Bezpečnostná príručka
Ako skontrolovať, či heslo nebolo uniknuté
Naučte sa bezpečné spôsoby reakcie na možné úniky hesiel bez vkladania skutočných hesiel do nedôveryhodných webov.
Zhrnutie
Ak máte podozrenie, že heslo uniklo, najbezpečnejšou reakciou je často ho nahradiť, nie vkladať do neznámych webov. Kontrola úniku môže byť užitočná len vtedy, ak má služba dôveryhodný dizajn ochrany súkromia a rozumiete tomu, čo sa odosiela.
Použite kontrolu sily hesla na lokálnu analýzu vzorov, ale nepovažujte ju za databázu únikov.
Čo urobiť ako prvé
Zmeňte heslo z dôveryhodného zariadenia. Ak bolo rovnaké heslo použité aj inde, zmeňte ho na všetkých dotknutých účtoch. Začnite s e-mailom, bankovníctvom, prácou, cloudovým úložiskom a obnovovacími účtami správcu hesiel.
Skontrolujte stav účtu
Zrušte aktívne relácie, skontrolujte nastavenia obnovovacieho e-mailu a telefónu, preverte pravidlá preposielania, odstráňte podozrivý prístup aplikácií a zapnite MFA alebo prístupové kľúče.
Podrobný návod
Tento návod sa zameriava na kontrolu, či sa heslo mohlo objaviť v únikoch bez toho, aby ste ho neopatrne vystavili. Je určený pre používateľov, ktorí počuli o úniku a chcú bezpečne zareagovať, takže praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie. Cieľom je zvoliť si návyk s heslom, ktorý prežije každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnova účtu, zdieľané zariadenia a občasná služba s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže dôsledne dodržiavať.
Najbezpečnejším východiskovým bodom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo nie je použité nikde inde. Dlhé, ale opakovane používané heslo môže zlyhať rýchlo po jednom nesúvisiacom úniku, zatiaľ čo jedinečné náhodné heslo obmedzí škodu na jediný účet, kde bolo použité.
Pre túto tému je praktickým prednastavením najprv lokálna analýza vzorov, potom dôveryhodné služby upozorňujúce na úniky, ak je to potrebné. Toto prednastavenie môžete aplikovať pomocou kontroly sily hesla a potom uložiť výslednú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, kompromitované zariadenie, phishingová stránka alebo nebezpečné zaobchádzanie so schránkou môžu tajomstvo odhaliť aj po jeho vygenerovaní.
Najčastejšie problémy, ktorým sa treba vyhnúť, sú zadávanie skutočných hesiel na neznáme weby, vyhľadávanie presných hesiel v logoch a predpoklad, že žiadny výsledok neznamená žiadne riziko. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, uniknuté zoznamy hesiel a zneužitie obnovy účtu sú často realistickejšie ako čisto matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, prístupové kľúče, ukladanie obnovovacích kódov a pravidelná kontrola nastavení obnovovacieho e-mailu alebo telefónu.
Použite tento kontrolný zoznam pri aplikovaní odporúčania:
- Po úniku zmeňte opakovane používané heslá.
- Začnite s e-mailom a vysoko hodnotnými účtami.
- Používajte len dôveryhodné nástroje na upozornenie na únik.
- Nikdy nevkladajte citlivé heslo do náhodných stránok.
Ak web odmietne ideálne nastavenie, nenuťte heslo ručne do slabšieho vzoru. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a čísla a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je jedinečná. Ak sa musí heslo čítať nahlas, tlačiť alebo písať na televíznej či routerovej obrazovke, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky na kompenzáciu menšej abecedy.
Nakoniec si pamätajte hranice rád o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér alebo kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvácny: vygenerujte jedinečnú hodnotu, bezpečne ju uložte, chráňte cestu obnovy a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.
Bezpečný ďalší krok
Po prečítaní tohto návodu urobte jeden malý audit účtu namiesto toho, aby ste sa snažili opraviť všetko naraz. Vyberte účet, ktorý by spôsobil najviac problémov, keby bol ovládnutý, potvrďte, že jeho heslo je jedinečné, a skontrolujte obnovovací e-mail, obnovovací telefón, metódu MFA a uloženie záložných kódov. Ak je niektorá časť tohto reťazca slabá, zlepšite túto časť pred prechodom na účty s nižším rizikom. Toto poradie udržuje prácu zvládnuteľnú a chráni účty, ktoré útočníci s najväčšou pravdepodobnosťou použijú ako odrazový mostík. Pre zistenie, či heslo uniklo, je najlepším výsledkom opakovateľný návyk: generovať lokálne, starostlivo ukladať a vyhýbať sa opätovnému použitiu.
Často kladené otázky
Mám vložiť svoje heslo do náhodných stránok na kontrolu úniku?
Nie. Používajte len dôveryhodné služby na kontrolu únikov s jasným dizajnom ochrany súkromia, alebo heslo radšej zmeňte, než ho testujte.
Čo mám robiť po úniku?
Zmeňte dotknuté heslo, zmeňte opakovane používané heslá, zrušte relácie, skontrolujte nastavenia obnovy a zapnite MFA.
Môže PwdGen kontrolovať databázy únikov?
Nie. PwdGen poskytuje lokálne odhady sily a času na prelomenie, nie vzdialené vyhľadávanie uniknutých hesiel.