Heslo – 2. stránka

V uniklých heslech z iMesh.com bylo přes 160 tisíc účtů z Česka

Publikováno 16/08/2016 od Daniel Bradbury Dočekal

Další velký únik, v tomto případě už ale původní služba neexistuje. Takže měnit v ní heslo už nemusíte, ale veřejně známé už je

iMesh – www.imesh.com – byl software pro sdílení souborů, hudby, videí a prostě čehokoliv co se dá sdílet. Dělo se to prostřednictvím proprietární P2P sítě a jeho provozovatelem byla stejnojmenná americká společnost. Vznikl v roce 1999 a v době své největší slávy, tedy někdy v roce 2009, šlo o třetí nejpopulárnější hudební službu, včetně předplatného a dalších vychytávek.

iMesh náhle skončil 9. června 2016. Co je ale podstatnější, z iMesh nějakým způsobem unikla hesla k 53 310 759 účtů, jsou případně prohledávatelná na www.leakedsource.com a je asi dobrý nápad si ověřit, jestli tam není právě váš e-mail a případně se podle toho zařídit.

TIP: V Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu? najdete dost podstatné informace o tom, jak to s těmi hesly vlastně je a v Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí to podstatné, jak s hesly vlastně efektivně pracovat.

Uniklá data obsahují e-mail, uživatelské jméno, heslo, IP adressu a zemi původu. Je dobré vědět, že z Česka je tam 168 695 záznamů, ze Slovenska dokonce 182 905 záznamů. Je tam také 116 745 e-mailů ze @seznam.cz.

Hesla jsou uložena v násobném MD5 se saltingem. Což znamená, že jsou získatelná, byť s úsilím. Asi už nikoho nepřekvapí, že nejvíce použvané heslo je 123456, ty další můžete vidět v následující tabulce.

	Heslo	Počet
1	123456	993,176
2	123456789	330,434
3	1234	233,088
4	12345	175,430
5	password	86,535
6	12345678	76,989
7	1234567	65,678
8	123123	59,429
9	111111	57,775
10	000000	51,796
11	qwerty	45,077
12	bearshare	44,123
13	1111	42,567
14	1234567890	41,337
15	0000	38,388
16	iloveyou	32,711
17	music	29,023
18	654321	26,754
19	123321	23,694
20	666666	23,582

TIP: Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? vám poradí, jak se podívat, jestli se právě váš e-mail nestal veřejným v některé z úniků hesel.

Už jste si zkontrolovali, jestli vaše heslo k Twitteru neuniklo v nedávném úniku?

Publikováno 19/06/2016 od Daniel Bradbury Dočekal

Je čas to připomenout, tedy že se na Internetu pohybují miliony hesel k účtům na Twitteru (viz Twitter: Naše servery nikdo nehacknul, hesla unikla jinak a Další hesla na prodej, 32 milionů hesel od účtů na Twitteru). Je dobré vědět, že Twitter už měl hesla a e-maily získat a postiženým účtům (tedy tam kde byla platná hesla) udělat reset hesla, ale to není zdaleka jediný problém.

Pokud byl váš e-mail a heslo v úniku, tak to znamená, že ono uniklé heslo je nyní veřejně známé. Pokud jste ho použili kdekoliv jinde, znamená to zásadní ohrožení. Měli byste si tedy ověřit, zda vaše heslo k Twitteru není mezi uniklými – udělat to můžete na www.leakedsource.com, stačí do políčka pro e-mail napsat váš e-mail a podívat se na výsledek.

Dobrá zpráva na tomto ověření je, že se případně dozvíte, zda váš e-mail není i v jiném z úniků. Nedozvíte se ale, jaké konkrétní heslo bylo uvedené, to už je, celkem logicky na vás.

Pokud se bojíte do LeakedSource zadávat e-mail, tak můžete zadat název vašeho účtu na Twitteru a vybrat si, že chcete hledat podle „username“. Osobně bych doporučil hledání podle obou metod – v úniku totiž může být jak e-mail a heslo, tak jenom název účtu a heslo. Pokud se, čistě teoreticky, přihlašujete k účtu na Twitteru číslem telefonu, tak můžete zkusit vyhledat i to.

Hledání podle username vám mimochodem může ukázat další úniky, kde ne nutně bude uživatelské jméno patřit vám – můj @medvidekpu na Twitteru se ukazuje v dalších únicích – Zoosk.com, iMesh.com, HeroesOfNewerth.com a Ipmart-forum.com. První tři by asi mohly být moje (ale některá z nich reálně nejsou. iMesh.com už navíc neexistuje), ale to poslední zcela určitě ne. Ale přezdívka, název účtu, „medvidekpu“ určitě není něčím až tak unikátním. Na rozdíl od e-mailu či telefonního čísla.

Pokud se kterékoliv vaše heslo stalo známé, je extrémně důležité, abyste ho přestali používat. Kdekoliv je v užívání musíte heslo neprodleně změnit.

Je navíc nejvyšší čas se věnovat tomu,že vaše hesla mají být silná a unikátní – což je těžko zajistitelné „z hlavy“, takže je čas si pořídit nějakého správce hesel (viz například Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu? a Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí). Čistě teoreticky s můžete hesla „generovat“ z hlavy dostatečně unikátní a schovávat si je do vlastního šifrovaného a zaezpečného uložiště. To už je opravdu na vás.

Co najdete v Google při hledání e-vašeho e-mailu? Co když to bude některé z vašich hesel?

Publikováno 30/05/2016 od Daniel Bradbury Dočekal

Psal dnes Roman, že ho zajímalo, co se ve vyhledávání v Google objeví, když tam dá vlastní e-mail. Očekával, že by se nic moc objevit nemělo, nikde ho nemá veřejný, není nijak známé. Překvapením pro něj bylo, že se objevil v textovém souboru na vk.com (V-Kontakte, ruská obdoba Facebooku). A když si ten veřejně dostupný soubor stáhl, našel v něm e-mail a heslo. Jak sám říká, mělo by to být jeho heslo právě k VK.com staré pár let (a už neplatné).

V textovém souboru je 100 000 e-mailů i s hesly v čistě textové podobě. 1002 kousků je z .cz domény, z toho 749 je @seznam.cz. A při pohledu na tisíce hesel je dost jasné, že jsou to i automaticky generované hesla pro automaticky zakládané účty, včetně záplavy e-mailů, co jsou automaticky generované coby jasné fake účty. Nicméně, jsou tam množství zcela reálných účtů, ze kterých lze zjistiti i jména a příjmení lidí. A celé to působí jako pouze část nějakého úniku, pravděpodobně z nějaké větší služby.

Zajímavé na tom souborů může být to, že jsou v něm i maily, které haveibeenpwned.com nezná. Přitom je tam poměrně značné množství uniklých hesel. V www.leakedsource.com je to dost podobné. Takže to trochu vypadá na to, že tohle je únik, který ještě není zcela známý.

Ale tohle není podstatné, necháme povolanějším zkoumání tohoto vzorku, budou-li totiž chtít, tak přes Google najdou desítky dalších souborů s hesly, které jsou všechny volně dostupné na VK.COM. K nalezení v nich jsou stovky tisíc dalších hesel s e-maily. A jak už jsem spekuloval výše, je možné, že jsou všechny dohromady nějaký podstatně větší únik.

Je dobré se čas od času dívat, co se najde na váš e-mail

Jeden z dobrých bezpečnostních návyků je, zkoumat vlastní digitální stopu. Do vyhledávačů hodit e-mail a podívat se, kde všude se vyskytuje. Případně pak pokračovat s jménem a příjmením (pokud ho máte dostatečně unikátní, samozřejmě). Neobjevíte tím věci co kolují někde v „dark“ části Internetu (kde řada souborů s hesly koluje), ale může se vám stát, že objevíte přesně to, co se ukázalo Romanovi.

Bylo by samozřejmě možné zkusit najít výskyt vlastního hesla, které máte jistě tak unikátní, že unikátnější už být nemůže, ale to bych asi do vyhledávače jen tak nedával. Snad jedině v okamžiku, kdy je jasné, že to heslo je zcela proláklé. Jedno z mých velmi prastarých hesel, používaných tehdy pro zbytečně věci, je takto například nalezitelné – dostanu se hned na krásný seznam 2 151 220 unikátní ASCII hesel (kde vám poradí i ještě lepší UNIQPASS), tedy ideální databází pro brute force pokusy.

TIP: Ověřovat únik zrovna toho vašeho e-mailu a hesla je vcelku jednoduché, viz Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?. Stejně jako je v zásadě jednoduché to, co musíte udělat, pokud vám někdo heslo ukradl, o tom je řeč v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby

Nejpoužívanější hesla na MySpace? Klasika, 12345/6 je stále na přední příčce

Publikováno 30/05/2016 od Daniel Bradbury Dočekal

Nedávný únik stovek milionů hesel z MySpace (viz Hacker Tries To Sell 427 Milllion Stolen MySpace Passwords For $2,800) umožnil zjistit žebříček nejpoužívanějších hesel. Pokud vynecháte homelesspa (patří k stovkám tisíc automaticky vygenerovaných účtů), tak asi žádné překvapení nenajdete. 123456 i další tolik oblíbené varianty jsou stále na předních příčkách. Včetně té české, kdy si někdo jako heslo hodí „heslo“.

Pokud budete přemýšlet nad tím proč má tolik hesel na konci jedničku, tak nejspíše proto, že MySpace v určité době vyžadovalo, aby heslo vedle písmen obsahovalo i číslici. Jak vidíte, požádat o něco takové uživatele znamená, že prostě na konec svého obvyklého hesla přidají právě jedničku. Poslední co je dobré dodat je, že jde o únik 427 milionů hesel. Nejvíce použité password1 je tak použito v 0.13 procentech případů.

	Heslo	Výskyt
1	homelesspa	855,478
2	password1	585,503
3	abc123	569,825
4	123456	487,945
5	myspace1	276,915
6	123456a	244,641
7	123456789	191,016
8	a123456	165,132
9	123abc	159,700
10	(POSSIBLY INVALID)	158,462
11	qwerty1	141,110
12	passer2009	130,740
13	fuckyou1	125,302
14	iloveyou1	123,668
15	princess1	114,107
16	12345a	111,818
17	monkey1	106,424
18	football1	101,149
19	babygirl1	90,685
20	love123	88,756
21	a12345	85,874
22	iloveyou	85,001
23	jordan23	81,028
24	hello1	80,218
25	jesus1	78,075
26	bitch1	78,015
27	password	77,913
28	iloveyou2	76,970
29	michael1	75,878
30	soccer1	74,926
31	blink182	73,145
32	29rsavoy	71,551
33	123qwe	70,476
34	angel1	70,271
35	myspace	69,019
36	fuckyou2	68,995
37	jessica1	67,644
38	number1	65,976
39	baseball1	65,400
40	asshole1	63,078
41	1234567890	62,855
42	ashley1	62,611
43	anthony1	62,295
44	money1	61,639
45	asdasd5	60,810
46	123456789a	60,441
47	superman1	59,565
48	sunshine1	57,522
49	nicole1	56,039
50	password2	55,754
51	charlie1	54,432
52	shadow1	54,398
53	jordan1	54,004
54	1234567	51,131
55	50cent	50,719

Neaktualizují se vám aplikace v iPhone či iPadu? Čeká na heslo a neřekne si

Publikováno 29/05/2016 od Daniel Bradbury Dočekal

Nevím přesně od které aktualizace iOSu se tohle děje, ale je to setrvalý stav. Aktualizace aplikací co má probíhat automaticky na pozadí (tohle si zapnete v nastavení) se nekoná. Čeká tam třeba dvacet, třicet i více aplikací a neděje se nic. Čas od času ale některou z aplikací aktualizuje, ale počet neaktualizovaných pořád stoupá.

Musíte vše spouštět ručně a navíc hlídat, aby je opravdu zaktualizoval všechny. Důvode je přitom zvláštní. Automaticky se to neděje proto, že iOS čeká na zadání hesla k účtu aniž by zobrazil dialog. Jakmile spustíte ručně aktualizaci, zeptá se a začne aktualizovat. Na dlouho to ale není, po zcela náhodném počtu aktualizovaných aplikací opět chce vědět heslo k účtu, které jste mu zadali už před pár minutami.

Zkoušel jsem tohle řešit kompletní reinstalaci iPadu (viz Poslední iOS ještě zhoršil aktualizace aplikací, nefungují. Nově se navíc ztrácejí ze zařízení), ale to zjevně nepomohlo, protože pořád zapomíná ptát se na heslo. A také nevydrží s jedním zadáním moc dlouho.

Další doporučované řešení ve fórech (tohle je dost často se vyskytující problém) je odpojit a znovu připojit účet v Nastavení. Prošel jsem si tím už dvakrát, vždy to na chvíli pomůže, ale po pár týdnech se opět objeví stejný problém.

Jediné reálné řešení je odstranit ochranu instalace aplikací zadáním hesla, ale to potom znamená, že si kdokoliv komu dáte váš iPhone/iPad do ruky bude moci stahovat (a nejlépe i kupovat) cokoliv se mu zlíbí. Což s dětmi majícími tablety v rukou není ten nejlepší nápad. Pro Apple každopádně takhle dobré dva roky známá chyba není zjevně dost podstatná aby ji vyřešili.

Únik hesel z Linkedin znamená, že byste měli neprodleně změnit heslo pokud …

Publikováno 21/05/2016 od Daniel Bradbury Dočekal

Přihlašovací údaje 117 milionů účtů z Linkedin sice pocházejí z roku 2012 (viz Na prodej je 117 milionů hesel z LinkedIn, za 2 200 dolarů), ale pokud jste v té době používali Linkedin, tak to znamená, že vaše heslo je dostupné útočníkům. Jakkoliv je to heslo roky staré, stále to znamená, že ho možná používáte – což byste od teď už nikde neměli, protože je příliš snadné ho vyzkoušet, pokud někdo bude chtít hacknout nějakou vámi používanou službu.

Linkedin by měl účty, jejichž heslo se v úniku objevilo, sám přinutit ke změně hesla. Což ale neznamená, že si ho nemůžete změnit sami a případně i lépe nastavit, ideálně včetně dvoufaktorového ověření. Pochopitelně, pokud jste si už v roce 2012 (či později) nastavili bezpečné nové heslo, tak tohle řešit nemusíte.

Nejde jenom o hesla, ale jsou podstatná

Vedle hesel unikly i e-maily, takže je velmi pravděpodobné, že v průběhu příštích měsíců se objeví řada phishingových kampaní, které budou využívat právě toho, že útočníci budou vědět, že daný e-mail je uživatele Linkedin. Je tedy potřeba si dávat pozor na maily, které se „tváří“ jako pocházející od Linkedin. Bohužel Linkedin je proslulé tím, že uživatele zaplavuje maily už roky a případná phishingová kampaň má velmi velkou šanci na úspěch.

Připomenu i to, že se vyplatí používat správce hesel (jako je třeba LastPass či další). Velmi mohou pomoci v tom, že si můžete zjistit, jestli někde toto uniklé heslo náhodou nepoužíváte. A také řeší dva zásadní problémy hesel, tedy jak vytvářet nová a nová unikátní složitá hesla i jak si je vlastně pamatovat.lupa

Ukládáte soubory s nezašifrovanými hesly do cloudu? Pozor na OneDrive!

Publikováno 19/05/2016 od Daniel Bradbury Dočekal

Ukládáte je tam, aniž o tom možná víte? První je možné, stejně jako druhé. Stačí zapomenout, že něco synchronizujete přes OneDrive, GoogleDrive či jiné cloudové úložiště. Viz například Hmmm, where should I dump those unencrypted password files? I know – OneDrive kde připomínají právě onu skrytou existenci OneDrive ve Windows.

Připomínají i to, že OneDrive je nejvíce používaná aplikace v Office365, až tak, že ji používá 79.1 % organizací. A podle studie společnosti Skyhigh Networks obsahuje firemní OneDrive v průměru 204 nešifrovaných souborů označených „hesla“ („passwords“). Co navíc, za několik posledních měsíců toto číslo vzrostlo poměrně dost, z původních 143 souborů v třetím kvartále 2015 na výše zmíněných 204.

Vedle hesel se ve firemních OneDrive úložištích najde i řada dalších citlivých dat (17.1 % firem), tajných dat (9.4 %), osobních dat (4.1 %), zdravotních údajů (1.9 %) a platebních informací (1.7 %). Více podrobností hledejte i v 7 Charts That Reveal the Meteoric Rise of Office 365

Kybernetická bezpečnost pro zaměstnance (infografika)

Publikováno 27/03/2016 od Daniel Bradbury Dočekal

Hodně dlouhá a s řadou užitečných věcí, taková je infografika od Conosco.com věnující se kybernetické bezpečnosti pro zaměstnance. Najdete tam i nějaké ty statistiky (třeba i nejpoužívanější hesla) ale řadu užitečných věcí.

Security through obscurity? U uživatelských hesel tohle opravdu nefunguje. Praktický příklad od České pošty

Publikováno 15/12/2015 od Daniel Bradbury Dočekal

Když si u České pošty chcete založit zákaznickou kartu tak tvrdě narazíte. Na zcela nepochopitelné podmínky, které musí splňovat heslo. Je to jedna z nejlepších ukázek, jak přimět uživatele si heslo někam napsat, rozhodně tak aby ho našel, aby bylo co nejlépe viditelné. A aby to vůbec nedávalo smysl, že má tak neuvěřitelně složité heslo.

Pokračovat ve čtení „Security through obscurity? U uživatelských hesel tohle opravdu nefunguje. Praktický příklad od České pošty“ →

Infografika: Jak silné je vaše heslo?

Publikováno 24/10/2012 od Daniel Bradbury Dočekal

Nejpoužívanější hesla? To už víme dávno, 12345 nebo 123456. Mezi českými nejpoužívanějšími nejspíš bude i heslo coby heslo. SecurityCoverage se problémy slabých a silných hesel pokusili shrnout do infografiky.