Know-how / Bezpečnost hesel

Stejná hesla: rizika opakovaného používání hesel

Jeden přihlašovací údaj prolomen – všechny přístupy jsou v ohrožení.

IT administrátoři nesou hlavní odpovědnost za ochranu systémů a dat. Obzvlášť úporným rizikem jsou stejná nebo znovu používaná hesla. Tím uživatelé – často neúmyslně – otevírají útočníkům dveře dokořán pro credential stuffing, převzetí účtů a laterální pohyb v síti. Studie ukazují, že využití odcizených přihlašovacích údajů patří k nejčastějším počátečním vektorům bezpečnostních incidentů (viz zdroje níže).

Nikdy nepoužívejte stejné heslo pro různé účty.
Nevynucujte pravidelné změny hesel bez konkrétního důvodu – místo toho používejte dlouhá, jedinečná hesla/fráze a MFA/passkeys.
Nová i stávající hesla kontrolujte vůči kompromitovaným seznamům; v Password Depot: Doplňky → Bezpečnostní kontrola → Zkontrolovat v Pwned‑Passwords.

Riziko kompromitace napříč službami

Jakmile je jeden účet kompromitován, útočníci automatizovaně zkoušejí stejné přihlašovací údaje i u dalších služeb (Credential‑Stuffing). Jediný únik tak může spustit řetězovou reakci – od e‑mailu přes nástroje pro spolupráci až po Cloud služby. Výsledek: krádež dat, zneužití identity a neoprávněný přístup k firemním zdrojům.

Obzvlášť kritické jsou „Basic Web Application Attacks“, v nichž dominují odcizené či znovu použité přihlašovací údaje – jasný důkaz, že opětovné používání hesel je v praxi bezprostředně zneužitelné (viz zdroje).

Ransomware a převzetí účtů

Jakmile útočníci získají platné přihlašovací údaje, mohou eskalovat oprávnění, laterálně se pohybovat v síti a nasadit malware – až po nasazení ransomwaru. Oficiální doporučení proto zdůrazňují: eliminovat opětovné používání hesel a MFA odolné vůči phishingu (např. FIDO2/passkeys) aktivovat tam, kde je to technicky možné (CISA, NIST).

Opatření ke zlepšení bezpečnosti hesel

Směrnice (Policy)

Žádné preventivní, pravidelné změny hesel – vynucovat je pouze při podezření na kompromitaci nebo jejím potvrzení (NIST, NCSC).
Jedno heslo pro každý účet/službu – opětovné používání důsledně zakázat (NIST, NCSC).
Zvýšit minimální délku (např. ≥ 14 znaků) a vyhnout se zbytečným požadavkům na složitost; místo toho sázet na délku, jedinečnost a blokování „běžně používaných hesel“ (NIST).
Kontrolovat hesla proti seznamům kompromitovaných hesel (NIST SP 800–63B) – viz praktické doporučení k Password Depot níže.
Povinné MFA, ideálně odolné vůči phishingu (FIDO2/Passkeys), alespoň pro administrátorské, vzdálené a Cloud přístupy (CISA).

Technické kontroly

Rate-Limiting & Monitoring při přihlašování; rozpoznávat a blokovat podezřelé vzorce (např. mnoho pokusů o přihlášení z distribuovaných sítí) (NIST).
Povolit „Paste“/vkládání, aby bylo možné bezpečně používat Passwort-Manager – nezakazovat copy/paste v poli pro heslo (NIST).
Rizikově založené MFA challenge a důsledně vynucovat registraci MFA (CISA).
Passkeys zavádět tam, kde je to možné; do budoucna jimi nahradit zadávání hesel.
Identifikovat kompromitovaná hesla: V Password Depot přes Extras → Sicherheitscheck → In Pwned-Kennwörter prüfen zkontrolovat a dotčené záznamy neprodleně změnit.

Praxe s Password Depot:

Otevřete Nástroje → Kontrola zabezpečení → Zkontrolovat v Pwned‑heslech, chcete-li zkontrolovat uložená hesla proti seznamům kompromitovaných hesel.
Provádějte tuto kontrolu pravidelně – zejména po veřejně známých únicích dat nebo phishingových incidentech.
Označená hesla okamžitě nahraďte dlouhými, jedinečnými heslovými frázemi a tam, kde je to možné, aktivujte MFA/Passkeys.

Povědomí a provoz

Pravidelně školte uživatele v oblasti Credential‑Stuffing, phishingu a opětovného používání hesel (NCSC/CISA).
Správce hesel doporučujte a poskytujte; cílem jsou dlouhá, náhodná a jedinečná hesla pro každou službu.
Incidenty (úniky dat, phishing, napadení malwarem) definujte jako spouštěč okamžité změny hesla a obnovení tokenů (NIST/CISA).

Jasně řečeno: Opětovné používání je skutečný nepřítel. Vynucené pravidelné změny bez konkrétního důvodu zhoršují kvalitu hesel – a problém neřeší. Zaměřte se na délku, jedinečnost, MFA/Passkeys a kontrolu proti kompromitovaným seznamům (např. přímo v Password Depot).

Závěr: Opakované používání hesel představuje významné bezpečnostní riziko a nahrává převzetí účtů až po incidenty s ransomwarem. Admin týmy musí zavést jasné, aktuální směrnice a technicky je zabezpečit – včetně pravidelné kontroly kompromitovaných hesel pomocí Password Depot –, aby dlouhodobě chránily identity a systémy.

Zdroje (výběr)

NIST SP 800–63B: Digital Identity Guidelines – Memorized Secrets (mimo jiné bez vynucených změn; kontrola vůči seznamům kompromitovaných hesel; povolené vkládání)
CISA „Secure Our World“: Používejte silná hesla (doporučení k používání správců hesel a jedinečných hesel)
NCSC (UK): Problémy s vynucováním pravidelné expirace hesel & Upozornění na credential stuffing
Verizon DBIR: Stránka reportu & Executive Summary (každoročně aktualizováno)
Have I Been Pwned: Pwned Passwords (veřejný zdroj dat o kompromitovaných heslech)

Zachovejte jedinečnost hesel

Zjistěte, jak vám Password Depot pomáhá spravovat každé heslo jedinečně a bezpečně.

Tipy pro bezpečná hesla