Asi to neuslyšíte rádi, ale způsobů, jakými se kyberzločinec může dostat k vašemu heslu, existuje opravdu mnoho a častokrát se nejedná o nikterak složité technické úkony. Heslo, kterého se útočník zmocní, přitom může chránit vaše celoživotní úspory, důležité dokumenty, nebo třeba rodinné vzpomínky. Proto pokud dostanete e-mailem upozornění, že vaše heslo mohlo být odcizeno, rozhodně byste neměli takový e-mail podceňovat. Zároveň je však na tomto místě důležité upozornit, že nesmíte strachu z odcizení hesla zcela podlehnout a nechat se vyprovokovat ke zkratkovitému jednání a ztrátě ostražitosti. Často (nebál bych se říci dokonce ve většině případů) jsou totiž podobné e-maily smyšlené a vytvořené podvodníky právě za účelem heslo z vás vymámit.

Nenechte se nachytat

Pokud objevíte ve své e-mailové schránce zprávu o možném prozrazení vašeho hesla, nikdy neklikejte na odkazy, nestahujte přílohy a neodpovídejte, dokud nezkontrolujete tyto náležitosti:

Vypadá e-mailová adresa odesílatele důvěryhodně?

Pokud se například e-mail tváří jako varování z Googlu, důvěryhodná e-mailová adresa by mohla vypadat třeba takto: no-reply@accounts.google.com. V každém případě by se za zavináčem mělo objevit slovíčko "google". Pokud si nejste jistí, zkopírujte adresu odesílatele a nechte ji vyhledat Googlem nebo jiným internetovým vyhledávačem. Pokud je adresa pravá, zřejmě se mezi výsledky vyhledávání objeví stránky dané společnosti (v tomto případě Googlu) nebo články technologických webů. Pokud navíc do vyhledávacího pole připíšete frázi jako "is legit", výsledky vyhledávání by vám mohly velmi napovědět, zda můžete e-mailu důvěřovat, či nikoli.

Pokud vypadá e-mailová adresa na první pohled jako nekonečně dlouhá směsice náhodných znaků a za zavináčem navíc místo domény dané společnosti vidíte jméno některého běžného poskytovatele emailových služeb pro širokou veřejnost, jako např. @gmail.com, @seznam.cz, @yahoo.com ap., máte téměř 100% jistotu, že se vás právě někdo pokusil podvést. Přestože vyhodnotíte e-mail jako podvodný, stejně si pro jistotu heslo k účtu změňte. V žádném případě však neklikejte na odkaz v e-mailu a nikam nezadávejte jakékoli své údaje. Místo toho běžte do vašeho internetového prohlížeče (třeba Google Chrome), v něm si otevřete webové stránky dané služby nebo společnosti, u které máte vedený účet a tam se přihlaste a původní heslo si změňte.

Je text e-mailu bez chyb?

Drobná chybička se do textu samozřejmě může vloudit, pokud je však text plný překlepů, gramatických nebo pravopisných chyb a nebo dokonce významových nesmyslů, je více než jisté, že se nebude jednat o oficiální e-mail, ale o nepříliš povedený podvod.

Nevyzývá vás autor e-mailu ke stažení přílohy nebo k zaslání vašich přihlašovacích údajů?

Za normální situace byste jen těžko cizímu člověku poslali své přihlašovací údaje. Pokud však uvěříte, že vám e-mail skutečně posílá společnost, jejíž služeb využíváte, můžete ve snaze zachránit svůj účet snadno slevit ze svých jinak striktních zásad. Je proto nezbytné zachovat chladnou hlavu. Nikdo po vás nikdy nebude chtít znát vaše heslo. Nikdo, kromě zlodějů a podvodníků. Stahovat přílohy z e-mailů je rovněž velmi nebezpečné a rozhodně není běžnou praktikou solidních společností, že byste museli pro záchranu svého účtu cokoli stahovat.

Jak se stane, že vaše heslo unikne?

Cest je opravdu mnoho. Jednu úplně jednoduchou a naprosto typickou jsme si popsali v předchozích odstavcích. Sebelepší bezpečnostní dveře jsou vám k ničemu, pokud klíče od nich rozdáváte na potkání na ulici. Případy, kdy heslo ke svému účtu odevzdá majitel podvodníkovi na zlatém podnose, jsou mnohem běžnější, než byste asi čekali. Zejména ve firmách se jedná o jeden z nejčastějších a nejúspěšnějších útoků. Útočníci často cílí na řadové zaměstnance, kteří nemají o zásadách kyberbezpečnosti mnohdy ani ponětí.

Další způsob, jakým může dojít k prozrazení vašeho hesla, je napadení počítače virem. Virus poté posílá útočníkovi informace o tom, jaké stránky jste navštívili a jaké přihlašovací údaje jste na nich zadali. Pokud se přihlašujete na stránkách, které místo bezpečného HTTPS protokolu používají pouze starý, nezabezpečený HTTP protokol, vaše přihlašovací údaje může kdokoli odchytit cestou. Zatímco s použitím HTTPS protokolu se vaše přihlašovací údaje šifrují a internetem putují v zašifrované podobě, při použití protokolu HTTP putují internetem jako obyčejný text přesně tak, jak jste je na stránce zadali. Pokud se útočníkovi podaří napojit se mezi váš počítač a server stránky, na kterou údaje zadáváte, může si veškeré vámi zadané údaje odchytit a poté zneužít.

Někdy se vaše heslo může dostat do nesprávných rukou i přesto, že uděláte vše naprosto správně a s nejvyšší dávkou opatrnosti. To v případě, kdy službu, do které jste přihlášeni, napadnou hackeři a podaří se jim odcizit ze serveru databázi přihlašovacích údajů uživatelů. Tady velmi záleží na tom, jak moc společnost provozující danou službu dbá na bezpečnostní zásady. Pokud si dává společnost opravdu pozor a s údaji svých uživatelů zachází v rukavičkách, je velká šance, že vaše přihlašovací údaje nebudou moci hackeři zneužít, přestože je ze serveru ukradli. Proč? Protože vaše přihlašovací údaje budou zašifrovány, nebo v ideálním případě zahashovány. Než by útočník mohl vaše údaje zneužít, musel by je nejprve dešifrovat, což může být dost náročné, nebo je dehashovat, což je prakticky nemožné. Pokud se budete přihlašovat na pochybných stránkách, riskujete, že provozovatel těchto stránek vaše přihlašovací údaje sám dobrovolně poskytne hackerům. Provozovatel stránek si za vaše přihlašovací údaje nechá dobře zaplatit a vás budou čekat velké nepříjemnosti.

Jak chránit svá hesla a své účty?

Jak jsme psali výše. Jsou situace, které neovlivníte. Pokud máte smůlu, nezmůžete nic. Pravdou však je, že v 99% případů si lidé mohou za uniklá hesla sami. A pokud ne za uniklá hesla, pak zcela jistě za míru následků, které mohou být zcela zanedbatelné, pokud se budete řídit radami z tohoto článku a naopak naprosto katastrofální, pokud se jimi řídit nebudete. V první řadě je důležité připomenout to, co už jste jistě v životě nejednou slyšeli a přesto to dost možná stále nedodržujete. Používejte pro každou stránku unikátní heslo, které nepoužíváte nikde jinde. Nebo si alespoň rozdělte účty podle důležitosti a možných důsledků, pokud by se vašeho účtu zmocnil někdo cizí. Pro účty v bankách, v práci a jiné velmi důležité účty používejte striktně unikátní hesla, co nejvíce silná. Pro ty nejméně důležité účty, u kterých neexistuje žádný reálný způsob zneužití, si můžete dovolit použít jedno heslo. Přesto samozřejmě stále platí, že pokud budete mít všechna hesla unikátní, bude to jedině dobře. Jinak totiž riskujete, že špatně odhadnete možnou míru zneužití daného účtu a následně budete velice nemile překvapeni.

Ptáte se, proč je vlastně potřeba mít pro každý účet jiné heslo? Ze stejného důvodu, proč byste asi nechtěli odemykat dům, garáž a auto stejným klíčem. Bylo by to sice pohodlné, ale když vám někdo klíč ukradne, dostane se jak do domu, tak i do garáže a do auta.

Jak si ale všechna ta unikátní hesla pamatovat? Máme pro vás pár tipů:

  • používejte tzv. password managery, které si budou vaše hesla pamatovat za vás
  • vytvářejte hesla tak, aby byla co nejsložitější na uhodnutí a přitom co nejsnazší na zapamatování
  • používejte podobná, avšak rozdílná hesla

Password managery fungují na jednoduchém principu. Uložíte si do nich všechny přihlašovací údaje do všech vašich účtů a přístup k nim zabezpečíte jedním jediným heslem. Výhodou je, že můžete mít pro každou stránku a službu unikátní, extrémně složité heslo a přitom vám stačí pamatovat si jen jedno heslo. Pokud jedno z hesel unikne, nemusíte se bát o ostatní účty. Existuje však jedna velká nevýhoda password managerů, která logicky vyplývá z toho, že pro přístup do password manageru používáte jediné heslo. Pokud by někdo odhalil heslo, kterým máte password manager zabezpečený, znamená to pro vás totální katastrofu, protože se dotyčný dostane úplně do všech vašich účtů. Řešení? Heslo pro přístup do password manageru musí být co nejsložitější, v žádném případě nesmí být použito nikde jinde a pokud to váš password manager umožňuje, aktivujte si dvoufaktorové ověření nebo jinak posilněte zabezpečení.

To samé platí, pokud používáte přihlášení Googlem nebo Facebookem. Jestliže je váš Google účet vstupenka do desítek dalších vašich účtů, ujistěte se, že se tato vstupenka nedostane do ruky nikomu jinému než vám. Silné heslo a dvoufaktorové ověření je nutnost.

Co se druhého bodu seznamu týče, můžete být možná trochu zmatení. Heslo nejsložitější na uhodnutí a přitom nejsnazší na zapamatování? To zní jako oxymóron. Ale nemusí být. Heslo je dostatečně silné, pokud je dostatečně dlouhé a pokud jsou v něm obsaženy všechny druhy znaků, tj. malá písmena, velká písmena, speciální znaky a číslice. Vymyslete si větu, která se vám bude dobře pamatovat, protože vás třeba vystihuje, nebo vám ji někdo řekl. Z každého slova této věty vezměte první slabiku s tím, že vždy první písmeno dané slabiky bude velké. Přidejte mezi jednotlivé slabiky ještě pomlčky, na začátek a na konec dejte hvězdičku a úplně na konec číslo, kolik má vaše věta slov. Takže pokud si vymyslíte větu "Moje nejoblíbenější město na světě je Ostrava.", pak by vaše heslo mohlo vypadat třeba takto: *Mo-Ne-Me-Na-Sv-Je-Os*7. Heslo si kdykoli s pomocí vaší věty znovu odvodíte, pokud jej zapomenete a přitom je velmi dlouhé a složité, takže nikdo, kdo nezná váš systém, jakým jste toto heslo sestavili, nemá šanci jej uhodnout.

Pokud byste potom potřebovali místo jednoho hesla dvě, ale nechtělo by se vám vymýšlet nové, bude stačit, když třeba sedmičku dáte na začátek a místo pomlček použijete lomítka. Takovou drobnou změnu si opět poměrně snadno zapamatujete a přitom lze obě hesla považovat za unikátní a bezpečná.

Co naopak nikdy nedělat?

  • nezapisujte si hesla do textových souborů v počítači, ani do papírového bloku nebo na papírky nalepené na klávesnici
  • nepoužívejte možnost uložit heslo v prohlížeči (použijte raději password manager)

Používejte dvoufaktorové ověření

Pokud to služba umožňuje, zapněte dvoufaktorové ověření (často pod zkratkou 2FA - two factor authentication). Pro přihlášení pak kromě hesla budete muset zadat ještě kód, který vám přijde SMSkou na mobil, nebo jej najdete ve speciální aplikaci v telefonu, případně přihlášení potvrdíte skrze notifikaci.

Jak zjistit, zda jsou vaše hesla v pořádku?

Neexistuje žádný 100% spolehlivý způsob, jak zjistit, zda vaše heslo bylo prozrazeno, proto pokud máte jakékoli pochybnosti, co nejdříve si heslo změňte a je-li to možné, aktivujte funkci 2FA. Pokud vás zajímá, zda vaše hesla unikla, můžete využít například tuto stránku: https://haveibeenpwned.com/. Nezapomínejte, že zdaleka ne všechny úniky hesel jsou touto stránkou evidovány. Pokud používáte účet Google a hesla si ukládáte do Google Password Manageru, Google vám v případě prozrazení vašich hesel pošle upozornění e-mailem.

Během zkoumání zda vaše hesla neunikla, dávejte pozor na podvodné weby, které by mohly vaše dosud neuniklé přihlašovací údaje prozradit. Doporučujeme použít pouze výše uvedenou stránku. Pokud se rozhodnete využít jinou stránku, nezadávejte na ní své heslo, ale pouze e-mail.