Lide stále používají předvídatelná hesla a málokdy je mění. Podle průzkumů společnosti NordPass, nejčastější hesla v roce 2022 byli „123456“ a „qwerty“. Hackerům by stačila vteřina, aby takové heslo zjistili a získali přístup k osobnímu účtu.
Zdá se, že je čas promluvit si o užitečných online návycích. Prozradíme vám, jak pomáháme hackerům krást naše data – a jak si vytvořit dokonalá hesla. Jdeme na to!
Trocha statistiky
Služba pro správu hesel NordPass (Panama) spolupracovala s nezávislými výzkumníky, aby určila 200 nejpoužívanějších hesel roku 2022. Společnost zpracovala miliony kombinací a shromáždila je v databázi o velikosti 3 TB. Jedná se o hesla uživatelů z 50 zemí, která unikla na internet.
Zde jsou tedy vítězové žebříčku:
Téměř ve všech zemích jsou mezi 20 nejčastějšími hesly názvy fotbalových týmů. Ve Velké Británii je na 4. místě liverpool (F. C. Liverpool) – bylo použito 1921krát, na 6. místě arsenal (F. C. Arsenal) – 1192 shod a chelsea (F. C. Chelsea) na 11. místě a 897 shod. V Itálii si 3746 lidí nastavilo heslo juventus (F. C. Juventus) – 5. místo.
Obyvatelé řady zemí používají náboženské pojmy jako hesla. Například v Nigérii je blessing (požehnání) na 23. místě s 926 uživateli. V Německu se na 68. místě (použito 450 krát) umístilo heslo Christian (křesťan). Heslo bismillah (ve jménu Alláha), použilo 1 599 lidí v Saúdské Arábii (30. místo).
Ženy často používají k ochraně svých účtů pozitivní a láskyplná slova: sunshine (Slunce), iloveyou (miluji tě), princess (princezna), butterfly (motýl), babygirl (holčička). Mužská hesla jsou drsnější: dragon (drak), superman, killer (zabiják). Muži také často používají nadávky.
Podle společnosti NordPass každoročně dominují v seznamu hesel názvy značek, filmů, oblíbených jídel a nadávky. Zde jsou ta nejčastější:
Nejoblíbenějšími jmény obsaženými v heslech jsou Eva a Alex. Obě byla za poslední 4 roky použita přibližně 7,1milionkrát. Často lidé používají vlastní jména nebo jména rodinných příslušníků, méně často jména domácích mazlíčků. Většina uživatelů doplňuje kombinace letopočtem. Nejčastějšími variantami jsou např: 2010 (10 milionkrát), 1987 (8,4 milionu), 1991 (8,3 milionu). Může to být rok narození, rok vytvoření hesla nebo rok, který je pro danou osobu výjimečný.
Z 8 symbolů se skládá 27 % hesel a pouze 3 % hesel obsahují 14 a více symbolů. Přibližně 63 % uživatelů používá stejné heslo pro všechny účty (!).
Pár vteřin a je hotovo! Jak hackeři prolamují hesla
Prolomení hesla jako 123456 nebo iloveyou trvá sekundu, prolomení hesla Liman1000 trvá asi 3 hodiny. Prolomit heslo freedomandcreativity může trvat asi 3 roky.
Jak k tomu dochází? Shromáždili jsme nejoblíbenější metody, které kyberzločinci používají k získání přístupu k účtům.
1. Metoda slovíčkaření
Útok spočívá v automatickém výběru slov ze slovníku. Může se jednat o standardní anglický slovník převedený do souboru a přidaný do programu. Aby si to usnadnili, hackeři používají seznamy obsahující běžná hesla nebo pojmy každodenního života, které může oběť používat. Tato metoda funguje, pokud se jako heslo používají slova, nikoli kombinace písmen, číslic a speciálních znaků.
2. Metoda hrubé síly
Hackeři pomocí speciálních programů vybírají nejrůznější kombinace, dokud heslo neprolomí.
Většina kombinací se skládá z 8 znaků, z nichž některé obsahují velká a malá písmena, čísla a symboly. Podle společnosti General Software je to asi 2,18 bilionu kombinací. Počítače pokročily natolik, že by jim prolomení 8znakového alfanumerickeho hesla trvalo dvě hodiny. Pokud by v minulosti hacker zkoušel 1 000 kombinací za sekundu, trval by tento proces nejméně 7 000 let.
Zkušení kyberzločinci chápou, že mnoho firemních hesel se skládá ze slov souvisejících s podnikáním. Proto, pro urychlení procesu, spouštějí aplikace typu „spider“ podobné těm, které používají vyhledávače k identifikaci klíčových slov.
3. Metoda duhové tabulky
Když vytváříme heslo pro osobní účet, je zašifrováno a přeměněno na hash. Například heslo ahoj může po zaheslování vypadat takto:
457cec4d12a2efe9c8eb46b0baf67a29
Duhová tabulka je předem vypočítaný slovník hesel a jejich hashovacích hodnot. Přístupem k souborům s hesly hash hacker hledá shody mezi hodnotami hash a hesly v seznamech tabulky.
Jak útočníci dostávají přístup k hash? Prostřednictvím slabě chráněné databáze hesel, zranitelnosti v kódu webu nebo programu. Tato metoda se obvykle používá k prolomení operačních systémů a hesel sítí Wi-Fi.
4. Phishing a malware
Uživatelé často poskytují své údaje hackerům tím, že odpovídají na phishingové e-maily. Oběť přejde na falešnou stránku internetového bankovnictví nebo platební služby, aby „vyřešila superurgentní bezpečnostní problém“. Navenek se neliší od skutečné stránky. Do nabízených polí se zadá uživatelské jméno a heslo, které pak software přečte.
Kromě odkazu na falešnou stránku může e-mail obsahovat například malware maskovaný jako aktualizace antiviru. Po instalaci software zaznamená všechny vaše akce, pořídí snímky obrazovky přihlašovacích stránek a tyto informace odešle hackerům. Některé programy jsou speciálně navrženy tak, aby vyhledávaly soubory, do kterých uživatelé zaznamenávají svá hesla.
5. Nahlížení přes rameno
Oblíbenou technikou hackerů je zavolat nebo přijít do kanceláře, představit se jako pracovník IT bezpečnosti a přímo požádat správce o přístupové heslo k síti. Ani nevíte, jak často to funguje! Někteří kyberzločinci nosí pro věrohodnost speciální obleky a odznaky.
Hackeři mohou do kanceláří proniknout také v přestrojení za kurýry, uklízeče apod. Uniformy umožňují nerušený přístup téměř do všech kanceláří. Díky tomu mohou podvodníci najít hesla, která si mnozí lidé rádi píšou na lístečky a lepí na monitory.
Jaké je ideální heslo?
Mnoho webových stránek dbá na bezpečnost svých uživatelů a požaduje hesla, která začínají na 8 znacích, obsahují písmena v obou velikostech, číslice a zástupné znaky. Vzhledem k těmto kritériím se můžete omezit na něco jako 12345Aa! nebo Abcde1). To jsou však velmi slabá hesla, která podvodníci rychle prolomí.
Některé zdroje používají počítadla síly hesel. Pokud například zadáte "Aaaaaa", zobrazí se upozornění, že heslo je slabé.
Podle pokynů NCSC by heslo mělo být dlouhé a jedinečné. Musí se skládat alespoň ze 3 náhodných slov, čísel a speciálních znaků. Celková délka by měla být nejméně 14 znaků. Také se ujistěte, že kombinace je snadno zapamatovatelná.
Příklad silného hesla: sandpuckeringelephant2) (pískovýzvrásnělýslon2). Chcete-li si takové heslo zapamatovat, stačí si představit slona, který žije v africké písečné poušti a jeho kůže je zvrásnělá. A nezapomeňte, že slon má dvě oči a usmívá se (to je ta závorka na konci).
Několik dalších užitečných rad, jak zůstat v bezpečí online
1. Pro každou službu používejte samostatné heslo
Pokud je to pro vás stále obtížné, vytvořte si samostatná hesla alespoň pro internetové bankovnictví, vládní služby, sociální sítě a především e-mail. Jakmile podvodníci získají přístup k e-mailu, mohou se pomocí funkce „zapomenuté heslo“ dostat k dalším účtům.
2. Pravidelně měňte svá hesla.
Optimální životnost jednoho hesla jsou 3 měsíce. Pokud máte podezření, že byl váš účet kompromitován (například pokud všichni vaši přátelé na Facebooku obdrží stejnou zprávu), měli byste si ho okamžitě změnit. Ochranu byste měli aktualizovat po každém použití veřejné sítě Wi-Fi - například v knihovně nebo kavárně.
3. Nezapomeňte aktualizovat software a aplikace
Mnoho z nás ignoruje aktualizace, které však mohou obsahovat důležité bezpečnostní prvky pro ochranu zařízení. Například nová verze softwaru vyřešila chybu, která umožňovala hackerům přístup k hash souboru. A nyní nebudou moci použít výše popsanou metodu duhové tabulky.
4. Zapněte dvoufázové ověřování (2SV)
Kromě hesla používejte sken otisku prstu, sken obličeje nebo SMS kód. Některé služby doporučují provést v aplikaci určité akce k potvrzení totožnosti. V důsledku toho bude pro hackera obtížné získat přístup k vašemu účtu, i když zjistí heslo.
Veškerý obsah v užitečném formátu. Rozhovory, články, life hacky a tipy ze světa businessu i korporátů na našem LinkedIn profilu.
Pojďte se připojit!
5. Hesla uchovávejte na bezpečném místě
Zatímco zapisování kombinací na papír je v pořádku, lepení samolepek s hesly na monitor rozhodně není dobrý nápad. Nejpohodlnější možností je správce hesel. Jedná se o speciální program v podobě aplikace nebo rozšíření prohlížeče. Některé z nich jsou zdarma (Bitwarden), jiné jsou placené (Keeper, Dashlane).
Správce hesel generuje jedinečné kombinace pro všechny účty, pamatuje si je a automaticky je zadává, když je uživatel potřebuje. Mezi další užitečné funkce patří například:
- synchronizace hesel do všech zařízení
- ochrana proti phishingu
- připomenutí změny hesla
Podle kybernetických odborníků je používání správců hesel zcela bezpečnou metodou ochrany dat. Hlavní je nezapomenout hlavní heslo!
Mimochodem většina správců hesel vyžaduje pro přihlášení do aplikace dvoufázové ověření. Kromě hlavního hesla může služba požadovat otisky prstů, sken obličeje nebo kód PIN. A pokud ztratíte telefon nebo notebook, ve kterém je správce uložen, musíte se do programu okamžitě přihlásit z jiného zařízení a heslo změnit.
Budoucnost bez hesel?
Zhruba za 5 let uživatelé internetu zapomenou, co to vůbec hesla jsou. V květnu 2022 se společnosti Apple, Google a Microsoft dohodly na rozšíření jednotného standardu pro ověřování bez hesla na internetu, který navrhla aliance FIDO a konsorcium World Wide Web.
Uživatelé se budou přihlašovat pomocí ověření otisku prstu, skenu obličeje nebo kódu PIN. Očekává se, že nové funkce budou od společností Apple, Google a Microsoft k dispozici v průběhu roku 2023.
Bezheslovou technologii chtějí zavést také banky, messengery, poštovní operátoři a další služby. Online banky, Viber a Telegram začaly místo standardních SMS používat šifrované zprávy Push a QR kódy. A také požadují potvrzení transakcí pomocí TouchID a FaceID.
V roce 2021 americký časopis Banker uvedl, že 15–20 % z 1 000 finančních institucí v USA používá k potvrzení identity uživatele selfie v kombinaci s ověřením totožnosti.
A BNP Paribas byla první bankou, která během konference Finovate London 2022 předvedla přechod na bezheslový režim. Banka zavedla vícefaktorové ověřování (MFA) v celé organizaci. Zahrnuje ověřování podle tří nezávislých faktorů: znalosti, vlastnictví, biometrie. Pro získání přístupu může systém vyžadovat zodpovězení tajné otázky, odemknutí zařízení a potvrzení biometrických údajů. MFA je nejlepší způsob ochrany před kybernetickými útoky, který je dnes k dispozici.
Chcete se přihlásit k odběru novinek?
