Bezpečnostní průvodce

Jak zjistit, zda bylo heslo prozrazeno

Naučte se bezpečné způsoby, jak reagovat na možný únik hesel, aniž byste vkládali skutečná hesla do nedůvěryhodných webů.

Shrnutí

Pokud máte podezření, že došlo k úniku hesla, nejbezpečnější reakcí je často jej nahradit, místo abyste ho vkládali do neznámých webů. Kontrola úniku může být užitečná pouze tehdy, pokud má služba důvěryhodný návrh ochrany soukromí a rozumíte tomu, co se odesílá.

Použijte kontrolu síly hesla pro lokální analýzu vzorů, ale nepovažujte ji za databázi úniků.

Co dělat jako první

Změňte heslo z důvěryhodného zařízení. Pokud bylo stejné heslo použito opakovaně, změňte jej u všech dotčených účtů. Začněte e-mailem, bankovnictvím, prací, cloudovým úložištěm a účty pro obnovu správce hesel.

Zkontrolujte stav účtu

Odvolejte aktivní relace, zkontrolujte nastavení e-mailu a telefonu pro obnovu, prověřte pravidla přeposílání, odstraňte podezřelý přístup aplikací a povolte MFA nebo passkeys.

Podrobný návod

Tento průvodce se zaměřuje na to, jak zjistit, zda se heslo mohlo objevit v únicích, aniž byste ho neopatrně odhalili. Je určen pro uživatele, kteří se doslechli o úniku a chtějí bezpečně reagovat, takže praktickým cílem není vytvořit dramatické bezpečnostní tvrzení. Cílem je zvolit návyk pro hesla, který obstojí v každodenním používání: přihlašovací formuláře, správci hesel, mobilní klávesnice, obnova účtu, sdílená zařízení a občasná služba s podivnými validačními pravidly. Bezpečné doporučení je užitečné pouze tehdy, pokud ho skutečný člověk dokáže konzistentně dodržovat.

Nejbezpečnějším výchozím bodem je náhodnost plus jedinečnost. Náhodnost znamená, že hodnota je vybrána z velkého prostoru kryptograficky vhodným náhodným zdrojem, nikoli vymyšlena z narozenin, jména domácího mazlíčka, vzoru na klávesnici nebo oblíbeného citátu. Jedinečnost znamená, že stejné heslo není použito nikde jinde. Dlouhé, ale opakovaně používané heslo může rychle selhat po jedné nesouvisející krádeži, zatímco jedinečné náhodné heslo omezí škody na jediný účet, kde bylo použito.

Pro toto téma je praktickým výchozím nastavením nejprve lokální analýza vzorů, poté důvěryhodné služby pro upozornění na úniky, pokud je to potřeba. Toto nastavení můžete použít s kontrolou síly hesla a poté uložit konečnou hodnotu do důvěryhodného správce hesel. PwdGen generuje hodnoty lokálně v prohlížeči pomocí Web Crypto; vygenerované heslo není odesláno na server PwdGen. Tento lokální design snižuje expozici na straně serveru, ale nechrání před všemi hrozbami. Zlomyslné rozšíření prohlížeče, kompromitované zařízení, phishingová stránka nebo nebezpečná manipulace se schránkou mohou stále odhalit tajemství po jeho vygenerování.

Nejčastějšími problémy, kterým je třeba se vyhnout, jsou zadávání skutečných hesel na neznámé weby, vyhledávání přesných hesel v logách a předpoklad, že žádný výsledek neznamená žádné riziko. Tyto problémy jsou důležité, protože útočníci jen zřídka potřebují brute-force všechny možné kombinace, když jim lidské návyky poskytnou zkratku. Credential stuffing, phishing, uniklé seznamy hesel a zneužití obnovy účtu jsou často realističtější než čistě matematické hledání. Proto nejlepší rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, jako je MFA, passkeys, ukládání záložních kódů a pravidelná kontrola e-mailu nebo telefonu pro obnovu.

Při aplikaci doporučení použijte tento kontrolní seznam:

• Po úniku změňte opakovaně používaná hesla.
• Začněte e-mailem a vysoce hodnotnými účty.
• Používejte pouze důvěryhodné nástroje pro upozornění na úniky.
• Nikdy nevkládejte citlivé heslo do náhodných stránek.

Pokud web odmítne ideální nastavení, nenuťte heslo ručně do slabšího vzoru. Měňte jednu proměnnou najednou. Pokud jsou symboly odmítnuty, ponechte velká písmena, malá písmena a čísla a zvyšte délku. Pokud je maximální délka nízká, použijte největší akceptovanou délku a ujistěte se, že hodnota je jedinečná. Pokud musí být heslo čteno nahlas, vytištěno nebo zadáno na obrazovce televize či routeru, zvažte vyloučení matoucích znaků a zvýšení délky, abyste kompenzovali menší abecedu.

Nakonec si pamatujte hranice rad ohledně hesel. Silné heslo je jedna vrstva obrany, nikoli záruka. Nemůže učinit phishingovou stránku bezpečnou, opravit malware nebo kompenzovat službu, která ukládá přihlašovací údaje špatně. Užitečný návyk je nudný, ale trvanlivý: vygenerujte jedinečnou hodnotu, bezpečně ji uložte, chraňte cestu obnovy a rychle ji nahraďte, pokud máte podezření na expozici.

Bezpečný další krok

Po přečtení této příručky proveďte jednu malou kontrolu účtu místo snahy opravit vše najednou. Vyberte účet, který by způsobil nejvíce problémů, kdyby byl převzat, potvrďte, že jeho heslo je jedinečné, a zkontrolujte e-mail pro obnovu, telefon pro obnovu, metodu MFA a uložení záložních kódů. Pokud je některá část tohoto řetězce slabá, zlepšete ji, než přejdete k účtům s nižším rizikem. Toto pořadí udržuje práci zvládnutelnou a chrání účty, které útočníci s největší pravděpodobností použijí jako odrazový můstek. Pokud jde o to, jak zjistit, zda bylo heslo prozrazeno, nejlepším výsledkem je opakovatelný návyk: generovat lokálně, ukládat opatrně a vyhnout se opakovanému použití.

Často kladené otázky

Mám vložit své heslo do náhodných webů pro kontrolu úniku?

Ne. Používejte pouze důvěryhodné služby pro kontrolu úniků s jasným návrhem ochrany soukromí, nebo heslo raději změňte, než abyste ho testovali.

Co mám dělat po úniku?

Změňte postižené heslo, změňte opakovaně používaná hesla, odvolejte relace, zkontrolujte nastavení obnovy a povolte MFA.

Může PwdGen kontrolovat databáze úniků?

Ne. PwdGen poskytuje lokální odhady síly a doby prolomení, nikoli vzdálené vyhledávání v uniklých heslech.