V našem soukromí i v pracovním prostředí využíváme celou řadu účtů, ke kterým ve valné většině potřebujeme logina heslo. Zatím se dvojitá autorizace příliš mezi učiteli nevyužívá. Přestože jsme už mockrát slyšeli zásady, jak mají hesla vypadat, jejich celkové množství a spousty přihlašování vedou našince k tomu, že prostě použije svůj domácí login (e-shopy) a přiřadí v lepším případě jiné heslo, ale někdy ani to ne.
Velmi často se mezi uživateli objevují osobní námitky, že ve svých soukromých mailech nemají žádné údaje, pro které by hackerům stálo za to takové účty prolamovat. Nepochybně mají pravdu, jenže nebezpečí spočívá právě v opakování stejného přihlášení.
Obrázek 2: Prolomená hesla profesních skupin v roce 2020
Hesla v převážné míře neunikla po útoku zlovolného neřáda, ale především kvůli našim osobním vlastnostem. Nejčastěji prolomené heslo se totiž stává veřejným na základě hromadných „krádeží“ databází loginů pro přístup do obchodních aplikací.
Nevěříte? Navštivte prosím například aplikaci www.haveibeenpwned.com, se kterou mám poměrně dobré zkušenosti. Dnes mají obdobné porovnávací databáze k dispozicii renomovaní poskytovatelé antivirové ochrany.
Zadejte své heslo – ať již soukromé, či služební – a hned je vám jasné, zda se Vaše identifikátory objevují v jednom z mnoha nesčetných úniků komerčních databází různých portálů či e-shopů. Uvedená stránka ke dni psaní tohoto článku uvádí 10624652379 prolomených účtů. Od počátku února stouplo toto číslo o hezkých 115 000 000 záseků.
A co vaše osobní účty a hesla?
O tom, že úniky a útoky na slabá hesla jsou snadnou záležitostí, určitě svědčí i zkušenost pana Trumpa s jeho twitterovým účtem. Heslo MAGA a číslo odvozené z jeho kampaně Make America Great Again svědčí spíše o jeho bezstarostnosti než opatrnosti. A nemuseli bychom chodit k podobným případům až za oceán. I když v sobě tyto situace nepostrádají jistou dávku škodolibosti a možná i humoru, v samotném důsledku jsou reálným ohrožením naší bezpečnosti s katastrofálními důsledky.
Protože máme všichni problém si velké množství hesel pamatovat, velmi často využijeme login svého hlavního účtu i s heslem pro přihlášení do některého komerčního e-shopu. A pak už stačí opravdu málo a problém je na světě. Přesně v tomto případě jsou pak naše účty a hesla snadno zcizitelná a „útočníkovi“ stačí si příslušnou kombinaci vyhledat na darknetu, což zvládne každý rozumbrada.
V případě znalosti těchto údajů má pak hacker nepřeberné množství možností, jak kompromitovat majitele účtu: od vydírání (lze to samozřejmě i obecně bez znalosti hesla), zcizení fotografií, dokumentů či smluv odeslaných mailem až po mnohem méně banální a vysoce sofistikovaný útok, kterému se říká spear phishing (cílený útok na majitele účtu).
Ze svého okolí znám konkrétní případy (soukromé i zašifrování celých škol a úřadů), kdy přesně tímto útokem byl do digitální stanice vnesen ransomware, který zašifroval celý jeho obsah.
Podle CSIRT (2020) podíl phishingových útoků stoupl za minulý tok téměř na dvojnásobek. Velmi tomu napomáhá dnešní celková situace, kdy se prakticky veškerá činnost přesunula do online prostoru. Je tedy nepochybné, že i vy jste už někde zadali své identifikátory. A bylo to dost opatrné?
Nejsnadnější cestou ke kompromitaci účtů je vlastní lajdáctví, pocit vlastní neohroženosti a neopatrnost.
Aniž bych jakkoli validoval tvrzení uvedená v následujícím grafu, předkládám je k zamyšlení. Jsou to pouze sumarizované výsledky. Učitelé středních škol tvoří v přehledu zhruba jednu třetinu kategorie ostatní.
Oblasti ochrany koncových digitálních stanic učitelů je třeba věnovat zvýšenou odpovídající pozornost jak ze strany správce, tak i běžného uživatele.
Co tedy může učitel ze své pozice na svou ochranu při zjištění takového úniku udělat?

Tím nejdůležitějším je:
- ověřit si, zda jsou hesla a uživatelské maily prolomeny!