Čas od času se na internetu objeví zpráva o tom, že se hackerům podařilo získat hesla od uživatelů z různých aplikací apod. Vzhledem k tomu, že mnoho lidí používá všude stejná hesla, tak se v případě tzv. „leaku“ (úniku) mohou útočníci dostat prakticky kamkoliv. Ať už na váš Facebook, anebo třeba do internetového bankovnictví. Existují různé portály, které tato uniklá hesla shromažďují. Vy si poté můžete jednoduše zjistit, zdali bylo vaše heslo ukradeno, či nikoliv. Do operačního systému iOS se však nedávno dostala nová zkratka, pomocí které můžete i vy jednoduše zjistit, zdali bylo vaše heslo ukradeno. Pojďme se prostřednictvím tohoto článku podívat, jak na to.
Mohlo by vás zajímat
Uniklo vaše heslo na internet?
Zkratku, o které jsem mluvil v úvodu, můžete stáhnout pomocí tohoto odkazu. Pokud instalujete zkratku z iOS 13, tak je nutné, abyste si v Nastavení -> Zkratky aktivovali možnost Povolit nedůvěryhodné zkratky – v opačném případě zkratku nebudete schopni přidat, jelikož se nenachází v oficiální galerii zkratek. Po přidání zkratky už vám nezbývá nic jiného, než ji spustit. Průběh zjišťování je velice jednoduchý. Zadáte (vaše) heslo, u kterého chcete zjistit, zdali nedošlo k úniku. Poté klikněte na OK a vyčkáte, dokud se celá zkratka neprovede. V závěru budete informováni o tom, zdali došlo k úniku vašeho hesla, či nikoliv. Ke zjištění je nutné, abyste byli připojeni k internetu.
Teď se možná zarážíte nad tím, kdo by sakra psal své heslo do nějaké zkratky. Vždyť přece tím, že ho někam zašlete, tak jej může kdokoliv zneužít. Nemáte pravdu. Tato zkratka funguje tak, že vezme prvních pět znaků z vašeho hesla, které poté zašifruje (hashuje – pro znalejší) a odešle na stránku pwnedpasswords.com. Odsud se poté zjistí, zdali došlo k úniku, či nikoliv, a poté dostanete zprávu pocházející právě z již zmíněné stránky. Není se tedy čeho bát a můžete mít jistotu, že své heslo nikomu nezasíláte. Pokud byste měli obavy, tak si samozřejmě můžete jednoduše zobrazit naprogramování zkratky, ve které jsou zobrazeny všechny kroky. Strukturu zkratky přikládám v galerii níže.
Fotogalerie
Umna v pohode bez ujmy :)
To vypadá nějak podivně. Daleko lepší služba je https://haveibeenpwned.com. Tam stačí jen email
„Tato zkratka funguje tak, že vezme prvních pět znaků z vašeho hesla, které poté zašifruje a odešle na stránku pwnedpasswords.com. Odsud se poté zjistí, zdali došlo k úniku, či nikoliv“
Pokuď to doopravdy funguje takto, tak je to opravdu nesmysl. Příklad: Unikne heslo – heslo123 a já mám heslo – hesloUSH3IW4D.
Prvních pět znaků se shoduje
A vsadím se, že to ty znaky nešifruje, jak se píše v článku nýbrž hashuje
Tato zkratka funguje ke zjištění toho, zdali na internet uniklo vaše HESLO, nikoliv e-mail.
Jako nesmysl mi to rozhodně nepřijde. Pokud unikla alespoň část hesla na internet, tzn. prvních 5 znaků, tak dopátrání těch zbývajících už je většinou jednoduché. Pokud máte heslo „pejsek11“ a někdo zjistí, že je na začátku hesla slovo „pejsek“, tak ono číslo „11“ v podobě dvou znaků už je celkem jednoduché rozšifrovat.
Se šifrováním máte pravdu, to bylo v článku uvedeno ke zjednodušení, jelikož mnoho uživatelů neví, co „hashování“ znamená a slovo šifrování je jim určitě bližší.
Úniklé hesla by měli být vždy provázané s mailem. Takto funguje https://haveibeenpwned.com.
Uniklé databáze jsou ve tvaru – email : hash.
Mě může být jedno, že nějaké osobě xxx v zemi yyy na portálu zzz uniklo heslo, protože útočník ho nebude zkoušet u mě a osob jiných než-li té se kterou je heslo spojeno.
Podle toho co tvrdíte, tak pokuď bude mít v nějaké databázi třeba nějaký Nizozemec heslo pejsek a vy se bude chtít dostat do účtu nějaké Čecha. Tak rozhodně budete zkoušet přidávat čísla do hesla nějakého cizince :) . Ono to je ve výsledku stejně jedno, protože většina serveru, když nemá prostý text, tak má hesla v MD5 a to je pomalu, jak kdyby to bylo bez hashe.
Navic za https://haveibeenpwned.com/ stoji Troy Hunt. Je to clovek ktery se bezpecnostni zabejva dlouhodobe, 9 let je Microsoft MVP a v ramci tohoto programu i Regional Director (ma na starosti dalsi MVP ale neni zamestnanec MS, je na volne noze).
Rozhodne bych nikam neposilal heslo at si kdo chce, co chce, rika – email staci
Jasně, určitě budu někam psát své heslo… Aby se zjistilo jestli neuniklo… Přemýšlí tu vůbec někdo?
Nechci se hádat, ale jestli mi moje heslo někam uniklo a někdo se snaží na mě připojit (icloud a další služby od apple vč. nastavení nového telefonu atd), tak mám zapnuté dvou-faktorové ověření = pokud nic nedělám já nebo nedej bože někdo z mých dvou spolubydlících (žena/kluk), kteří znají mé heslo do telefonu a teoreticky toto mohou udělat (pro případ kdyby se mi něco stalo a potřebovali si stáhnout má data) = budou mít i moje telefony kam půjde ověření, mi toto přijde rada jen pro hňupy. Opravdu jen „blbec“ bude posílat své heslo někam a věřit tomu že je šifrované.