Pokud si myslíte, že je dostatečnou ochranou proti neoprávněnému přístupu vytvoření silného a jedinečného hesla, které uložíte do správce hesel nebo do internetového prohlížeče, pak se mýlíte. Je tady totiž ještě jedna věc: kromě již zmiňovaného bezpečného hesla potřebujete ještě vědět, zda nedošlo ke zcizení vašeho hesla během nějakého úniku dat. Jen tak totiž můžete dostatečně rychle zareagovat a toto heslo změnit, abyste minimalizovali riziko možného zcizení vašich citlivých údajů. Přečtěte si, jak na to!
Před nějakou dobou, konkrétně v roce 2019 došlo k velmi rozsáhlému úniku informací označovanému jako Collection #1, při němž na web unikly doslova miliardy e-mailových adres a hesel, čímž byla ohrožena bezpečnost těchto účtů. Tehdy uživatelé řešili jeden velmi zásadní problém: jak zjistit, že jsou tímto únikem informací ohroženi právě oni?
Možnosti, jak toto zjistit, totiž byly relativně omezené. V současnosti je situace naštěstí poněkud jiná: existuje totiž celá řada služeb pro sledování hesel, které dokážou odhalit, zda bylo odcizeno třeba právě vaše heslo. Mnohé z nich jsou navíc navrženy tak, aby vám umožnily rychle zasáhnout a zcizené údaje okamžitě změnit.
Základní služby pro zjištění úniku e-mailových adres
Už v době již zmiňovaného úniku dat Collection #1 existovaly a dosud stále ještě existují dvě poměrně renomované služby, které se zaměřují na zjišťování úniku citlivých údajů: konkrétně se jedná o službu HaveIBeenPwned a službu provozovanou Hass-Platner-Institutem v Postupimi v Berlíně. Obě vás požádají o zadání e-mailové adresy (nikoli hesla!) a tu pak porovnají s údaji v databázi známých úniků dat.
Obě služby mají svůj půvab. Služba HaveIBeenPwned svou vynikající pověstí doslova přitahuje všechny, kteří touží po zveřejnění svých útoků, z čehož vyplývá, že údaje o únicích dat na webu poskytované touto službou by mohly být skutečně komplexní. Služba vám uvede seznam všech úniků dat, v nichž se vyskytuje vaše e-mailová adresa, a to včetně všech případných souvisejících informací, jako je například vaše pohlaví nebo jaké je vaše telefonní číslo.
Web HaveIBeenPwned řadí jednotlivé úniky dat na základě služby, která byla napadena, nikoli podle data. Ptáte se, proč to tak je a jaký to má smysl? Jde o to, že pokud byl váš e-mail zcizen například při úniku dat v roce 2016, je pravděpodobné, že vaše heslo bylo od té doby změněno. Pokud však byly váš e-mail a heslo odhaleny minulý měsíc, budete nutno tyto údaje změnit ihned.
Služba HaveIBeenPwned rovněž zveřejňuje informace o zcizení jakékoli e-mailové adresy, což je sice na jednu stranu užitečné třeba proto, abyste mohli zkontrolovat zcizení údajů vašich známých či členů rodiny, na druhou stranu z hlediska zachování soukromí to rozhodně není nejšetrnější přístup.
Řešení poskytované institutem HPI na to jde jinak. Zveřejňuje totiž seznam úniků podle data spolu se souborem údajů, které byly zcizeny. Pokud na webu zadáte e-mailovou adresu, odešle vám na ni bezpečnostní zprávu spolu s barevně vyvedenou tabulkou, z níž můžete zjistit, které vaše údaje a z jakého úniku dat jsou v nebezpečí.
Internetové prohlížeče nabízí sledování hesel zcela zdarma
Obě výše zmiňované služby však odhalí pouze to, zda byla konkrétní e-mailová adresa součástí nějakého konkrétního úniku dat. Bohužel už neodhalí, zda bylo odhaleno uživatelské jméno, které nemá se jménem e-mailové schránky nic společného, například „novakp“.V tomto případě budete potřebovat nějakou důvěryhodnou službu, která zná vás i vámi zvolená hesla.
Rozhodně se nesvěřujte do rukou nějakým náhodným webům, které se dají najít při vyhledávání pomocí internetového vyhledávače a které vám slibují „zkontrolovat“ vaše hesla – raději se držte několika prověřených a důvěryhodných webů. (Zde je to pravé místo, abychom vám připomněli, že sledování zcizených hesel je u většiny správců hesel placenou službou – výjimkou jsou správci hesel integrovaní v internetovém prohlížeči, kteří jsou samozřejmě zdarma.).
Google Password Checkup
V roce 2019 přidala společnost Google do prohlížeče Chrome bezplatný doplněk, který vás po přihlášení na zneužitý web upozornil, že byl váš e-mail nebo heslo zcizeny. V říjnu 2019 začala společnost Google automaticky kontrolovat hesla proti prolomení a od verze Chrome 79 začala sledovat vaše procházení internetu, abyste se nestali obětí phishingu, způsobu, kterým se útočníci snaží od vás zjistit hesla pod nějakou falešnou záminkou.
V současnosti stačí přejít na internetovou stránku passwords.google.com a přihlásit se. Vzápětí vám online nástroj Password Checkup od firmy Google zobrazí rychlý přehled o tom, která hesla byla vyzrazena při únicích dat, která se používají opakovaně na různých webech a hesla, která by mohla být vylepšena tak, aby byla složitější a nebylo je možné v případě pokusů o prolomení tak snadno uhádnout. Součástí jsou i odkazy, která umožní změnit hesla na konkrétních stránkách. Toto všechno však funguje pouze v případě, pokud ukládáte hesla pomocí Googlu.
Firefox Lockwise
Firefox Lockwise, což je správce hesel, který je součástí zdarma dostupného internetového prohlížeče Mozilla Firefox, funguje částečně jinak. Na rozdíl od řešení firmy Google vám nedá žádná doporučení ohledně nadbytečných a slabých hesel, nicméně sledování hesel provádí podobně. Podle všeho to vpadá, že funguje bez ohledu na to, zda jste heslo uložili v rámci Firefoxu, nebo jste ho pouze importovali z jiného prohlížeče. Stejně jako Google však potřebuje znát vaše heslo, což vyžaduje jeho uložení v prohlížeči.
K popisovanému správci hesel Firefox Lockwise se nejsnáze dostanete tak, že do panelu Adresa internetového prohlížeče Firefox zadáte řetězec about:logins.
Pokud Firefox Lockwise zjistí, že došlo ke zcizení hesla, zobrazí jasně červený banner, příslušný účet a heslo, a konečně i odkaz pro přechod na příslušný uživatelský účet. (Je možné, že vám označí i účty, které jste již mezitím zakázali – konkrétním příkladem byl účet na síti LinkedIn, který byl svázán s mým předchozím pracovním účtem a u něhož se mi zobrazilo varování v souvislosti s únikem dat).
Microsoft Edge Password Monitor
Loni firma Microsoft slíbila, že do internetového prohlížeče Microsoft Edge integruje nástroj pro sledování zcizených hesel a že jej uvede jako součást prohlížeče Microsoft Edge ve verzi 88. Stejně jako další podobné služby nabízené vývojáři konkurenčních internetových prohlížečů je zdarma.
Placené nástroje pro sledování zcizených hesel: Správci hesel
Jednoznačně nejpohodlnějším způsobem správy hesel jsou speciální programy označované jako správci hesel. O těchto programech jako takových jsme již psali. Nyní je čas podívat se na to, co tito správci hesel dokážou z hlediska jejich monitorování.
LastPass
Správce hesel LastPass nabízí uživatelům velmi schopné a bezplatné řešení pro ukládání jejich hesel, v podstatě to samé, co nabízí současné internetové prohlížeče. Monitorování zcizených hesel však je služba, za kterou si program LastPass společnosti LogMeIn nechává platit. LastPass sleduje „dark web“ a hlídá, zda na něm nedošlo k nějakému úniku některého z vašich hesel.
Pokud k něčemu takovému dojde, pošle vám zprávu, což zatím vývojáři internetových prohlížečů nedělají. Otázkou je, jestli posílání těchto upozornění stojí za ty 3 USD, které si za to LastPass měsíčně účtuje? Jde o to, jak moc stojíte o to, abyste v případě zcizení hesla mohli co možná nejrychleji zakročit a heslo změnit. Je docela možné, že se najdou uživatelé, kteří tuto, byť placenou funkci, přivítají.
Dashlane
Únik zcizených hesel na dark webu sleduje i správce hesel Dashlane. I zde se jedná o placenou službu, která vás přijde na 6,49 USD měsíčně.
1Password
Služba 1Password žádnou bezplatnou variantu nenabízí. Na druhou stranu už na nejzákladnější úrovni, která vás přijde na 2,49 USD měsíčně, máte k dispozici funkci Watchtower (strážní věž), která vás upozorní jak na zcizená hesla, tak na hesla, která je vhodné aktualizovat, protože jsou slabá.
Ve skutečnosti služba 1Password spolupracuje se službou HaveIBeenPwned, která kontroluje vaše hesla (ale nikoliv e-mail) a porovnává je s databází prolomených hesel. Z bezpečnostních důvodů 1Password odesílá pouze část vašeho hesla (konkrétně část hashe hesla), shromažďuje všechny potenciální shody a poté je soukromě kontroluje ve vašem počítači.
Drobné poplatky si za sledování hesel účtují i ostatní správci hesel, ale kdo ví? Je možné, že konkurenční vliv společností Microsoft a Google a Mozilly zapůsobí a během několika následujících let přetáhne funkci sledování hesel z oblasti placených služeb zpět do oblasti bezplatně poskytovaných služeb.
PŘEDPLATNÉ
ČLÁNKY DO MAILU