Vše o heslech – Od teorie k neprůstřelné praxi
Heslo je první a často jediná linie obrany.
Délka hesla a náhodná kombinace malých a velkých písmen, číslic a znaků rozhoduje.
V dobré víře v bezpečnost hesla dokážeme vymyslet většinou to, co už vymysleli jiní. Velmi často se setkávám se stejnými hesly, která jsou tak frekventovaná, že se jen těžko dá věřit, že je stále ještě někdo používá.
Nejčastější (a tedy nebezpečná) hesla z úniků:
| Častá hesla | Další variace | Klasiky |
| :--- | :--- | :--- |
| 123456 | 123456789 | iloveyou |
| password | qwerty | 111111 |
| abc123 | secret | princess |
| monkey | 12345 | rockyou |
[RockYou.txt](https://weakpass.com/wordlists/rockyou.txt] – Odkaz na obří seznam uniklých hesel, který hackeři používají k útokům.
Viděli jste film, kde někdo uhodl heslo? V reálu to není těžké. Stačí znát lidi a statistické tabulky. Hackeři je znají velmi dobře. Jen slabé heslo se dá uhodnout.
Jak útočník uvažuje?
1. Fáze: Slovníkový útok – Zkouší miliardy uniklých hesel z databází.2. Fáze: Pravidla (Leet Speak) – Automatické záměny písmen za čísla (např. A za 4).
3. Fáze: Masky – Typické lidské struktury (Velké písmeno na začátku, vykřičník na konci).
4. Fáze: Brute Force – Hrubá síla, zkoušení všech zbývajících kombinací.
1. Fáze: Slovníkový útok a úniky
Algoritmus zkouší hesla, která už v minulosti unikla. Heslo jako „Slunicko123“ padne v první sekundě. Tyto seznamy často pocházejí z Dark webu – místa, kde se obchoduje s kradenými daty.2. Fáze: Pravidla (Leet Speak)
Hacker aplikuje lidské chování: záměnu písmen za čísla, přidávání aktuálního roku (2026) na konec nebo regionální specifika (na Moravě „slivka“, v Praze „Hrad“).Časté záměny, které hackeři zkoušejí jako první:
| Písmo | Záměna | Příklad |
| :---: | :---: | :--- |
| A | 4 / @ | P4vel / P@vel |
| E | 3 | B3zp3cnost |
| I / L | 1 / ! | P!vo / F!1ip |
| O | 0 | H3sl0 / K0la |
| S | 5 / $ | $tanda / Pe5 |
| T | 7 / + | Au7o / Mo+orka |
3. Fáze: Masky
Počítač zkouší struktury typu: `[Velké písmeno][písmena][čísla][znak]`. Příklad: `Klapka59!`Víte, který znak je v heslech nejčastěji poslední? Vykřičník. Útočník to ví také. Pokud ho použijete na konci a velké písmeno na začátku, z 10místného hesla děláte pro útočníka v podstatě jen 8místné.
4. Fáze: Čistý Brute Force
Teprve teď nastupuje postupné zkoušení všech kombinací.Proč je česká diakritika (ů, š, č) skvělá obrana?
Většina nástrojů je optimalizována pro angličtinu. Pro stroj je znak „u“ jeden bajt, ale „ů“ jsou v kódování UTF-8 bajty dva. Pokud útočník nepočítá s češtinou, výrazně mu to prodlouží čas prolomení.TIP: Vyhýbejte se běžné angličtině. Používejte česká slova a speciální znaky (`ěščřžýáíé` ale i `đ $ ß ¤`). Vždy miřte na délku min. 12 znaků.
Co se právě děje v kybersvětě?
Pozor na nové podvody s platební kartou.
Podvodníci se Vás budou snažit přimět nainstalovat škodlivou aplikaci a ověřit se přiložením karty k mobilu. Namísto ověření Vás ale okradou. Buďte obezřetní. Nikdy neinstalujte neznámé programy z neověřených zdrojů.
MIMOŘÁDNÁ AKTUALITA:
Právě probíhá řada těchto útoků -
Útočníci dnes zcela běžně dokáží napodobit (podvrhnout) telefonní čísla (tzv. spoofing) a to i ta oficiální, která patří úřadům, bankám i policejním služebnám. Obětem se tak může zdát, že příchozí hovor je skutečně např. od NÚKIB (Národní úřad pro kybernetickou bezpečnost), OSSZ, finanční úřad, policie nebo bankovní instituce. Umí se představit i jmény zaměstnanců, která získali z různých zdrojů a která můžete znát také. Nicméně tomu tak ale nemusí být. Nenechte se zmást a mají-li požadavky k vašemu účtu, rodnému číslu, vaší platební kartě apod., raději řekněte, že zavoláte zpět a zavěšte.
Podvodníci se Vás budou snažit přimět nainstalovat škodlivou aplikaci a ověřit se přiložením karty k mobilu. Namísto ověření Vás ale okradou. Buďte obezřetní. Nikdy neinstalujte neznámé programy z neověřených zdrojů.
MIMOŘÁDNÁ AKTUALITA:
Právě probíhá řada těchto útoků -
Útočníci dnes zcela běžně dokáží napodobit (podvrhnout) telefonní čísla (tzv. spoofing) a to i ta oficiální, která patří úřadům, bankám i policejním služebnám. Obětem se tak může zdát, že příchozí hovor je skutečně např. od NÚKIB (Národní úřad pro kybernetickou bezpečnost), OSSZ, finanční úřad, policie nebo bankovní instituce. Umí se představit i jmény zaměstnanců, která získali z různých zdrojů a která můžete znát také. Nicméně tomu tak ale nemusí být. Nenechte se zmást a mají-li požadavky k vašemu účtu, rodnému číslu, vaší platební kartě apod., raději řekněte, že zavoláte zpět a zavěšte.
Potřebujete poradit s bezpečností?
📞 Tel: 721 051 654
⬆️ Zpět nahoru
*Zdroj: KyberHelp – Stanislav Roth*