Najdete se v „Collection #1", nejnovější OBROVSKÉ databázi e-mailů a hesel?
Od poloviny ledna oblétá svět zpráva o novém úniku obrovské databáze s kombinacemi e-mailových adres a hesel.
Bezpečnostní analytik Troy Hunt nahrál 773 milionů jednotlivých e-mailových adres a 21 milionů unikátních hesel ze souboru dat nazvaného Collection #1 na svoji velmi užitečnou webovou stránku Have I Been Pwned, kde mohou uživatelé zjistit, zda byl jejich e-mail napaden při nějakém úniku dat.
Jedná se o dost velká čísla a je to zatím největší počet, který Hunt kdy na své stránce zveřejnil. Máme ale důvod k panice? A co to znamená pro vás?
Déjà vu?
Brianu Krebsovi, novináři zabývajícímu se informační bezpečností, se podařilo spojit s někým, kdo prodává databázi Collection #1 na internetu. Podle Krebse tento člověk tvrdil, že údaje, které nabízí za 45 dolarů, jsou dva až tři roky staré. Prodejce také uvedl, že data pocházejí z „obrovského počtu napadených stránek“.
Ač se tedy jedná o velmi rozsáhlý soubor, nejsou to data nová. Hunt ale říká, že 140 milionů e-mailových adres je nově na Have I Been Pwned. I když už tedy byly odcizeny dávno, teď o tom víte a můžete zjistit, jestli byla i vaše adresa útoky zasažena. Také se můžete dozvědět, zda některé z vašich hesel nekoluje ve známých databázích ukradených dat. (Přestaňte používat všechna, která tam jsou!)
Tyto typy databází se běžně šíří mezi kyberzločinci. Mohou být použity pro tzv. credential stuffing, typ útoku, kdy se počítačoví podvodníci pokouší zadat dané kombinace uživatelského jména a hesla na stránkách různých služeb a zjišťují, kde fungují. Používají k tomu automatizované nástroje, aby vše proběhlo rychle. A podle Krebsových zpráv jsou uniklé přihlašovací údaje také užitečné pro phishing, vydírání a další nepřímé útoky.
Bezpečné návyky
Ačkoliv to, že vyplavala na světlo data ze starých úniků, není důvod k panice, je to skvělá příležitost, jak trochu pozvednout úroveň vaší péče o hesla, pokud jste tak ještě neučinili. To znamená jako vždy následující:
Pro každý z vašich účtů používejte jedinečné a silné heslo. Jedinečné znamená speciální pro každý účet a silné znamená složité a dlouhé. Více o tom zde.
U nejdůležitějších a nejcitlivějších účtů si nastavte dvoufázové ověření. Díky tomuto kroku navíc bude hacker potřebovat nejen heslo, ale i fyzický přístup k vašemu zařízení, aby se do vašeho účtu dostal.
Používejte správce hesel jako F-Secure KEY, který je nyní součástí F-Secure TOTAL. Správce hesel umožňuje hladce a jednoduše vytvořit jedinečné, dlouhé a silné heslo pro kterýkoliv váš účet. Bonus: KEY vás také aktivně upozorní na závažné úniky dat, takže se o nich zavčas dozvíte.
Dát všechna hesla do pořádku vyžaduje trochu úsilí, ale určitě to stojí za klid, který vám to přinese. Pokud používáte pro každý účet jedinečné heslo a vaše přihlašovací údaje budou zcizeny při nějakém úniku dat, budete muset změnit pouze heslo pro jednu dotčenou službu. To je rozhodně mnohem jednodušší než se snažit vzpomenout si, na kterých dalších službách máte stejné heslo.
Nové návyky chtějí čas a mohou trochu nahánět strach, začněte tedy zlehka, pokud vám to pomůže. Pořiďte si F-Secure TOTAL s aplikací KEY a zadejte tam každý den pouze jeden účet. Za několik týdnů nebo měsíců, podle toho, kolik jich máte, může být o všechny vaše účty dobře postaráno. To zní jako skvělý způsob, jak odstartovat nový rok.