Bezpečnostní průvodce

Proč byste neměli znovu používat hesla

Pochopte credential stuffing, riziko opakovaného použití hesel, důsledky úniků dat a proč každý účet potřebuje jedinečné heslo.

Shrnutí

Opakované použití hesel je jedním z nejčastějších způsobů, jak se jeden únik dat promění v převzetí mnoha účtů. Heslo může být dlouhé a náhodné, ale pokud ho používáte na více službách, únik z jedné služby může ohrozit ostatní.

Použijte generátor náhodných hesel k vytvoření jedinečné hodnoty pro každý účet.

Credential stuffing

Útočníci shromažďují uniklé páry uživatelských jmen a hesel z úniků dat, phishingu, malwaru a veřejných databází. Poté tyto přihlašovací údaje zkoušejí na e-mailových, bankovních, nákupních, sociálních a pracovních službách. Útok funguje, protože mnoho lidí hesla znovu používá.

Proč na jedinečnosti záleží

Jedinečnost izoluje škody. Pokud jedna služba ukládá hesla špatně nebo dojde k jejímu úniku, uniklé heslo by nemělo odemknout váš e-mail, banku, cloudové úložiště ani pracovní účet.

Praktická doporučení

• Vygenerujte pro každý účet jiné heslo.
• Prioritně řešte e-mail, protože ten řídí resetování hesel.
• Používejte správce hesel, abyste si nemuseli pamatovat mnoho hodnot.
• Povolte MFA nebo passkeys.
• Po zjištění okamžitě změňte znovu použitá hesla.

Podrobný návod

Tento průvodce se zaměřuje na pochopení toho, proč opakované použití hesel vytváří riziko převzetí účtu. Je určen pro uživatele, kteří používají jedno oblíbené heslo napříč mnoha službami, takže praktickým cílem není vytvořit dramatické bezpečnostní tvrzení. Cílem je zvolit návyk s hesly, který přežije každodenní použití: přihlašovací formuláře, správce hesel, mobilní klávesnice, obnovení účtu, sdílená zařízení a občasnou službu s podivnými validačními pravidly. Bezpečné doporučení je užitečné jen tehdy, pokud ho skutečný člověk dokáže důsledně dodržovat.

Nejbezpečnějším výchozím bodem je náhodnost plus jedinečnost. Náhodnost znamená, že hodnota je vybrána z velkého prostoru kryptograficky vhodným náhodným zdrojem, nikoli vymyšlena z narozenin, jména domácího mazlíčka, vzoru na klávesnici nebo oblíbeného citátu. Jedinečnost znamená, že stejné heslo není použito nikde jinde. Heslo, které je dlouhé, ale znovu použité, může rychle selhat po jednom nesouvisejícím úniku, zatímco jedinečné náhodné heslo omezí škody na jediný účet, kde bylo použito.

Pro toto téma je praktickým výchozím nastavením jedinečná náhodná hesla pro každý účet uložená ve správci. Toto nastavení můžete použít s generátorem hesel o 16 znacích a poté výslednou hodnotu uložit do důvěryhodného správce hesel. PwdGen generuje hodnoty lokálně v prohlížeči pomocí Web Crypto; vygenerované heslo není odesláno na server PwdGen. Tento lokální design snižuje expozici na straně serveru, ale nechrání před všemi hrozbami. Škodlivé rozšíření prohlížeče, kompromitované zařízení, phishingová stránka nebo nebezpečná manipulace se schránkou mohou tajemství odhalit i po jeho vygenerování.

Nejčastějšími problémy, kterým je třeba se vyhnout, jsou credential stuffing, staré úniky dat, phishingové stránky, sdílené účty a znovu použitá obnovovací hesla. Tyto problémy jsou důležité, protože útočníci jen zřídka potřebují hrubou silou prolomit všechna možná hesla, když jim lidské návyky poskytnou zkratku. Credential stuffing, phishing, uniklé seznamy hesel a zneužití obnovení účtu jsou často realističtější než čistě matematické hledání. Proto nejlepší rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, jako je MFA, passkeys, ukládání záložních kódů a pravidelná kontrola nastavení e-mailu nebo telefonu pro obnovení.

Při aplikaci doporučení použijte tento kontrolní seznam:

• Začněte s e-mailovými a bankovními účty.
• Postupně nahrazujte znovu použitá hesla.
• Používejte správce, abyste si nemuseli pamatovat mnoho hodnot.
• Pokud je k dispozici, zapněte upozornění na úniky.

Pokud webová stránka odmítne ideální nastavení, nenuťte heslo ručně do slabšího vzoru. Upravujte vždy jen jednu proměnnou. Pokud jsou symboly odmítnuty, ponechte velká písmena, malá písmena a čísla a zvyšte délku. Pokud je maximální délka nízká, použijte největší akceptovanou délku a ujistěte se, že hodnota je jedinečná. Pokud musí být heslo čteno nahlas, vytištěno nebo zadáno na obrazovce televize či routeru, zvažte vyloučení matoucích znaků a zvýšení délky, abyste kompenzovali menší abecedu.

Nakonec si pamatujte hranice rad ohledně hesel. Silné heslo je jedna vrstva obrany, nikoli záruka. Nemůže učinit phishingovou stránku bezpečnou, opravit malware nebo kompenzovat službu, která ukládá přihlašovací údaje špatně. Užitečný návyk je nudný, ale trvanlivý: vygenerujte jedinečnou hodnotu, bezpečně ji uložte, chraňte cestu obnovení a rychle ji vyměňte, pokud máte podezření na prozrazení.

Bezpečný další krok

Po přečtení tohoto průvodce proveďte jeden malý audit účtu místo snahy opravit vše najednou. Vyberte účet, který by způsobil největší problémy, kdyby byl převzat, potvrďte, že jeho heslo je jedinečné, a zkontrolujte e-mail pro obnovení, telefon pro obnovení, metodu MFA a uložení záložních kódů. Pokud je některá část tohoto řetězce slabá, zlepšete ji, než přejdete k méně rizikovým účtům. Toto pořadí udržuje práci zvládnutelnou a chrání účty, které útočníci s největší pravděpodobností použijí jako odrazový můstek. Proč byste neměli znovu používat hesla – nejlepším výsledkem je opakovatelný návyk: generovat lokálně, ukládat opatrně a vyhýbat se opakovanému použití.

Často kladené otázky

Co je credential stuffing?

Credential stuffing je, když útočníci zkoušejí uniklé páry uživatelských jmen a hesel na jiných službách.

Je opakované použití stále rizikové, pokud je heslo silné?

Ano. Silné znovu použité heslo může stále odemknout více účtů poté, co ho jedna služba prozradí.

Co mám dělat poté, co jsem heslo znovu použil?

Změňte každý účet, který ho používal, počínaje e-mailem, bankovnictvím, prací a účty pro obnovení správce hesel.