Seyfor StoreKontakt
MENU Zavřít

Password attacks: hesla jako cíl kyberzločinců

  • Mgr. Jan Kozák
  • 25. 2. 2025
  • 8 minut čtení

Přihlašovací údaje jsou bránou k vašim citlivým datům, firemním systémům i osobním účtům. Pokud padnou do rukou útočníků, mohou způsobit obrovské škody – od narušení soukromí přes úniky firemních informací až po finanční ztráty. Z toho důvodu je třeba se mít na pozoru před způsoby, jakými mohou narušitelé vaše hesla prolomit. Přečtěte si, o jaké metody se jedná a jak svá hesla chránit.

Jaké jsou nejčastější metody útoků na hesla?

Kybernetické útoky na přihlašovací údaje mají mnoho podob. Některé jsou jednoduché, jiné o poznání sofistikovanější, ale všechny mohou vést ke stejnému výsledku neoprávněnému přístupu k vašim datům. V praxi se nejčastěji setkáváme s následujícími typy útoků.

Phishing

Phishing je jedním z nejběžnějších a nejúčinnějších způsobů, jak útočníci získávají přihlašovací údaje. Jejich provedení je prosté – útočník zašle oběti (či obětem) e-mail, SMS či jiný druh zprávy, která více či méně zdařile napodobuje komunikaci důvěryhodné osoby, instituce nebo nadřízeného. Obvykle v této zprávy naleznete výzvu k zadání přihlašovacích údajů podpořenou psychologickým tlakem v podobě nejrůznějších naléhavých výzev (např. "Vaše heslo vypršelo", nebo "Nezaplacená faktura".). Pokud oběť své údaje zadá, spadne mu vaše heslo přímo do klína.

TIP: Nepodceňujte hrozbu phishingu. Přečtěte si, jak phishing funguje a jak se před ním chránit.

Útoky hrubou silou (brute force)

Při brute force útoku narušitelé nasazují speciální software, který vysokou rychlostí zkouší nejrůznější kombinace znaků, dokud neuhodne správné heslo. Tento druh útoku je často automatizovaný a pokud je daný software dostatečně výkonný, zvládá otestovat i tisíce kombinací za vteřinu.

Touto metodou útoku jsou nejvíce zranitelná slabá hesla (např. "password" nebo "12345"), které tyto softwarové nástroje dokážou prolomit za méně než vteřinu. Se zvyšováním výpočetního výkonu počítačů a nástupem technologií strojového učení se pak nebezpečnost brute force útoků jen zvyšuje.

Slovníkové útoky

Tento druh útoku je variací na brute force, místo náhodných kombinací ale dotyčný software používá předem připravené seznamy nejběžnějších hesel (tj. jména, fráze, jednoduché sekvence čísel, data či často používaná hesla). I zde útočníci spoléhají na pohodlnost uživatelů, kteří volí často zapamatovatelná hesla na úkor bezpečnosti. Slovníkové útoky jsou obvykle rychlejší než brute force, na druhou stranu jsou ale méně účinné vůči ne-slovním kombinacím znaků.

Keyloggery

Pojmem keylogger označujeme formu malwaru navrženého tak, aby zachycoval stisknuté klávesy. Keyloggery se obvykle ukrývají v přílohách e–mailů, mohou ale být staženy i nepozorovaně při procházení webových stránek. Nemusí přitom jít jen o podezřelé weby – již byly zaznamenány případy, kdy útočníci infikovali například stránky pizzerií či jiné často navštěvované a samy o sobě neškodné weby.

Po nahrání do počítače oběti pak keylogger pracuje na pozadí a doslova "nahrává" veškeré údaje zadané skrze klávesnici – kromě hesel může jít i o čísla platebních karet, PIN kódy, jména a telefonní čísla a mnoho dalších údajů. Program následně zaznamenaná data odesílá útočníkům, kterým už stačí hesla jen použít.

Jak uživatelé nevědomky útočníkům usnadňují práci?

Nejčastější chybou uživatelů je používání příliš jednoduchých hesel. To dokládá i pátý ročník studie NordPass, podle kterého byla v roce 2023 nejčastější následující hesla:

  • admin,
  • 123456,
  • 123456789,
  • Heslo1234.

Co mají tato hesla společného?

  • Nedostatečná délka: čím kratší heslo je, tím méně času útočníci potřebují pro jeho prolomení. U skutečně krátkých hesel je pak jejich překonání otázkou zlomků vteřiny.
  • Předvídatelnost: vzhledem k jejich četnosti a jednoduchosti jsou tato hesla vysoce zranitelná vůči slovníkovým útokům. Podobně předvídatelné jsou například i datumy narození, jména či celá slova.
  • Jednoduchost: pokud je heslo psáno stejnou velikostí písma či je tvořeno jen jedním druhem znaků (např. celočíselné nebo celotextové kombinace), musí se útočníci propracovat výrazně nižším počtem kombinací.

Velkým problémem je také používání stejných hesel napříč různými službami a aplikacemi. Útočníkům v takovém případě stačí prolomit pouze jedno heslo a získá přístup k řadě dalších účtů, od e-mailových klientů přes pracovní účty až po účty u nejrůznějších institucí.

Zde se nabízí otázka, proč tedy taková hesla lidé používají? Častým důvodem je prostá pohodlnost. Se vzrůstajícím počtem služeb, aplikací a stránek vyžadujících přihlášení si lidé volí snadno zapamatovatelná (či stejná) hesla, díky nimž si snáze udržují přehled o přihlašovacích údajích. Risk kybernetického útoku je v takových případech buď podceňován, případně rovnou ignorován v duchu postoje "To se mi stát nemůže."

Co všechno riskujete použitím slabých hesel?

  • Neoprávněný přístup k citlivým datům: získáním hesla se útočníkům otevírají dveře k veškerým datům přístupným z narušeného účtu. Tato data pak mohou smazat, odcizit, případně je zneužít k ransomware útoku.
  • Ukradení účtu: narušení účtu nemusí skončit "jenom" krádeží dat. V závislosti na úrovni oprávnění napadeného účtu může útočník získat hesla i k jiným účtům, zejména při použití stejných hesel.
  • Krádež identity: napadený účet může být zneužit i k imitování majitele účtu, kdy jsou jeho osobní či platební údaje použity při trestné činnosti (např. finanční podvody, objednávky zakázaného zboží apod.).
  • Ztráta přístupu k účtu: mnoho útočníků po získání hesla okamžitě změní přihlašovací údaje a zamezí tak uživateli rychlou nápravu situace. To je problém zejména u administrátorů webových stránek, které mohou být po napadení zneužity pro šíření reklamy, závadného obsahu či umístění malwaru.
  • Ztráta dobrého jména: netřeba dodávat, že pokud vaše společnost dopustí ztrátu osobních či finančních dat zákazníků, vaši reputaci to rozhodně nevylepší. Ztráta důvěry klientů se pak velmi rychle projeví na klesajících tržbách a s tím souvisejících finančních ztrátách.

Základy ochrany vašich hesel

Ačkoliv jsou nástroje kyberzločinců stále účinnější a rafinovanější, můžete jim práci výrazně ztížit několika velmi jednoduchými kroky. Na úrovni uživatele jsou to především následující:

  • Vytvořte dostatečně silné heslo: podle doporučení NÚKIB by mělo heslo mít alespoň 12 znaků a mělo by zahrnovat velká i malá písmena, číslice, speciální znaky a další symboly. Vyhýbejte se obvyklým frázím ("heslo", "admin", jména, datumy apod.)
  • Nastavte si vícefaktorové ověřování: pokud tuto možnost daná služba či aplikace nabízí, nastavte si zasílání ověřovacích SMS, případně používejte autentikační aplikace (např. Microsoft Authenticator).
  • Mějte různá hesla pro různé služby: pro každý účet mějte unikátní bezpečné heslo.
  • Využijte správce hesel: na internetu jsou k dostání programy pro bezpečné uložení hesel, kterým můžete svěřit méně důležitá hesla a snáze si tak zapamatovat prioritní přihlašovací údaje. Samozřejmostí je zabezpečit si správce hesel dostatečně bezpečnými přihlašovacími údaji.
  • Svá hesla nikomu nesdělujte: to platí nejen pro kolegy, ale také pro rodinné příslušníky a přátele. Obezřetnosti není nikdy dost.
  • Nepoužívejte kontrolní otázky pro obnovu hesla: útočníci mohou odpovědi často dohledat z veřejných zdrojů či jinými způsoby. Pokud je otázka povinná, pojměte odpověď jako samostatné bezpečné heslo.
  • Nezadávejte svá hesla do online nástrojů pro kontrolu bezpečnosti hesel: nikdy nemůžete mít stoprocentní jistotu, že zadávaná hesla nejsou na pozadí shromažďována a odesílána útočníkům.
  • Heslo pravidelně aktualizujte: nepoužívejte stejné heslo příliš dlouho a v pravidelných intervalech vytvářejte nová.
  • Oddělte osobní a administrátorské účty: účet správce by měl být používán výhradně pro administraci systému. Pro všechny ostatní pracovní činnosti použijte účet s běžnými oprávněními. Případné prolomení hesla na osobním účtu tak neohrozí správu systému.

TIP: Vzdělání uživatelů je pro kybernetickou bezpečnost zásadní. Zjistěte více o jeho roli v zajištění vaší firmy

Ochrana hesel na firemní úrovni

Na úrovni celé firmy je důležité zejména vzdělání uživatelů, v jehož rámci by si vaši lidé měli důkladně vštípit všechny výše uvedené zásady. Ne nadarmo představují bezpečná hesla jednu z nejdůležitějších součástí školení o kybernetické bezpečnosti. V kontextu hesel se zaměřte především na:

  • zamezení sdílení hesel mezi zaměstnanci,
  • podporu moderních nástrojů (vícefaktorové ověřování, správci hesel apod.)
  • budování governance a bezpečnostní politiky.

V technickém kontextu se pak vyplatí přejít na tzv. Zero Trust model. Při něm jsou účty i zařízení považovány za nedůvěryhodné, dokud neprojdou dostatečným ověřením. V případě uživatelských účtů se jedná zejména o opakované ověřování při každém přístupu do systému. I když tak dojde k prolomení hesla u některého z účtu, nebude mít útočník možnost proniknout dále do systému.

TIP: Je vaše firma připravena na směrnici NIS2? Přečtěte si našeho průvodce vším, co o směrnici potřebujete vědět.

Pomůžeme vám nejen s bezpečnými hesly

Dostatečně silná hesla jsou jen jednou z vrstev kybernetické ochrany. Pokud i vy hledáte způsob, jak své podnikání spolehlivě ochránit před útočníky zvenku i zvenčí, využijte služeb odborníků Seyforu. Naši experti na kyberbezpečnost vám nabídnou kompletní bezpečnostní řešení, od analýzy stávajícího stavu přes implementaci technologií a procesů až po školení zaměstnanců a compliance. Napište nám prostřednictvím formuláře níže a sjednejte si s námi schůzku.

Služby Seyforu v oblasti kyberbezpečnosti

 

Zpět na výpis

Buďte v obraze se Seyfor newsletterem!

  • Nejnovější trendy a inovace
  • Praktické tipy a doporučení od odborníků
  • Pozvánky na eventy a webináře
  • Exkluzivní obsah přímo do e-mailové schránky

Přihlášením souhlasíte s našimi zásadami pro zpracování osobních údajů

Doporučené produkty

Identifikace rizik

Důkladnou analýzou a testováním odhalíme všechna zranitelná místa i skryté hrozby. Navrhneme strategii, jak vaši kybernetickou bezpečnost zdokonalit.

Více informací

Detekce kyberútoků

Zavedeme technologie (SIEM / SOAR), s nimiž vám neunikne žádná bezpečnostní událost. Díky systémově nastavenému reportingu budete na hrozby reagovat včas.

Více informací

Ochrana před útoky

Zabezpečíme všechny články vašeho systému, od identit a koncových zařízení přes sítě, až po data a aplikace.

Více informací

Reakce na útoky a vzdělávání

Pravidelná analýza detekovaných událostí odhalí, jak nastavení bezpečnostních nástrojů dále optimalizovat. Svoji bezpečnost tak trvale udržíte na špičkové úrovni.

Více informací

V souladu se směrnicí NIS2

Posuňte svou kybernetickou bezpečnost na novou úroveň s našimi komplexními řešeními, které zajišťují soulad vaší organizace s požadavky nové směrnice EU k zajištění kybernetické bezpečnosti (NIS2) v rámci členských zemí. 

Více informací

Podobné články

Další články

Marie Smrčková: Péče o klienty dělá z Byznysu to, čím je

  • Ing. Kateřina Menšíková
  • 6. 3. 2025
Přečíst článek

Co je SOC a proč je klíčem k ochraně vaší firmy před kybernetickými útoky?

  • 4. 3. 2025
Přečíst článek
Další články
Vybrat jazyk

Tato stránka je chráněna službou reCAPTCHA a platí na ni zásady ochrany osobních údajů a podmínky používání služby Google. | © 2025 Seyfor