Jak zjistit, zda vám někdo nezcizil vaše heslo?

16. 7. 2021

Sdílet

 Autor: Depositphotos
Nástroje v tomto článku vám pomohou zjistit, zda nedošlo k narušení nebo zcizení vašeho hesla.

Pokud si myslíte, že je dostatečnou ochranou proti neoprávněnému přístupu vytvoření silného a jedinečného hesla, které uložíte do správce hesel nebo do internetového prohlížeče, pak se mýlíte. Je tady totiž ještě jedna věc: kromě již zmiňovaného bezpečného hesla potřebujete ještě vědět, zda nedošlo ke zcizení vašeho hesla během nějakého úniku dat. Jen tak totiž můžete dostatečně rychle zareagovat a toto heslo změnit, abyste minimalizovali riziko možného zcizení vašich citlivých údajů. Přečtěte si, jak na to!

Před nějakou dobou, konkrétně v roce 2019 došlo k velmi rozsáhlému úniku informací označovanému jako Collection #1, při němž na web unikly doslova miliardy e-mailových adres a hesel, čímž byla ohrožena bezpečnost těchto účtů. Tehdy uživatelé řešili jeden velmi zásadní problém: jak zjistit, že jsou tímto únikem informací ohroženi právě oni?

Možnosti, jak toto zjistit, totiž byly relativně omezené. V současnosti je situace naštěstí poněkud jiná: existuje totiž celá řada služeb pro sledování hesel, které dokážou odhalit, zda bylo odcizeno třeba právě vaše heslo. Mnohé z nich jsou navíc navrženy tak, aby vám umožnily rychle zasáhnout a zcizené údaje okamžitě změnit.

Základní služby pro zjištění úniku e-mailových adres

Už v době již zmiňovaného úniku dat Collection #1 existovaly a dosud stále ještě existují dvě poměrně renomované služby, které se zaměřují na zjišťování úniku citlivých údajů: konkrétně se jedná o službu HaveIBeenPwned a službu provozovanou Hass-Platner-Institutem v Postupimi v Berlíně. Obě vás požádají o zadání e-mailové adresy (nikoli hesla!) a tu pak porovnají s údaji v databázi známých úniků dat.

Obě služby mají svůj půvab. Služba HaveIBeenPwned svou vynikající pověstí doslova přitahuje všechny, kteří touží po zveřejnění svých útoků, z čehož vyplývá, že údaje o únicích dat na webu poskytované touto službou by mohly být skutečně komplexní. Služba vám uvede seznam všech úniků dat, v nichž se vyskytuje vaše e-mailová adresa, a to včetně všech případných souvisejících informací, jako je například vaše pohlaví nebo jaké je vaše telefonní číslo.

Web HaveIBeenPwned řadí jednotlivé úniky dat na základě služby, která byla napadena, nikoli podle data. Ptáte se, proč to tak je a jaký to má smysl? Jde o to, že pokud byl váš e-mail zcizen například při úniku dat v roce 2016, je pravděpodobné, že vaše heslo bylo od té doby změněno. Pokud však byly váš e-mail a heslo odhaleny minulý měsíc, budete nutno tyto údaje změnit ihned.

Služba HaveIBeenPwned vám poskytne celou řadu informací týkajících se jednotlivých úniků dat, nicméně možná by všechny tyto údaje měly být lépe uspořádány.

Služba HaveIBeenPwned rovněž zveřejňuje informace o zcizení jakékoli e-mailové adresy, což je sice na jednu stranu užitečné třeba proto, abyste mohli zkontrolovat zcizení údajů vašich známých či členů rodiny, na druhou stranu z hlediska zachování soukromí to rozhodně není nejšetrnější přístup.

Řešení poskytované institutem HPI na to jde jinak. Zveřejňuje totiž seznam úniků podle data spolu se souborem údajů, které byly zcizeny. Pokud na webu zadáte e-mailovou adresu, odešle vám na ni bezpečnostní zprávu spolu s barevně vyvedenou tabulkou, z níž můžete zjistit, které vaše údaje a z jakého úniku dat jsou v nebezpečí.

Institut HPI vám pošle soubor dat, z něhož můžete zjistit, které všechny údaje byly v souvislosti s vaším e-mailem vyzrazeny. Údaje jsou pak seřazeny od nejnovějších k nejstarším.

Internetové prohlížeče nabízí sledování hesel zcela zdarma

Obě výše zmiňované služby však odhalí pouze to, zda byla konkrétní e-mailová adresa součástí nějakého konkrétního úniku dat. Bohužel už neodhalí, zda bylo odhaleno uživatelské jméno, které nemá se jménem e-mailové schránky nic společného, například „novakp“.V tomto případě budete potřebovat nějakou důvěryhodnou službu, která zná vás i vámi zvolená hesla.

Rozhodně se nesvěřujte do rukou nějakým náhodným webům, které se dají najít při vyhledávání pomocí internetového vyhledávače a které vám slibují „zkontrolovat“ vaše hesla – raději se držte několika prověřených a důvěryhodných webů. (Zde je to pravé místo, abychom vám připomněli, že sledování zcizených hesel je u většiny správců hesel placenou službou – výjimkou jsou správci hesel integrovaní v internetovém prohlížeči, kteří jsou samozřejmě zdarma.).

Google Password Checkup

V roce 2019 přidala společnost Google do prohlížeče Chrome bezplatný doplněk, který vás po přihlášení na zneužitý web upozornil, že byl váš e-mail nebo heslo zcizeny. V říjnu 2019 začala společnost Google automaticky kontrolovat hesla proti prolomení a od verze Chrome 79 začala sledovat vaše procházení internetu, abyste se nestali obětí phishingu, způsobu, kterým se útočníci snaží od vás zjistit hesla pod nějakou falešnou záminkou.

Kontrola hesel v podání Googlu má podobu hezky vyvedeného přehledu, v němž vidíte takřka na první pohled, zda náhodou nebylo vámi používané heslo zcizeno.

V současnosti stačí přejít na internetovou stránku passwords.google.com a přihlásit se. Vzápětí vám online nástroj Password Checkup od firmy Google zobrazí rychlý přehled o tom, která hesla byla vyzrazena při únicích dat, která se používají opakovaně na různých webech a hesla, která by mohla být vylepšena tak, aby byla složitější a nebylo je možné v případě pokusů o prolomení tak snadno uhádnout. Součástí jsou i odkazy, která umožní změnit hesla na konkrétních stránkách. Toto všechno však funguje pouze v případě, pokud ukládáte hesla pomocí Googlu.

Firefox Lockwise

Firefox Lockwise, což je správce hesel, který je součástí zdarma dostupného internetového prohlížeče Mozilla Firefox, funguje částečně jinak. Na rozdíl od řešení firmy Google vám nedá žádná doporučení ohledně nadbytečných a slabých hesel, nicméně sledování hesel provádí podobně. Podle všeho to vpadá, že funguje bez ohledu na to, zda jste heslo uložili v rámci Firefoxu, nebo jste ho pouze importovali z jiného prohlížeče. Stejně jako Google však potřebuje znát vaše heslo, což vyžaduje jeho uložení v prohlížeči.

K popisovanému správci hesel Firefox Lockwise se nejsnáze dostanete tak, že do panelu Adresa internetového prohlížeče Firefox zadáte řetězec about:logins.

Firefox Lockwise provádí sledování hesel přímo v internetovém prohlížeči Firefox.

Pokud Firefox Lockwise zjistí, že došlo ke zcizení hesla, zobrazí jasně červený banner, příslušný účet a heslo, a konečně i odkaz pro přechod na příslušný uživatelský účet. (Je možné, že vám označí i účty, které jste již mezitím zakázali – konkrétním příkladem byl účet na síti LinkedIn, který byl svázán s mým předchozím pracovním účtem a u něhož se mi zobrazilo varování v souvislosti s únikem dat).

Microsoft Edge Password Monitor

Loni firma Microsoft slíbila, že do internetového prohlížeče Microsoft Edge integruje nástroj pro sledování zcizených hesel a že jej uvede jako součást prohlížeče Microsoft Edge ve verzi 88. Stejně jako další podobné služby nabízené vývojáři konkurenčních internetových prohlížečů je zdarma.

V internetovém prohlížeči Microsoft Edge najdete jak generátor silných hesel, tak nástroj pro sledování zcizených hesel.

Placené nástroje pro sledování zcizených hesel: Správci hesel

Jednoznačně nejpohodlnějším způsobem správy hesel jsou speciální programy označované jako správci hesel. O těchto programech jako takových jsme již psali. Nyní je čas podívat se na to, co tito správci hesel dokážou z hlediska jejich monitorování.

LastPass

Správce hesel LastPass nabízí uživatelům velmi schopné a bezplatné řešení pro ukládání jejich hesel, v podstatě to samé, co nabízí současné internetové prohlížeče. Monitorování zcizených hesel však je služba, za kterou si program LastPass společnosti LogMeIn nechává platit. LastPass sleduje „dark web“ a hlídá, zda na něm nedošlo k nějakému úniku některého z vašich hesel.

Pokud k něčemu takovému dojde, pošle vám zprávu, což zatím vývojáři internetových prohlížečů nedělají. Otázkou je, jestli posílání těchto upozornění stojí za ty 3 USD, které si za to LastPass měsíčně účtuje? Jde o to, jak moc stojíte o to, abyste v případě zcizení hesla mohli co možná nejrychleji zakročit a heslo změnit. Je docela možné, že se najdou uživatelé, kteří tuto, byť placenou funkci, přivítají.

LastPass sleduje výskyt zcizených hesel na dark webu. Musíte mu ale každý měsíc zaplatit drobný poplatek.

Dashlane

Únik zcizených hesel na dark webu sleduje i správce hesel Dashlane. I zde se jedná o placenou službu, která vás přijde na 6,49 USD měsíčně.

1Password

Služba 1Password žádnou bezplatnou variantu nenabízí. Na druhou stranu už na nejzákladnější úrovni, která vás přijde na 2,49 USD měsíčně, máte k dispozici funkci Watchtower (strážní věž), která vás upozorní jak na zcizená hesla, tak na hesla, která je vhodné aktualizovat, protože jsou slabá.

Ve skutečnosti služba 1Password spolupracuje se službou HaveIBeenPwned, která kontroluje vaše hesla (ale nikoliv e-mail) a porovnává je s databází prolomených hesel. Z bezpečnostních důvodů 1Password odesílá pouze část vašeho hesla (konkrétně část hashe hesla), shromažďuje všechny potenciální shody a poté je soukromě kontroluje ve vašem počítači.

bitcoin školení listopad 24

Funkce Watchtower služby 1Password provádí sledování zcizených hesel.

Drobné poplatky si za sledování hesel účtují i ostatní správci hesel, ale kdo ví? Je možné, že konkurenční vliv společností Microsoft a Google a Mozilly zapůsobí a během několika následujících let přetáhne funkci sledování hesel z oblasti placených služeb zpět do oblasti bezplatně poskytovaných služeb.