Identická hesla: rizika opakovaného používání hesel

Jedno přihlašovací jméno hacknuto – všechna přihlašovací jména v ohrožení.

IT administrátoři nesou hlavní břemeno při ochraně systémů a dat. Obzvláště přetrvávajícím rizikem jsou identická nebo opakovaně používaná hesla. Tím uživatelé – často neúmyslně – otevírají útočníkům dveře pro credential stuffing, převzetí účtů a laterální pohyby v síti. Studie ukazují, že používání odcizených přístupových údajů patří mezi nejčastější počáteční vektory bezpečnostních incidentů (viz zdroje níže).

Riziko komplexní kompromitace

Pokud dojde ke kompromitaci účtu, útočníci automaticky otestují stejné přihlašovací údaje na jiných službách (Credential‑Stuffing). Jediný únik tak může vyvolat řetězovou reakci – od e-mailů přes nástroje pro spolupráci až po cloudové služby. Výsledek: krádež dat, zneužití identity a neoprávněný přístup k podnikovým zdrojům.

Obzvláště kritické jsou „základní útoky na webové aplikace“, při nichž dominují odcizené nebo znovu použité přístupové údaje – jasný důkaz toho, že opakované použití hesel je v praxi okamžitě zneužitelným faktorem (viz zdroje).

Ransomware a převzetí účtů

Jakmile útočníci získají platné přístupové údaje, mohou rozšířit své oprávnění, pohybovat se laterálně v síti a rozšiřovat škodlivý software – až po nasazení ransomwaru. Oficiální doporučení proto zdůrazňují: Eliminujte opakované používání hesel a aktivujte phishingově odolné MFA (např. FIDO2/Passkeys) tam, kde je to technicky možné (CISA, NIST).

Opatření ke zlepšení bezpečnosti hesel

Zásady (politika)

  • Žádná preventivní pravidelná změna hesla – vynutit pouze v případě podezření nebo prokázání kompromitace (NIST, NCSC).
  • Jedno heslo pro jeden účet/službu – přísně zakázat opakované použití (NIST, NCSC).
  • Zvýšit minimální délku (např. ≥ 14 znaků) a vyhnout se zbytečným požadavkům na složitost; místo toho se zaměřit na délku, jedinečnost a blokování „rozšířených hesel“ (NIST).
  • Zkontrolujte hesla proti kompromitovaným seznamům (NIST SP 800‑63B) – viz praktická poznámka k Password Depot níže.
  • MFA povinné, nejlépe odolné proti phishingu (FIDO2/Passkeys), alespoň pro přístupy správců, vzdálené a cloudové (CISA).

Technické kontroly

  • Omezování rychlosti a monitorování při přihlašování; rozpoznávání a blokování podezřelých vzorců (např. mnoho pokusů o přihlášení z distribuovaných sítí) (NIST).
  • Povolit „vložit“, aby bylo možné bezpečně používat správce hesel – nezakazovat kopírování/vkládání do pole pro heslo (NIST).
  • Zavést rizikově orientované MFA výzvy a důslednou MFA registraci (CISA).
  • Passkeys zavést tam, kde je to možné; v perspektivě nahradit zadávání hesel.
  • Identifikovat kompromitovaná hesla: V Password Depot zkontrolovat pomocí Nástroje → Bezpečnostní kontrola → Zkontrolovat v Pwned heslech a okamžitě změnit dotčené záznamy.

Povědomí a provoz

  • Pravidelně školte uživatele v oblasti credential stuffingu, phishingu a opakovaného používání hesel (NCSC/CISA).
  • Doporučujte a poskytujte správce hesel; cílem je dlouhá, náhodná a jedinečná hesla pro každou službu.
  • Definujte incidenty (úniky, phishing, napadení malwarem) jako důvod pro okamžitou změnu hesla a obnovení tokenu (NIST/CISA).
Jasný text: Opakované použití je skutečným nepřítelem. Nucené pravidelné změny bezdůvodně zhoršují kvalitu hesel – a problém nevyřeší. Zaměřte se na délku, jedinečnost, MFA/passkey a kontrolu proti kompromitovaným seznamům (např. přímo v Password Depot).

Závěr: Opakované používání hesel představuje značné bezpečnostní riziko a napomáhá převzetí účtů až po případy ransomwaru. Administrátorské týmy musí zavést jasné, aktuální zásady a technicky je zabezpečit – včetně pravidelné kontroly kompromitovaných hesel pomocí Password Depot –, aby trvale chránily identity a systémy.

Zdroje (výběr)