Zloděj se dnes nemusí namáhat s pákou na dveřích. Stačí, aby zkusil klíč, který jste už jednou někde ztratili. Přesně takhle funguje drtivá většina útoků na firemní weby, e-maily a e-shopy – útočník nehackuje v hollywoodském stylu, jen si vyzkouší heslo, které unikl jinde a které vy používáte i u sebe. A protože je to nejlevnější a nejúčinnější cesta dovnitř, je to zdaleka nejčastější cesta, kterou se do firem útočníci dostávají.
90 % útoků začíná obyčejným heslem
Podle Jakuba Součka, vedoucího výzkumného týmu antivirové společnosti ESET, začíná devadesát procent útoků prolomením slabého hesla nebo phishingem – tedy ničím sofistikovaným, jen využitím lidské pohodlnosti. Žádné složité viry, žádné drahé nástroje. Stačí, že jste si zvolili heslo typu Jmeno2024 nebo že ho, stejně jako spousta lidí, používáte na více místech najednou.
Recyklace hesel: cizí únik, váš problém
Tomuhle jevu se říká credential stuffing a je to dnes běžnější než klasické „hádání“ hesla hrubou silou. Funguje jednoduše: někde ve světě unikne databáze e-mailů a hesel (třeba z úplně jiné služby, o které jste dávno zapomněli, že jste se tam kdy registrovali). Útočníci si tyto miliony kombinací e-mail/heslo koupí nebo stáhnou zdarma a automaticky je zkoušejí na jiných službách – včetně administrace vašeho webu, hostingu nebo firemní pošty. Pokud jste heslo použili i tam, útočník je „doma“ během vteřiny, bez jakéhokoli hackování v pravém slova smyslu.
Problém je, že zaměstnanci často používají stejné heslo pro osobní i pracovní účty. Stačí, aby uniklo jednou – a ohroženo je najednou vše, kde ho kdy použili.
Dvoufaktor: pojistka, i když heslo unikne
Přesně tady nastupuje dvoufaktorové ověření (2FA nebo MFA). Princip je jednoduchý: k heslu se po zadání vyžaduje ještě druhý krok – nejčastěji kód z mobilní aplikace nebo SMS. I kdyby útočník vaše heslo znal (a klidně i díky úniku odjinud), bez druhého kroku se nepřihlásí. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) považuje vícefaktorové ověření za jeden ze základních bezpečnostních standardů i pro firmy, na které se zákon o kybernetické bezpečnosti přímo nevztahuje.
Jinými slovy: 2FA je jedno z mála opatření, které je zadarmo (u drtivé většiny služeb), zabere pár minut nastavení a přitom zavře dveře, kterými dnes prochází naprostá většina útočníků.
Na co si dát pozor
- Admin přihlášení k webu (WordPress, e-shop) chráněné jen jménem a heslem, bez dvoufaktoru.
- Stejné nebo podobné heslo použité na webu, hostingu, e-mailu i sociálních sítích firmy.
- Krátká, snadno uhodnutelná hesla – jméno firmy, rok, „heslo123“ a podobné kombinace.
- Přístupy posílané mezi kolegy nebo externistům obyčejným e-mailem (často zůstávají v poště roky).
- Bývalí zaměstnanci nebo dodavatelé, kterým nikdo po odchodu nezrušil přístup.
Co s tím
Dobrá zpráva: tohle je jedna z nejlevnějších oprav, jakou pro svůj web můžete udělat. Nevyžaduje nový web ani drahého vývojáře.
- Zapněte dvoufaktorové ověření všude, kde je k dispozici – administrace webu (u WordPressu existují jednoduché bezplatné pluginy), přihlášení k hostingu a hlavně firemní e-mail, protože přes něj se často resetují i ostatní hesla.
- Používejte dlouhá a unikátní hesla pro každou službu zvlášť – ideálně věty nebo náhodné kombinace slov, ne jednoduché vzorce.
- Pořiďte si správce hesel (existují i bezplatné varianty). Zapamatujete si jen jedno hlavní heslo, zbytek vám vygeneruje a bezpečně uloží nástroj.
- Nesdílejte přístupy e-mailem – využijte sdílení přes správce hesel nebo alespoň hesla po předání smažte z poštovní schránky.
- Po odchodu zaměstnance nebo dodavatele hned zrušte jeho přístupy a proveďte revizi, kdo má do administrace webu vůbec přístup.
Revize WebRevize se mimo jiné dívá i na to, jestli má váš web veřejně dostupné a nechráněné přihlašovací stránky nebo jiné zjevné mezery v zabezpečení, které by útočník mohl zneužít. Jde o pasivní kontrolu – prověřujeme jen veřejně dostupné informace, nijak do webu nezasahujeme, a výsledkem je přehledný report, co si pohlídat.
Projde váš web technickou kontrolou?
Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.
Zdroje: Channeltrends – Jakub Souček (ESET): 90 % útoků začíná slabým heslem, NÚKIB – Silná přístupová hesla, FeedIT.cz – Firmy podceňují credential stuffing a rizika recyklace hesel.

Napsat komentář