Poctivý osobní blog. Ano, osobní. Díky za pochopení.
Vlastně nic nového, jen se trochu pozměnilo pořadí. Původně nejpoužívanější heslo na světě 12345 setrvale klesá a nahrazují ho ho delší varianty – aktuálně je nejoblíbenější varianta 123456. Což je dostatečná ukázka toho, že lidé prostě stále nechápou, že mezi 12345 a 123456 není vůbec žádný rozdíl.
Pokračovat ve čtení „50 nejhorších hesel roku 2019. Jak na hesla na Internetu?“
Aktuální vlna spamu s předmětem Změňte heslo pro svůj účet! je jenom další typický příklad podvodných e-mailů snažících se vylákat platbu přes Bitcoin.
haveibeenpwned.com snad znáte a pravidelně používáte. Je tam řada nových přírůstků, kde zejména zajímavý je ten a 137 miliony učtů z Canva (Canva hacknuto, data 139 milionů uživatelů v rukou hackera) – to číslo vcelku odpovídá popularitě a je dost hodně žádoucí, abyste si na Canva nastavili nové správné (silné a unikátní) heslo. A pokud jste heslo z Canva používali někde jinde, tak i tam provedli stejnou změnu. To heslo je jednou provždy kompromitované.
Máte e-mail? Nejlépe nějakou delší dobu? Tak si zajděte zkontrolovat, jestli se právě ten váš e-mail a heslo s ním spojeno neocitl v nějakém úniku ze zahraničních (ale i českých) služeb a aplikací. Jeden z takových úniků byl před lety ten od Adobe, později neméně velký od Yahoo či Linkedin a dalších velkých jsou desítky. Velkých znamená, že jde o desítky až stovky milionů přihlašovacích údajů. Jak to udělat?
Návod najdete v Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? nebo prostě jděte na www.haveibeenpwned.com a tam si to vyzkoušejte.
Je to s těmi hesly opravdu zvláštní. Mezi nejvíce užívanými hesly je stále 12345 i 123456. Představa, že když přidáte jeden znak a budete mít něco bezpečnějšího je asi nepřekonatelná.
Týden co týden přichází v e-mailu varování, že se někdo „opakovaně“ pokoušel přihlásit na můj účet u Epic Games. Buď je to důsledek enormní popularity Fortnite a probíhajících útoků snažících se krást účty, nebo je to jenom malý podvod od Epic Games, kdy se nic neděje, ale snaží se vás přimět k zapnutí dvoufaktorového ověření.
To že nejpoužívanější heslo na světě je 12345 už víme dlouho, stejně jako víme, že 123456 je neznámo proč také hodně oblíbené. Jak je to ale s čtyřmístnými PIN? Těmi používanými pro platební karty, ale také pro mobilní telefony? Pokračovat ve čtení „Nejpoužívanější čtyřmístný PIN na světě? 1234. Jak jinak“
V době kdy jsou k dispozici stovky milionů uniklých účtů i s jejich hesly se docela hodí nějaké ty pokročilejší pomůcky Pokračovat ve čtení „Vyzkoušejte si, zda vaše heslo není používáno na více webech“
Další velký únik, v tomto případě už ale původní služba neexistuje. Takže měnit v ní heslo už nemusíte, ale veřejně známé už je
iMesh – www.imesh.com – byl software pro sdílení souborů, hudby, videí a prostě čehokoliv co se dá sdílet. Dělo se to prostřednictvím proprietární P2P sítě a jeho provozovatelem byla stejnojmenná americká společnost. Vznikl v roce 1999 a v době své největší slávy, tedy někdy v roce 2009, šlo o třetí nejpopulárnější hudební službu, včetně předplatného a dalších vychytávek.
iMesh náhle skončil 9. června 2016. Co je ale podstatnější, z iMesh nějakým způsobem unikla hesla k 53 310 759 účtů, jsou případně prohledávatelná na www.leakedsource.com a je asi dobrý nápad si ověřit, jestli tam není právě váš e-mail a případně se podle toho zařídit.
TIP: V Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu? najdete dost podstatné informace o tom, jak to s těmi hesly vlastně je a v Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí to podstatné, jak s hesly vlastně efektivně pracovat.
Uniklá data obsahují e-mail, uživatelské jméno, heslo, IP adressu a zemi původu. Je dobré vědět, že z Česka je tam 168 695 záznamů, ze Slovenska dokonce 182 905 záznamů. Je tam také 116 745 e-mailů ze @seznam.cz.
Hesla jsou uložena v násobném MD5 se saltingem. Což znamená, že jsou získatelná, byť s úsilím. Asi už nikoho nepřekvapí, že nejvíce použvané heslo je 123456, ty další můžete vidět v následující tabulce.
| Heslo | Počet | |
| 1 | 123456 | 993,176 |
| 2 | 123456789 | 330,434 |
| 3 | 1234 | 233,088 |
| 4 | 12345 | 175,430 |
| 5 | password | 86,535 |
| 6 | 12345678 | 76,989 |
| 7 | 1234567 | 65,678 |
| 8 | 123123 | 59,429 |
| 9 | 111111 | 57,775 |
| 10 | 000000 | 51,796 |
| 11 | qwerty | 45,077 |
| 12 | bearshare | 44,123 |
| 13 | 1111 | 42,567 |
| 14 | 1234567890 | 41,337 |
| 15 | 0000 | 38,388 |
| 16 | iloveyou | 32,711 |
| 17 | music | 29,023 |
| 18 | 654321 | 26,754 |
| 19 | 123321 | 23,694 |
| 20 | 666666 | 23,582 |
TIP: Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? vám poradí, jak se podívat, jestli se právě váš e-mail nestal veřejným v některé z úniků hesel.
Je čas to připomenout, tedy že se na Internetu pohybují miliony hesel k účtům na Twitteru (viz Twitter: Naše servery nikdo nehacknul, hesla unikla jinak a Další hesla na prodej, 32 milionů hesel od účtů na Twitteru). Je dobré vědět, že Twitter už měl hesla a e-maily získat a postiženým účtům (tedy tam kde byla platná hesla) udělat reset hesla, ale to není zdaleka jediný problém.
Pokud byl váš e-mail a heslo v úniku, tak to znamená, že ono uniklé heslo je nyní veřejně známé. Pokud jste ho použili kdekoliv jinde, znamená to zásadní ohrožení. Měli byste si tedy ověřit, zda vaše heslo k Twitteru není mezi uniklými – udělat to můžete na www.leakedsource.com, stačí do políčka pro e-mail napsat váš e-mail a podívat se na výsledek.
Dobrá zpráva na tomto ověření je, že se případně dozvíte, zda váš e-mail není i v jiném z úniků. Nedozvíte se ale, jaké konkrétní heslo bylo uvedené, to už je, celkem logicky na vás.
Pokud se bojíte do LeakedSource zadávat e-mail, tak můžete zadat název vašeho účtu na Twitteru a vybrat si, že chcete hledat podle „username“. Osobně bych doporučil hledání podle obou metod – v úniku totiž může být jak e-mail a heslo, tak jenom název účtu a heslo. Pokud se, čistě teoreticky, přihlašujete k účtu na Twitteru číslem telefonu, tak můžete zkusit vyhledat i to.
Hledání podle username vám mimochodem může ukázat další úniky, kde ne nutně bude uživatelské jméno patřit vám – můj @medvidekpu na Twitteru se ukazuje v dalších únicích – Zoosk.com, iMesh.com, HeroesOfNewerth.com a Ipmart-forum.com. První tři by asi mohly být moje (ale některá z nich reálně nejsou. iMesh.com už navíc neexistuje), ale to poslední zcela určitě ne. Ale přezdívka, název účtu, „medvidekpu“ určitě není něčím až tak unikátním. Na rozdíl od e-mailu či telefonního čísla.
Pokud se kterékoliv vaše heslo stalo známé, je extrémně důležité, abyste ho přestali používat. Kdekoliv je v užívání musíte heslo neprodleně změnit.
Je navíc nejvyšší čas se věnovat tomu,že vaše hesla mají být silná a unikátní – což je těžko zajistitelné „z hlavy“, takže je čas si pořídit nějakého správce hesel (viz například Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu? a Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí). Čistě teoreticky s můžete hesla „generovat“ z hlavy dostatečně unikátní a schovávat si je do vlastního šifrovaného a zaezpečného uložiště. To už je opravdu na vás.