Každý den se dočítáme o tom, že nějaká webová stránka nebo webová služba byla „hacknuta“ a že byla ukradena data o jejích uživatelích. Otázka zní – jak webové stránky ukládají vaše hesla a jsou skutečně v bezpečí?
Pokud jste v poslední době navštívili nějaké IT portály, mohli jste se jistě dočíst o tom, že kdejaká stránka byla hacknuta, data o jejich uživatelích ukradeny a podobně. Nemluvíme přitom o nějakých obskurních a málo navštěvovaných webových stránkách. Může se jednat o Google, Facebook, LinkedIn nebo Reddit. Nedávno byl například hacknut LinkedIn, kde byla ukradena data více než 700 milionů uživatelů.
Jednou z nejhorších věcí, kterou vám mohou hackeři provést, je zneužití vašeho hesla a uživatelského jména. Tímto způsobem mohou „vymést“ váš bankovní účet, pomocí kterého jste předtím prováděli nákupy na internetu, platili účty, hráli hazardní hry, třeba i ve věhlasných kasinech na těchto stránkách. Taková věc se vám může stát zejména, pokud nedodržujete bezpečnostní doporučení a používáte stále stejnou kombinaci přihlašovacích údajů na několika webových stránkách zároveň. Síla zabezpečení vašeho hesla však nezávisí jen na vás, ale také na stránkách, na kterých si vytváříte uživatelský účet.
Vyvstává tedy otázka – jak webové stránky ukládají vaše heslo do své databáze? Jak zajišťují jeho důvěrnost? Kdo má k heslům přístup?
Nejhorší scénář: Prostý text
Představte si tuto situaci: velká a populární webová stránka byla napadena hackery. Hackeři prolomili všechny ochranné vrstvy, kterými daná webová stránka disponuje, a mohli případně i využít chyb v používané architektuře. Jste uživatelem tohoto webu. Dotyčná webová stránka zašle e-mail, že měla problémy se zabezpečením, ale že vaše údaje jsou v bezpečí, až na to, že hesla jsou uložena jako „prostý“ text. Takové databáze, v nichž jsou hesla nešifrovaná, představují jeden velký problém. Neexistuje zde žádný šifrovací algoritmus, který by je alespoň trochu uchránil. Hackeři si mohou vaše heslo jednoduše přečíst a je to. A zde nezáleží na tom, jak složité heslo máte. Můžete mít heslo o 18 znacích, používat velká i malá písmena, speciální znaky… pokud je takto zadáno v paměti, může každý kdo má přístup k databázi vaše heslo jednoduše získat. Nemusí to být ani hackeři. Například obyčejný zaměstnanec společnosti, který má přístup do provozní databáze, protože řekněme pracuje na vývoji webových stránek, může vaše heslo vidět také.
Možná si myslíte, že jde o problém, který se vyskytuje jen zřídka, ale není tomu tak. Podle některých odhadů nemá přibližně 30 % webových stránek elektronických obchodů vůbec chráněné osobní údaje. Jak to nejsnáze rozpoznáte? Když vám po registraci pošlou e-mail, ve kterém uvidíte své uživatelské jméno a heslo. Pak se na web znovu přihlaste, změňte si heslo, pokud již podobné používáte někde jinde a napište jim e-mail, že jejich zabezpečení je katastrofální. Ve skutečnosti doporučujeme na takových stránkách vůbec nenakupovat a neposkytovat jim žádné osobní údaje. Samozřejmě to není přímý důkaz toho, že hesla tam skutečně ukládají jen v prostém textu, ale je velmi vysoká pravděpodobnost, že tomu tak skutečně je. Koneckonců by vám takové informace neměli ani posílat e-mailem, protože kdokoliv si může jednoduše tento e-mail přečíst.
Na závěr této kapitoly je potřeba si uvědomit, že žádný systém není bezchybný a stoprocentně bezpečný, ale někde nedodržují ani základní bezpečnostní protokoly při vytváření webových stránek a ochraně uživatelských dat.
Není to až tak dobré, jak to vypadá: Šifrovaná hesla
Co dělají mnohé webové stránky pro zvýšení bezpečnosti vašich hesel? Používají šifrování. Šifrovací mechanismus v podstatě změní vaše heslo na nečitelný řetězec znaků, který nelze dešifrovat bez soukromého klíče. Přesněji řečeno dvou klíčů – jeden má společnost a druhý vy (váš je v podobě přihlašovacích údajů). V tomto případě tedy platí, že i když někdo získá vaše zašifrované heslo, nebude s ním moci nic moc dělat.
Šifrování byste měli používat všude, kde to jde. FaceID v iPhonu představuje také určitý druh šifrování. Přístupový kód je šifrování. Celý internet je postavený na šifrování. Ale ať slýcháte, co slýcháte, šifrování není zdaleka bezchybné. Je stejně bezpečné jako klíče uložené na serverech společnosti, která vlastní webové stránky. Nebudeme zacházet do přílišných podrobností, ale pokud hackeři najdou oba klíče na daném serveru, mohou se ihned dostat k vašemu heslu. Je to prakticky stejné, jako kdyby bylo heslo zapsáno v prostém textu. Proto existují webové stránky jako PlainTextOffenders, na kterých je zveřejněn seznam služeb, které používají nevhodné šifrování, jež lze snadno dešifrovat.
Až překvapivě jednoduché (ale ne vždy účinné): "Hashing"
„Hashing“ hesel může znít podivně, ale jedná se o daleko bezpečnější formu šifrování. Místo toho, aby webová stránka uchovávala vaše heslo v prostém textu, zpracuje ho pomocí hashovací funkce (například MD5, SHA-256 a dalších) a uloží do své databáze. Stává se tak zcela nečitelným, což znamená, že s ním nelze nic dělat.
Představte si, že vaše heslo je „CaliforniaBeat123!“. Když ho proženete hashovací funkcí SHA-1, dostanete něco jako „1d43f94e73cc84882b8f24c97541ce3109e3a312“. A skvělé na tom je je, že to funguje pouze v jednom směru. Tento řetězec nemůžete dekódovat a získat z něj původní řetězec. Bohužel ani to není záruka nejvyšší bezpečnosti. Je to sice lepší než prostý text, ale i to hackeři – částečně – dokázali prolomit.
Použijete-li konkrétní hashovací funkci, například algoritmus SHA-1, znamená to, že jeden řetězec znaků bude mít vždy stejný výstup. „CaliforniaBeat123!“ se bude vždy zobrazovat jako „1d43f94e73cc84882b8f24c97541ce3109e3a312“. Proto hackeři vytvořili takzvané „duhové tabulky“. Představte si je, jako tahák. Mají seznamy hashů a hesel a pomocí nich je dokáží porovnávat s vaším hashem. Pokud vaše heslo ve svém taháku nenajdou, mohou se pokusit ho získat takzvanou technikou hrubé síly, zejména tehdy, pokud vědí, jaký algoritmus hash se u daného hesla používá. U delších a složitějších hesel jim to samozřejmě bude trvat déle, takže v tomto případě je mnohem lepší použít heslo např. „8ErbH!234@;9k2“ než „heslo123“ nebo „qwer1234“. Ale ani v tomto případě si nemůžete být jistí, že je to stoprocentně bezpečné.
Možná nejlepší možnost v současnosti: Přidání takzvané soli "Salt" k "Hashing"
Nic není nemožné prolomit. Hackeři vždy najdou způsob, jak proniknout do nových bezpečnostních systémů. Pokud však webová stránka implementuje všechny bezpečnostní standardy a používá „smart“ hashe, znepříjemní tím hackerům život, často do té míry, že se pokusů o krádež dat raději vzdají.
„Salted hashes“ jsou jedním z těch nejlepších bezpečnostních protokolů, které by se měli vždy používat, pokud chcete jako provozovatelé webových stránek skutečně chránit své uživatele. Zjednodušeně řečeno – při vytváření hesla web vygeneruje dlouhý a složitý řetězec znaků pro každého jednotlivého uživatele. Pro každého uživatele je tedy nastaven jedinečný řetězec znaků. Tento řetězec se pak přidá na začátek nebo konec hesla a následně se převede přes hashovací funkci. Dříve zmíněné „duhové tabulky“ tedy hackerům příliš nepomohou. Obecně je jedno, zda je „Salt“ (zmíněný řetězec znaků generovaný pro každého uživatele) uložen na serveru spolu s hesly, nebo ne. Hackerům by trvalo až příliš dlouho, než by takovou ochranu prolomili. Navíc pokud máte složité heslo, je pro hackery prakticky nemožné vaši kombinaci uhodnout.
Webové stránky, které dbají na zabezpečení hesel a na vaši celkovou bezpečnost, budou používat osvědčené a bezpečné hashovací algoritmy, jako jsou (MD-5, SHA-1, SHA-256)… Jejich implementace je pro vývojáře poměrně snadná a hackerům to znesnadní život. Kromě toho je pro webové stránky velmi užitečné přidat do systému omezení počtu přihlašování. To znamená, že když uděláte chybu při zadávání hesla, nemůžete se následujících 5 sekund znovu přihlásit. Pokud zadáte špatné heslo znovu, bude tato doba prodloužena na 10 sekund, pak 20 sekund, 40 sekund atd. To zabraňuje hackerům v útocích hrubou silou ve snaze vyzkoušet milion hesel za hodinu.
Koneckonců, počítačoví zločinci budou vždy zvažovat, kolik času musí strávit hackováním takových webových stránek a jaký z toho budou mít „zisk“. Obvykle to vzdají, když vidí, že vy a používané webové stránky máte zavedeny všechny bezpečnostní mechanismy.
64 programů nově za 139 Kč
Hudební, zpravodajské nebo třeba dokumentární kanály, které jsou v naší NejPřipojení TV, jsou nyní nově k mání za pouhých 139 Kč. V rámci této výhodné nabídky získají naši zákaznici 64 programů, které budou moci využívat na jednom zařízení.
Autor: Redakce NejPřipojení.cz 7.12.2020
Pozor na Vánoční dárky operátorů!
Vánoce jsou za dveřmi a operátoři se už nějakou dobu předhání v tom, který z nich připravil pro klienty lepší nabídku. Můžeme tedy poměrně jednoduše zjistit, kdo svým klientům skutečně nachystal nějaké výhody a kdo se snaží zákazníka pouze nalákat a udržet pomocí splátek.
Autor: Redakce NejPřipojení.cz 30.11.2020
Čtvrtý operátor nebude
Ze zveřejněných výsledků je jasné, že pásmo 700 MHz, které by nový celoplošný operátor potřeboval k vybudování sítě, si mezi sebou nakonec vydražila silná trojka T-Mobile, O2 a Vodafone.
Autor: Redakce NejPřipojení.cz 16.11.2020
Elon Musk rozjíždí satelitní internet
Satelitní internet Starlink, jehož autorem je podnikatel a vynálezce Elon Musk, už má své první uživatele.
Autor: Redakce NejPřipojení.cz 2.11.2020
Konspirační teorie kolem 5G rozjíždí obchod se strachem
Poplašné zprávy o tom, že 5G sítě mohou být škodlivé lidskému zdraví, se s nástupem superrychlého internetu objevují na sociálních sítích a ve virtuálních médích v poměrně pravidelných intervalech.
Autor: Redakce NejPřipojení.cz 12.10.2020
Jak získat internet, když jsem v SOLUSU?
Získat „status“ dlužníka či neplatiče není v dnešní době nijak složitá věc. Člověk se dostane do rejstříku SOLUS celkem snadno. V mnoha případech si tak znepříjemní život kvůli banální částce nebo opomenutí.
Autor: Redakce NejPřipojení.cz 1.6.2020
Novela zákona o elektronických komunikacích
Je potřeba zdůraznit, že se nejedná pouze o změny v oblasti mobilních volání, ale také v oblasti poskytování služeb internetu.
Autor: Redakce NejPřipojení.cz 28.3.2020
1.4. zaniká značka UPC
Symbol kabelového internetu a televize, společnost UPC, začátkem dubna oficiálně končí na českém trhu. Už 1. srpna loňského roku odstartovalo slučování UPC a Vodafonu a za čtrnáct dní bude jejich fůze oficiálně dokončená.
Autor: Redakce NejPřipojení.cz 16.3.2020
1.4.2020 celoplošný konec úvazků!
1.4.2020 vejde v platnost novela zákona, která zamezí pokutování zákazníků za předčasné ukončení smluv.
Autor: Redakce NejPřipojení.cz 3.2.2020
Spravujte své soukromí
Funkční Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si účastník nebo uživatel výslovně vyžádal, nebo pouze pro účely provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Uživatelské
Technické úložiště nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány účastníkem nebo uživatelem.
Statistické
Technické úložiště nebo přístup, který se používá výhradně pro statistické účely.
The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketingové
Technické úložiště nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo na několika webových stránkách pro podobné marketingové účely.
Statistiky
Marketing
Funkce
Vždy aktivní
Vždy aktivní