků dat.
Prolomení hesla jako „qwerty“ zabere nástrojům méně než sekundu. Přidání čísel na konec, například „qwerty12345“, situaci nezlepší. Nástroje pro prolomení hesel hledají vzory a číselné posloupnosti jsou jedním z nejčastějších.
3. Sdílením hesel se stáváte zranitelnějšími
Recyklování hesel je špatné, ale sdílení takových hesel je ještě horší. Bez ohledu na to, jak moc osobě důvěřujete, nemáte kontrolu nad tím, zda se nestane obětí úniku dat. Vaše účty jsou obzvlášť ohrožené, pokud je zařízení osoby, které jste sdíleli heslo, napadeno nebo odcizeno.
Pokud útočník získá přístup k zařízení, má okamžitý přístup ke všem účtům a datům. Představte si, že sdílíte účet Netflix. Pokud je notebook vašeho známého napaden a útočník se dostane do Netflixu, vaše platební údaje jsou okamžitě v ohrožení.
Zkrátka, používejte silná, obtížně odhadnutelná hesla. A dále, využívejte dvoufaktorové ověření nebo správce hesel pro bezpečné sdílení hesel s přáteli a rodinou a minimalizujte riziko.
4. Útoky sociálního inženýrství
Sociální inženýrství spočívá v manipulaci s lidmi, aby dobrovolně sdíleli své osobní údaje. Nejedná se o technické dovednosti, ale spíše o psychologické hry. Nejčastějším příkladem jsou phishingové odkazy.
Nejde už jen o zaslání odkazu na falešnou přihlašovací stránku Facebooku nebo Instagramu. Útočníci se vydávají za přátele, kolegy nebo důvěryhodné organizace, aby vás přiměli kliknout na odkazy, které ohrozí vaše účty.
Například vás hacker může požádat o registraci do jejich nové služby, aby zjistil, jaké heslo používáte. Může vás kontaktovat z kompromitovaného účtu vašeho přítele – většina z nás bezmyšlenkovitě kliká na odkazy od přátel, takže je to snadná past.
Vzhledem k tomu, že pro registraci použijete stejné heslo jako jinde, útočník se pokusí toto heslo použít i pro další vaše účty. Pokud používáte stejné heslo i pro bankovní aplikaci, jste v ohrožení.
Tato technika je ve většině případů úspěšná.
5. Zvýšené riziko útoků zevnitř
Opakované používání stejných hesel zvyšuje nebezpečí útoků i zevnitř. Pokud například váš bývalý zaměstnanec zná vaše heslo, a to se nezmění, může nadále snadno přistupovat k citlivým firemním údajům.
Pokud někdo zevnitř zná heslo, které se používá všude, všechny aplikace a služby jsou okamžitě ohroženy. Taková osoba může podvádět, zneužívat zranitelnosti a poškozovat systémy. Může se vydávat za zaměstnance a manipulovat s kolegy, aby od nich získala důvěrné informace.
Pokud se stejné heslo používá na více místech, je obtížné identifikovat viníka. Riziko útoků zevnitř snížíte zavedením přísných bezpečnostních postupů. Dobrým prvním krokem je poskytnutí unikátních přihlašovacích údajů všem zaměstnancům.
Buďte kreativní, tajnůstkářští a důslední při volbě hesel
Bez ohledu na to, jaká další bezpečnostní opatření máte, vaše online přítomnost bude vždy ohrožena, pokud používáte stejné heslo na různých platformách. Opakovaně používaná hesla se sice lépe pamatují, ale za toto pohodlí byste mohli zaplatit drahou cenu, pokud se vaše účty stanou obětí útoku.
Naštěstí se možná v budoucnu obejdeme bez hesel. Služby jako Apple PassKeys využívají biometrické ověření, například FaceID nebo TouchID, pro přihlašování k účtům. Tím se eliminuje potřeba hesla a místo toho se používá kryptografický klíč. Pokud tuto technologii začnou využívat i další společnosti, hesla by se mohla stát minulostí.