Jak poznat, zda bylo vaše heslo zcizeno

12. 2. 2021

Sdílet

 Autor: Fotolia © Artem Gorohov
Jak funguje monitoring hesel a která služba je pro vás nejlepší.

Vymyslet silné heslo a uchovat ho ve správci hesel nebo v prohlížeči nestačí. Je třeba umět poznat, zda a kdy bylo vaše heslo zcizeno, abyste dokázali rychle zareagovat a změnit ho dřív, než budou zcizeny a zneužity také vaše osobní informace. Poradíme vám jak.

V roce 2019 pokračovala velká kauza, při níž unikly doslova miliardy e-mailových adres a přístupových hesel. Problémem však bylo i to, že uživatelé tehdy měli jen málo možností, jak zjistit, zda mezi uniklými jsou také jejich informace. Dnes už je situace odlišná a monitoring hesel obstarává několik služeb, které dokážou rychle říct, zda právě vaše heslo bylo zcizeno. Velká část z nich rovnou umožňuje rychle reagovat.

Ty základní…

Pro ověření možného úniku hesla existovaly už před dvěma roky dvě základní služby: HaveIBeenPwned a také služba provozovaná institutem informačních technologií Hasso Plattner, spadajícím pod univerzitu v německé Postupimi. Do obou stačí zadat dotazovanou e-mailovou adresu (nikoliv heslo!) a obě jsou schopny ji porovnat s databázemi známých hromadných úniků dat. Paradoxně, reputace HaveIBeenPwned láká i samotné hackery, kteří se rádi pochlubí svým úspěšným útokem, a databáze služby tak působí velice komplexně.

Jestliže se ukáže, že vaše údaje byly zcizeny, stránka vám ukáže, při jaké příležitosti se tak stalo, a je schopna dodat i doplňující informace, například zda došlo též ke zcizení vašeho telefonního čísla. Stránka navíc organizuje útoky dle data jejich provedení, takže dozvíte-li se, že vaše data byla zcizena při útoku v roce 2016, je tu pravděpodobnost, že jste od té doby své heslo už změnili. Naopak, pokud byla zcizena před měsícem, měli byste asi co nejdřív jednat a heslo změnit. HaveIBeenPwned navíc dokáže zkontrolovat jakoukoliv e-mailovou adresu, takže skrz stránku můžete zkontrolovat i případné úniky týkající se například vašich počítačově méně zdatných rodičů.

Hasso Plattner Institut funguje obdobně, informaci o možném zcizení však zasílá přímo na dotazovanou e-mailovou adresu, včetně podrobnostech o dalších datech, kterých se útočníci mohli též zmocnit.

Ty prohlížečové…

Výše uvedené služby dokáží zjistit, zda byla zcizena konkrétní e-mailová adresa. Co však určit nedokáží, zda bylo zcizeno uživatelské jméno. Pro tyto účely už je dobré využít důvěryhodný software, kterému můžete k ověření svěřit i vaše heslo. Možností je několik, včetně těch, které nabízejí internetové prohlížeče.

Google Password Checkup

Google do Chromu v roce 2019 přidal bezplatný plugin, který vás upozorní při přihlášení na zkompromitované stránce nebo při zjištění, že váš e-mail nebo heslo byly zcizeny. Od října téhož roku úniky začal kontrolovat automaticky a od Chromu 79 váš prohlížeč monitoruje vaši online aktivitu za účelem předcházení phishingu a dalších nekalostí často pod falešnou záminkou. Dnes, pokud zamíříte na passwords.google.com a ověříte svou identitu, online Password Checkup vám rychle zobrazí, jaká vaše hesla unikla, jaká jsou duplicitní a jaká mohou být vylepšena, aby byla bezpečnější. Služba však funguje jen tehdy, pokud máte hesla uložena přímo v Chromu.

Firefox Lockwise

Služba Firefoxu hesla monitoruje obdobným způsobem, nenabízí však doporučení týkající se slabých nebo zastaralých hesel. Také dle všeho funguje i tehdy, jestliže jste heslo neuložili přímo ve Firefoxu, zadat ho však do prohlížeče pochopitelně musíte tak či onak. Nejsnáze se ke službě dostanete zadáním adresy about:logins do adresního řádku Firefoxu. Pokud vaše heslo bylo zcizeno, zobrazí vám prohlížeč rudý banner, dotčený účet a heslo a odkaz pro rychlý přechod do něj.

Microsoft Edge Password Monitor

Microsoft v tomto ohledu maličko zaostal, nicméně Password Monitor pro prohlížeč Edge už je součástí širší distribuce Edge 88. Také on je zdarma.

Ty externí…

O užitečnosti správců hesel jsme na Computerworldu psali nedávno, následující řádky berte tedy jako doplnění otázky monitoringu hesel.

LastPass

Zatímco jakožto správce pro úschovu hesel LastPass nabízí bezplatně, za monitoring už si účtuje. Provádí ho však také v prostorách dark webu a jestliže zjistí únik, zašle vám upozornění. A to za paušální poplatek 3 dolarů měsíčně.

Dashlane

Také Dashlane za monitoring dark webu vybírá poplatek, ovšem vyšší, a to 6,49 dolarů/měsíc.

1Password

bitcoin_skoleni

1Password bezplatnou podobu nemá, ovšem za 2,49 dolarů/měsíc nabízí základní službu, které společnost říká Watchtower, a která vás dokáže upozornit na zcizení hesla, stejně jako na jeho aktualizaci, pokud se vyjeví jako slabé. 1Password pro tyto účely spolupracuje se službou HaveIBeenPwned a využívá jejích databází. Na rozdíl od HaveIBeenPwned však pro větší zabezpečení kontroluje jen část vašeho hesla a na základě částečné shody pak potenciální stoprocentní shodu kontroluje už jen na vašem počítači.

Obdobným způsobem, za obdobné poplatky, fungují také další služby, ale kdo ví. Je docela možné, že vliv Microsoftu a Googlu spolu s jejich vzájemnou soutěživostí povede k tomu, že také z monitoringu hesel se v budoucnu stane bezplatná záležitost.