"Už je skoro čas na oběd", pomyslela si Cameron, když klikala na svůj e-mail. "Revize dokumentu... revize dokumentu... depozice..." Líbilo se jí, že je paralegála, ale přála si, aby její firma najala další lidi na pomoc s pracovním vytížení.
Na chvíli se odmlčela, aby se podívala na e-mail od společnosti Tailwind Toys, který přišel den předtím. Zřejmě došlo k nějakému narušení zabezpečení, ale nemyslí si, že útočníci dostali platební údaje. "Skvělé," pomyslela si s usměvkem, "Teď vědí, jaké jsou oblíbené hračky mého syna."
O chvíli později se setkala na oběd se svým přítelem Akihito. Akihito vytáhl židli a nenuceně upustil klíčku na stůl.
"Ahoj!" Cameron zvolal: "Kde jsi dostal tu úžasnou kostku puzzle na klíčku?!"
"Je to docela zábava," odpověděl Akihito. "V Tailwind Toys to bylo 5 dolarů."
"Ooh", řekl Cameron a najednou si vzpomněl na e-mail, který viděla dříve. "Slyšel jste, že se nabourali a ztratili spoustu informací o zákazníci?"
"Vážně? Páni."
"Ano, určitě jsou nadšeni, když vědí, že Ethan má rád modré bloky." Cameron odpověděl se smíchem.
"To je všechno, co mají?"
"Oh, obvyklé 'Jména zákazníků, e-mailové adresy, hesla' taky. Ale očividně žádné platební karty." Cameron odpověděl.
"Hmmm. ale e-maily a hesla?" Akihito vypadal znepokojeně.
"Jo, dostali moje opravdu úžasné heslo. Teď ho nejspíš všichni používají sami pro sebe. Je dlouhý 23 znaků a vypadá, jako by byl napsán v Klingonu. Tuhle věc používám všude."
"Všude? Je vaše e-mailová adresa a toto heslo přihlašovací údaje k vaší bance nebo na sociálních sítích?"
"No... Jo, jo..." Cameron odpověděl: "Ale to jsou různé stránky."
"Na tom nezáleží." Akihito řekl. "Existuje druh útoku, kterému se říká 'vycpávání přihlašovacích údajů'. Když podvodníci získají uživatelská jména a hesla na jednom webu, jdou na všechny ostatní weby a zkouší tyto kombinace uživatelských jmen a hesel, aby viděli, kolik z nich funguje. Pokud všude používáte stejné heslo a oni vědí, že jde o vaši e-mailovou adresu, můžou se dostat k vašim účtům v jakémkoli systému, který používá stejné uživatelské jméno a heslo."
Teď se Cameron bál. "Myslím, že moje e-mailová adresa je moje uživatelské jméno na mnoha místech, včetně v práci. Co mám dělat?"
"Máte pro tyto weby zapnuté dvoustupňové ověřování?" Akihito se zeptal.
"Zdá se, že je to taková smůla, tak jsem ho nezapnul." Přiznala se.
"Oh. No, pak bych neztrácel čas a začal bych měnit tato hesla, počínaje vaším pracovním heslem. Používejte jedinečná hesla pro všechno a ve skutečnosti byste měli zapnout dvoustupňové ověřování všude, kde je to možné. Ve druhém kroku vás to moc často neomlouvá a stojí za to zastavit podvodníky vloupání do vašeho bankovního účtu nebo do vaší práce."
"Ugh, prostě nesnáším, když si musím pamatovat všechna ta hesla. Jen vím, že budu neustále klikat na zapomenuté heslo." Cítila se trochu zahlcená tím úkolem, který ji čekal.
"Získejte správce hesel. Můžou si zapamatovat vaše hesla a dokonce navrhovat nová silná hesla." Akihito navrhl. "Používám k tomu prohlížeč Microsoft Edge. To mi usnadňuje život a dokonce se synchronizuje se všemi mými zařízeními." Řekl, zvedl svůj smartphone.
"Ok, myslím, že bych to mohl udělat." Řekla.
"Měl bys to udělat hned, dám oběd." Řekl, sáhl po peněžence. "Slečno... může si nechat nařídit, aby jela?"
"Díky kámo, dostanu další." Řekla, a zamířila k pultu, aby si sesbírala jídlo.
Shrnutí
Opakované použití hesel je velmi nebezpečné. Zločinci mohou mít těžké vloupání do systémů vaší banky, ale stačí jeden web se slabým zabezpečením, aby se dostal do a oni by mohli získat vaše uživatelské jméno a heslo. Během několika hodin by mohli vyzkoušet kombinaci uživatelského jména a hesla na stovkách nebo tisících webů po celém webu. Je pravděpodobné, že narazí alespoň na několik dalších webů, kde toto uživatelské jméno a heslo funguje.
Pokud nemáte povolenou další ochranu, například dvoustupňové ověřování (někdy označované jako vícefaktorové ověřování), můžou být ve vašich účtech ještě předtím, než zjistíte, že došlo k narušení zabezpečení prvního webu.
To je útok na vycpávání přihlašovacích údajů.
Co mohl Cameron udělat lépe?
Velkou věcí je, že znovu nepoužádá heslo, bez ohledu na to, jak skvělé heslo to bylo.
Mohla také zapnout dvoustupňové ověřování všude, kde bylo dostupné. Tímto způsobem i kdyby zlí hoši získali její heslo, bylo by pro ně mnohem obtížnější dostat se k jejím účtům.
Co udělal Cameron správně?
Jakmile si uvědomila potenciální nebezpečí, okamžitě si změnila hesla, povolila správu hesel v Microsoft Edgi a začala používat dvoustupňové ověřování.
Další informace najdete na https://support.microsoft.com/security.
Pokud se vám to líbilo...
Pokud se rádi seznamujete s kybernetickou bezpečností v podobných krátkých příbězích, můžete se také podívat na příběh phish.Je to příběh manažera účtu, který se v práci setkal s útokem phishing.
