Datové úniky se dějí pravidelně — LinkedIn (2012, 165 mil. hesel), Yahoo (2013, 3 mld. účtů), Adobe (2013), Equifax (2017), LastPass (2022), MOVEit (2023). Pokud jste někdy používali některou z těchto služeb se stejným heslem jinde, je vaše heslo na temném webu k prodeji. Tady je, jak to zjistit a co dělat.
Postup krok za krokem
- Web haveibeenpwned.com (vytvořený bezpečnostním expertem Troyem Huntem, důvěryhodný) — zadejte svůj e-mail a uvidíte, ve kterých únicích jste se objevili. Bezplatné, anonymní (e-mail neuloží).
- Stejný web má sekci pro zkontrolování konkrétního hesla. POZOR: nezadávejte tam přímo heslo — používá hash (SHA-1, prvních 5 znaků), takže váš plný hash neopouští prohlížeč. Pokud heslo je v databázi, byly už ukradeno.
- Pravidlo: pokud jedno heslo uniklo, všechny účty se stejným heslem jsou ohrožené. Začněte e-mailem (master key), pak banka, pak sociální sítě, pak vše ostatní. Použijte unikátní silné heslo pro každou službu.
- I když útočník zná heslo, bez 2FA kódu se nepřihlásí. Preferujte aplikační autentikátor (Google Authenticator, Authy) před SMS — viz Co je 2FA.
- Zkontrolujte historii přihlášení (Google → Security → Active devices, podobně Facebook, Microsoft). Banka — historie operací za poslední dny. Pokud vidíte neznámé přihlášení nebo platbu, ihned reagujte (změna hesla z čistého zařízení, blokace karty).
- Bitwarden (zdarma), 1Password, KeePass — vygeneruje a uloží unikátní silné heslo pro každou službu. Vy si pamatujete jen jedno master heslo. Po datovém úniku je to nejúčinnější obrana.