Hesla jsou všude. Zajišťují, že pouze my (nebo osoby, kterým to dovolíme) máme přístup k našim soukromým informacím a majetku – ať už jde o peníze v bance nebo identitu sociálních médií. Často je však bereme na lehkou váhu, všude používáme stejné heslo, protože je snadno zapamatovatelné.
Zatímco mnoho aplikací a služeb se zlepšilo z hlediska zabezpečení, hackeři se také výrazně zlepšili. Používání stejného hesla všude vás vystavuje riziku, že se stanete hlavním cílem kybernetických útoků. Existují další méně zřejmé nevýhody této praxe.
Zde je několik důvodů, proč byste měli být při výběru hesla pečlivější.
Table of Contents
1. Útoky při vycpávání pověření
Pokud jde o používání stejného hesla všude, nejste sami. Podle Web NordPass, mnoho lidí používá snadno uhodnutelná hesla jako „host“ a „heslo“. To je hrozná praxe, protože tato zdánlivě neintuitivní hesla sotva zabere čas, než se prolomí.
Pokud na všech svých účtech používáte slabé heslo, jako je toto, jste dokonalým cílem útoku nacpáním přihlašovacích údajů. Jedná se o typ kybernetického útoku, který nacpe velkou sbírku ukradených hesel nebo uživatelských jmen na tisíce webových stránek. Pokud se vaše recyklované heslo dostane do úniku dat, velký počet vašich účtů se může dostat do problémů.
2. Vystavení vašich firemních účtů riziku
V roce 2012 utrpěl Dropbox porušení, které postihlo 69 milionů uživatelů online. Podle Opatrovník, k porušení došlo kvůli tomu, že zaměstnanec Dropboxu znovu použil stejné heslo na Dropboxu jako předtím na LinkedIn. Když byl hacknut jeho účet LinkedIn, hackeři také získali přístup do podnikové sítě Dropboxu.
To znamená, že pokud recyklujete hesla pro svůj firemní účet, vystavujete sebe i společnost obrovskému riziku. To je přesně důvod, proč nyní mnoho technicky zdatných společností používá správce hesel. Správci hesel vám umožňují ukládat a generovat bezpečná hesla.
Když do správce hesel přidáte svého zaměstnance nebo dodavatele, získají přístup ke všem účtům, jejichž hesla jsou uložena v aplikaci správce, a zjednoduší si tak proces přihlašování – to vše při eliminaci nutnosti s nimi heslo sdílet.
Opakovaně použitá hesla nebo dokonce podobná hesla jsou slabá, nejsou jedinečná a snadno předvídatelná. Hackeři mohou taková hesla snadno prolomit pomocí nástrojů AI. Dokonce i bezplatná verze ChatGPT může být použita k brainstormingu takových hesel:
Pokud je výše uvedená výzva příliš jednoduchá na uhodnutí vašeho hesla, hackeři mohou obejít omezení ChatGPT a pokusit se přijít s personalizovanější výzvou k uhádnutí vašich hesel.
Například jsem napsal výzvu a předstíral, že píšu příběh o fiktivní postavě Adamovi (jakákoli podobnost se skutečnými osobami je čistě náhodná), kde se hackeři snaží proniknout do jeho účtu na Facebooku:
Zde je návod, jak ChatGPT šťastně přišel se seznamem hesel, která může osoba používat:
Některá z těchto hesel se jistě zdají vtipná, ale ve skutečnosti máme tendenci zadávat hesla, která si snadno zapamatujeme (lidé a věci, na kterých nám obvykle záleží nejvíce). Čím více tedy o nás hackeři vědí (což není těžké, protože vše zveřejňujeme na sociálních sítích), tím vyšší je šance, že naše heslo úspěšně uhádnou.
A pokročilé nástroje AI pro prolomení hesel jsou na jiné úrovni. Testují běžná hesla pomocí variant slov nebo hesel nalezených při narušení dat.
Pokud používáte heslo jako „qwerty“, jeho prolomení trvá nástrojům na prolomení hesel méně než sekundu. Přidání čísel a jeho změna na „qwerty12345“ neztíží jeho prolomení. Mnoho nástrojů hledá vzor a zřejmá čísla před ještě zjevnějšími frázemi jsou nejčastější vzory.
4. Sdílení hesel vás činí zranitelnějšími
Recyklace hesel je špatný postup, ale sdílení těchto znovu použitých hesel je ještě horší. Bez ohledu na to, jak důvěryhodná je osoba, které sdílíte heslo, nemůžete nést odpovědnost za úniky dat nebo kybernetické útoky. Váš účet je ještě více ohrožen, pokud osobě, se kterou jste sdíleli podrobnosti o účtu, bylo jeho zařízení kompromitováno nebo odcizeno.
Jakmile hacker získá přístup k zařízení, každý účet a data jsou zdarma k odebrání. Řekněme například, že s někým sdílíte účet Netflix. Pokud bude jejich notebook hacknut nebo odcizen a někdo se dostane do tohoto účtu Netflix, podrobnosti o vaší kreditní kartě jsou okamžitě ohroženy.
Nejprve tedy používejte silná hesla, která je těžké uhodnout. Poté zadruhé použijte dvoufaktorové ověření nebo správce hesel pro bezpečné sdílení hesla s přáteli a rodinou a minimalizujte riziko.
5. Útoky sociálního inženýrství
Sociální inženýrství je akt manipulace lidí, aby ukradli jejich soukromé informace. Ve skutečnosti to není technická dovednost, ale spíše psychologická hra. Nejběžnějším příkladem jsou phishingové odkazy.
Už to není tak jednoduché jako phishingový odkaz, který vás zavede na falešnou přihlašovací stránku na Facebooku nebo Instagramu. Hackeři se budou vydávat za přítele, kolegu nebo důvěryhodnou organizaci, aby vás přiměli kliknout na odkazy, které kompromitují vaše účty.
Hacker vás tedy může požádat, abyste se zaregistrovali do jejich nové spouštěcí služby, pouze aby zjistil, jaké heslo používáte. V některých případech vás mohou kontaktovat z účtu vašeho přítele, který byl kompromitován – většina z nás není o nic moudřejší při otevírání odkazů od našich přátel, takže je to jednoduchá past k nastavení.
Vzhledem k tomu, že byste s největší pravděpodobností znovu použili heslo odjinud k přihlášení k této službě, pokusí se toto heslo použít pro všechny vaše účty, o kterých vědí. Pokud používáte stejné heslo pro svou bankovní aplikaci, pravděpodobně vás čeká velký problém.
Pokud ne pokaždé, tato technika by ve většině případů fungovala.
6. Zvýšené riziko útoků zevnitř
Opakované používání stejných hesel všude potenciálně zvyšuje riziko útoků zevnitř. Předpokládejme, že vaši organizaci opustí zaměstnanec, který zná heslo. Pokud se heslo nezmění, bývalý zaměstnanec bude mít stále snadný přístup ke všem vašim citlivým údajům.
Pokud zasvěcenec zná heslo, které bylo všude použito, všechny vaše aplikace a služby jsou bezprostředně ohroženy. Tyto přihlašovací údaje mohou používat k provádění podvodných aktivit, zneužívání zranitelností nebo poškození počítačových systémů. Takoví lidé mohou také předstírat, že jsou zaměstnanci, a manipulovat s kolegy, aby sdíleli důvěrné informace.
Podobně, pokud se stejné heslo používá na více webových stránkách, bylo by obtížné určit zasvěceného v případě jakékoli nežádoucí nebo škodlivé aktivity. Rizika útoků zevnitř můžete snížit přijetím přísných bezpečnostních postupů. Dobrým začátkem je poskytnutí vlastních přihlašovacích údajů všem vašim zaměstnancům.
Buďte kreativní, tajnůstkářští a přísní na hesla
Bez ohledu na to, jaká další bezpečnostní opatření přijmete, vaše online přítomnost bude vždy ohrožena, pokud použijete stejné heslo na různých platformách. Jistě, opakovaně používaná hesla jsou snadněji zapamatovatelná, ale tohoto pohodlí budete litovat, pokud budou vaše účty napadeny.
Naštěstí možná v budoucnu nebudete muset hesla používat vůbec. Služby jako Apple PassKeys používají k přihlášení k účtům biometrické ověřování, jako je FaceID nebo TouchID. To odstraňuje potřebu hesla, protože služba místo toho používá kryptografický klíč. Jakmile to začnou zavádět další společnosti, hesla se mohou stát minulostí.