19 miliard uniklých hesel: Jak se chránit?

Hesla jsou zastaralá a je načase, aby se jak technologické firmy, tak uživatelé posunuli dál. Největší slabinou kybernetické bezpečnosti je cokoli, co závisí na lidském vstupu. Zatímco organizace investují do firewallů a zabezpečení koncových bodů, nejtrvalejší zranitelností zůstává lidské heslo.

Internet se dlouhodobě potýká s nedostatečnými návyky v oblasti hesel, ale nedávný objev zdůrazňuje, jak vážný je tento problém. Výzkumníci v oblasti zabezpečení odhalili více než 19 miliard nově uniklých hesel shromážděných ze stovek narušení mezi dubnem 2024 a dubnem 2025. Neuvěřitelných 94 % z těchto hesel bylo buď znovu použito, předvídatelné, nebo obojí.

Mezi dubnem 2024 a dubnem 2025 se data z téměř 200 samostatných incidentů v oblasti kybernetické bezpečnosti, jak zjistila společnost Cybernews, stala veřejně dostupnými. Nebylo to ojedinělých událostech. Zahrnovaly masivní úložiště uniklých dat, včetně kombinačních seznamů, protokolů z krádeží dat a kompromitovaných databází. Celkem bylo analyzováno přes 3 terabajty syrových uniklých dat, obsahujících více než 19 miliard hesel. Pouze 6 procent z nich, něco málo přes 1,1 miliardy, bylo jedinečných.

Mezi nejčastěji používanými hesly se heslo „123456“ objevilo ve více než 338 milionech instancí. Hesla jako „Heslo“ a „admin“ následovala těsně za ním, navzdory letům veřejných varování. Takové výchozí hodnoty často pocházejí ze zařízení, jako jsou směrovače nebo podnikové nástroje, kde se jen zřídka mění a často se znovu používají jinde.

Osobní jména zůstávají běžným vzorem. Jméno „Anna“ se objevilo v téměř 179 milionech hesel, následované nespočetnými dalšími křestními jmény a kombinacemi jmen. Pop kultura, jídlo, města a dokonce i sprostá slova byla častými tématy. Slova jako „Mario“, „láska“, „pizza“, „Řím“ a různé sprostá slova nebyly jen kreativní volbou. Nyní jsou bezpečnostním rizikem.

Ještě horší je, že útočníci už nemusí hádat. Mají automatizaci. Nástroje pro plnění pověření nyní procházejí miliardami známých hesel napříč stovkami platforem a narušují účty s úspěšností až 2 %. To se rovná tisícům kompromitovaných profilů, bankovních účtů, e-mailů a cloudových nástrojů každý den.

Podle výzkumnice CyberNews Neringy Macijauskaite není hlavním problémem jen slabá hesla, ale jak často se znovu používají. Pouze šest procent hesel je jedinečných. Pro většinu uživatelů závisí bezpečnost zcela na dvoufaktorové autentizaci, pokud je vůbec povolena.

Většina hesel má mezi 8 a 10 znaky, přičemž 8 je nejběžnější. Asi 27 procent z nich obsahuje pouze malá písmena a číslice, což je činí vysoce zranitelnými vůči útokům hrubou silou. Méně než 20 procent používá kombinaci velkých a malých písmen a čísel a pouze malá část zahrnuje symboly.

Navzdory rozsáhlému vzdělávání zůstávají návyky uživatelů statické, ale objevil se jeden pozitivní trend. V roce 2022 používalo kombinaci malých a velkých písmen, čísel a symbolů pouze jedno procento hesel. Nyní se toto číslo zvýšilo na 19 procent, pravděpodobně v důsledku přísnějších požadavků na hesla napříč platformami.

Opětovné použití nebo slabá hesla představují obrovskou hrozbu, nejen pro jednotlivce, ale i pro organizace. Jedno kompromitované heslo může spustit dominový efekt, odhalující více účtů napříč službami. Zvažte použití správce hesel pro generování a ukládání komplexních hesel.

Ochrana vašich dat vyžaduje kombinaci chytrých bezpečnostních návyků a spolehlivých nástrojů. Zde je čtyři efektivní způsoby, jak udržet vaše informace v bezpečí:

1. Povolte dvoufaktorovou autentizaci (2FA): I když je vaše heslo odcizeno, 2FA přidá další vrstvu zabezpečení tím, že vyžaduje druhou formu ověření, například kód z autentizační aplikace nebo biometrické potvrzení. Kyberzločinci se spoléhají na odcizená uživatelská jména a hesla k vniknutí do účtů, ale s povolenou 2FA nemohou získat přístup bez dalšího bezpečnostního kroku. Ujistěte se, že máte povolenou 2FA na důležitých účtech, jako je e-mail, bankovnictví a pracovní přihlášení.

2. Používejte silný antivirový software a buďte opatrní s downloady a odkazy: Malware Infostealer je hlavní příčinou, proč je vaše heslo venku. Často se šíří prostřednictvím škodlivých souborů ke stažení, phishingu e-mailů a falešných webových stránek. Vyvarujte se stahování softwaru nebo souborů z nedůvěryhodných zdrojů a vždy dvakrát zkontrolujte odkazy, než na ně kliknete. Útočníci maskují malware jako legitimní software, cheaty na hry nebo cracknuté aplikace, takže je nejlepší držet se oficiálních webových stránek a obchodů s aplikacemi pro stahování.

Nejlepším způsobem, jak se chránit před škodlivými odkazy, které instalují malware a potenciálně získávají přístup k vašim soukromým informacím, je mít nainstalovaný silný antivirový software na všech vašich zařízeních. Tato ochrana vás může také upozornit na phishingové e-maily a výkupné, čímž ochrání vaše osobní údaje a digitální aktiva.

3. Udržujte software aktualizovaný: Kyberzločinci zneužívají zastaralý software k doručování malwaru. Udržování operačního systému, prohlížečů a bezpečnostního softwaru aktuálního zajišťuje, že známé zranitelnosti jsou opraveny. Pokud je to možné, povolte automatické aktualizace a nainstalujte renomovaný antivirový nebo koncový ochranný software, který dokáže detekovat a blokovat hrozby Infostealer, než ohrozí váš systém.

4. Zvažte službu pro odstraňování osobních údajů: Tyto služby vám mohou pomoci odstranit vaše osobní údaje z webů zprostředkovatelů dat, čímž snížíte riziko krádeže identity, spamu a cílených podvodů. I když žádná služba nemůže zaručit úplné odstranění vašich dat z internetu, služba pro odstraňování dat je opravdu chytrou volbou. Tyto služby udělají veškerou práci za vás aktivním monitorováním a systematickým mazáním vašich osobních údajů ze stovek webových stránek. Omezením dostupných informací snižujete riziko, že podvodníci budou křížově odkazovat data z narušení s informacemi, které by mohli najít na dark webu, což jim ztíží zaměření na vás.

Hesla už prostě nestačí. Obrovský počet uniklých hesel a skutečnost, že jen málo z nich je jedinečných, ukazuje, jak zranitelní skutečně jsme. Kyberzločinci jsou stále chytřejší a rychlejší, ale nemusíme jim to usnadňovat. Používáním správce hesel, povolením dvoufaktorové autentizace, udržováním softwaru aktuálního a zvažováním dalších nástrojů pro ochranu soukromí můžeme získat zpět určitou kontrolu nad touto situací. Změna starých návyků může vyžadovat trochu úsilí, ale klid, který získáte, za to stojí.