Jak se kradou hesla a způsoby, jak chránit to vaše

Média ráda zmiňují termín „hacker“ prakticky při každé kriminální činnosti spojené s počítači. Ve čtenáři to vzbuzuje pocit, že se hesla kradou nějakými velmi pokročilými technikami, kterým může rozumnět jen hrstka vyvolených. Mnohdy je přitom tento „hackerský útok“ veden prostředky tak primitivními, že byste jej s troškou tréninku zvládli i sami.

Phishing. Termín, který je trefně odvozen od anglického slova pro rybaření (fishing). Útočník totiž na spousty e-mailů nebo telefonů odešle zprávy například o tom, že je potřeba potvrdit vrácení peněz za ztracený balíček od České pošty. Většině lidí sice zrovna balíček Českou poštou nepřichází, pro malou část obeslaných ale půjde o vysoce důvěryhodný příběh. Na falešné stránce vyplní své bankovní informace a útočníci jejich bankovní účet vysají.

Stejný princip je používán třeba i pro získání přihlašovacích údajů od sociálních sítí i dalších účtů. Heslo si někdy dokáží vymámit i pouhým telefonátem nebo SMS zprávou. Pokud si říkáte, že na to může naletět jen blbec, rád bych vás vyvedl z omylu. Útočníci dnes běžně mohou znát i vaše jméno, což jim na důvěryhodnosti ještě dodává.

Instituce vaše heslo nikdy nebudou chtít napsat do SMS zprávy ani e-mailu. A když někde své přihlašovací údaje vyplňujete, ujistěte se, že doména webové stránky sedí. Pokud se třeba přihlašujete do svého bankovního účtu u Komerční banky, v doménovém řádku vždy uvidíte„login.kb.cz/…“.

Za únik svého hesla ale nemusíte vždy moct sami. Hesla se totiž kradou i jinými způsoby, než, že je útočníci dostanou přímo z vás. Třeba únikem jejich databáze z některé z vámi navštěvovaných stránek. Abychom ale pochopili, jak tento způsob krádeže účtů funguje, je třeba se podívat na to, jak jsou hesla stránkami ukládána.

V žádné databázi už dnes nenajdete hesla uložená tak, jak jste je napsali (snad). Místo toho se vedle vašeho přihlašovacího jména ukládá tzv. hash. Jde o sekvenci znaků, která vyšla komplikovaným matematickým výpočtem z vašeho zadaného hesla. Podstatné je, že tuto sekvenci je jednoduché vypočítat, když znáte heslo. Když ale znáte tuto sekvenci, nelze z ní nijak vypočítat heslo. Tomu se v počítačové terminologii říká jednosměrné šifrování.

Když se útočníci k databázi s hesly dostanou, nezbývá jim než zkusit takto zašifrovat veškeré možné kombinace znaků, aby hesla uhodnuli. A i přesto, že moderní počítače zvládnou za sekundu vyzkoušet až miliardu různých hesel, nejde o rychlý proces. Nejjednodušší hesla ale prolomí v rámci sekund.

Tady přichází na řadu ta neustále omýlaná rada složitého hesla. Když útočníci zkouší hesla počítačovým programem prolamovat, hned na začátku jsou ta nejčastější. Brzy také vyzkouší kombinace slov ze slovníku a častých číselných kombinací na klávesnici (123,258, 369 apod.). Pokud je ale vaše heslo silné, leckdy ho moderní počítače ani nedokážou prolomit. Silné heslo obsahuje velká i malá písmena, čísla i symboly. Neobsahuje ale slova ze slovíku a časté číselné vzorce.

Zmiňme si k zabezpečení účtů ještě pár dalších tipů.

Opět stále omílaná rada. Nepoužívejte jedno heslo napříč více účty. Databáze hesel Googlu nebo Microsoftu totiž unikají zřídkakdy. Za to databázím menších firem s menším rozpočtem na zabezpečení se to stává o poznání častěji. Když je pak některá taková databáze útočníky získána, mohou stejnou kombinaci e-mailu a hesla vyzkoušet i pro váš Instagram, Facebook, Steam a další účty. Tomu různá hesla u účtů zabrání.

Spousta služeb teď navíc nabízí možnost druhého faktoru ověření. Kromě hesla tak musíte ještě zadat třeba kód z SMS nebo z mobilní aplikace. Útočníkům tak nestačí znát jen vaše heslo a tento typ útoku je tak prakticky nemožný. Řada stránek v čele s Microsoftem už dnes navíc nepožaduje heslo vůbec a místo toho se spoléhá jen na tyto bezpečnější způsoby ověření.

Dostat se do vašeho Google účtu s pomocí e-mailu a hesla je téměř nemožné. Vícefaktorové ověření je tady samozřejmostí. Pokud tak nenaletíte na nějaký dobře propracovaný phishingový podvod, pro útočníky cesta do vašeho účtu přes přihlášení nevede. Existuje ale ještě jeden další způsob, jak se účtu zmocnit.

Abyste se totiž nemuseli přihlašovat pokaždé, když otevřete stránku, je ve vašich souborech Cookies uložen speciální klíč. Ten je nemožné prolomit způsobem popsaným v předešlých odstavcích, stačí ale otevřít zavirovaný soubor, a tento klíč může být na cestě k útočníkům. Ti ho pak mohou využít prakticky k neomezenému přístupu k vašemu účtu.

Proto se nerozčilujte, když po vás stránka chce se znovu přihlásit pro některé úkony. Dělají to pro vaše dobro. Ostatně, přesně tohle je důvod, proč jste při neaktivitě tak rychle odhlášeni z internetového bankovnictví: podobnému typu útoku to totiž předchází.

A volte silná hesla. Jednou se vám to totiž může hodně vyplatit.