Kontrola přihlašovacích údajů

Administrace vašeho e-shopu obsahuje spoustu citlivých dat. Stejně jako vy, ani my nechceme, aby se do administrace vašeho e-shopu dostal někdo neoprávněně. Jedním z bezpečnostních opatření z naší strany je kontrola přihlašovacích údajů u každého správcovského účtu.

Jak přihlašovací údaje kontrolujeme?

Základní kontrola hesla

U každého nového hesla provádíme základní kontrolu na jeho délku a jestli obsahuje různé typy znaků (malá a velká písmena, číslice, speciální znaky). Podle toho určujeme sílu hesla.

Doporučujeme zvolit spíše delší heslo (10 a více znaků), a použít v něm různé kombinace malých a velkých písmen, číslic a speciálních znaků. Nejlépe by heslo mělo být jedinečné a náhodné, více podrobností v sekci Obecná doporučení pro zabezpečení účtu.

Pokročilá kontrola hesla

U zadávaných hesel provádíme i kontrolu toho, jestli se heslo nenachází v některém z veřejně dostupných seznamů hesel uniklých na internet. Tato kontrola je prováděna v databázi důvěryhodné služby Have I Been Pwned. Ta shromažďuje informace o uniklých přihlašovacích údajích, které se na internetu objeví (například proto, že si útočníci uniklá data mezi sebou přeprodávají a sdílejí).

Vždy jde o úniky přihlašovacích údajů z jiných webů a služeb. Z našeho systému k žádnému úniku údajů nedošlo.

Nemusíte se obávat, při kontrole vaše heslo nikam mimo náš systém neposíláme. Po zadání hesla (například po přihlášení) vytvoříme z vašeho hesla jeho otisk a tím vznikne tzv. hash. Z tohoto hashe hledáme v databázi Have I Been Pwned pouze prvních pár znaků. Pokud tam najdeme shodu (tzn. hashe, které začínají stejně), tak až na straně našeho systému v těchto nalezených výsledcích hledáme, jestli mezi nimi není celý hash odpovídající vašemu heslu. Tímto způsobem nemůže nikdo mimo náš systém zjistit, jaké heslo jsme hledali.

Pokud vaše heslo v seznamu uniklých hesel najdeme, dáme vám o tom v administraci e-shopu vědět. Takové heslo doporučujeme co nejdříve změnit na silnější a jedinečné. Zároveň takové heslo nebude možné k žádnému z účtů v administraci nastavit.

Kontrola uniklých údajů

Pravidelně analyzujeme veřejně známé úniky dat z jiných webů a služeb. Pokud v uniklých datech najdeme přihlašovací údaje k vašemu účtu – e-mailovou adresu a vaše aktuálně používané heslo – dojde automaticky k zablokování přihlášení do vašeho účtu.

V takovém případě bude nutné nastavit k vašemu účtu nové heslo. Pro obnovu hesla klikněte na přihlašovací obrazovce do e-shopu na odkaz Zapomněli jste své heslo? a postupujte podle uvedených pokynů.

Při tvorbě nového hesla doporučujeme postupovat podle zásad v sekci Obecná doporučení pro zabezpečení účtu. Dále také doporučujeme v účtu aktivovat dvoufázové ověření přihlášení.

Kdy údaje kontrolujeme?

Základní kontrola hesla probíhá u nastavení nového hesla a změn současných hesel.

Pokročilou kontrolu hesla zatím provádíme pouze u účtů správců obchodu, a to jak při nastavení hesla, tak i při přihlášení do administrace.

Je kontrola hesla bezpečná?

Ano, je. Vámi zadané heslo ani jeho část nikdy neposíláme mimo náš systém. V databázi služby Have I Been Pwned vyhledáváme pouze část otisku hesla. Odesílaná data pro vyhledávání jsou dále ošetřena tak, že z nich nikdo nemá šanci odhalit, co jsme posílali.

Moje údaje někde unikly na internet?

V případě, že došlo k zablokování přihlášení do vašeho účtu z důvodu „nálezu hesla v úniku z jiné služby“, tak jsme v rámci kontroly uniklých údajů našli ve veřejně dostupných únicích dat přímo kombinaci vašeho e-mailu a hesla k vašemu účtu, a tedy vaše údaje z nějaké jiné služby nebo webu unikly. Důrazně doporučujeme uniklé heslo přestat používat i ve všech dalších službách.

Pokud nedošlo přímo k zablokování přihlášení a zobrazila se vám v administraci e-shopu hláška, že vámi zadané heslo bylo nalezeno ve veřejně dostupných seznamech hesel uniklých na internet, tak to znamená, že jsme v rámci pokročilé kontroly hesla vaše heslo nalezli v databázi služby Have I Been Pwned. Tato služba shromažďuje veřejně známé uniklé přihlašovací údaje.

Nemusí to nutně znamenat, že někde uniklo přímo vaše heslo a s ním spojené přihlašovací údaje. Může jít o shodu náhod, že někdo jiný použil stejné heslo jako vy. I v takovém připadě důrazně doporučujeme dané heslo v e-shopu změnit na jiné.

Obecná doporučení pro zabezpečení účtu

Následující tipy a zásady od našeho bezpečnostního oddělení můžete využívat nejen ve vašem e-shopu, ale i v ostatních aplikacích a službách na internetu. Pokud se jimi budete řídit, zvýšíte bezpečnost vašich účtů a snížíte riziko zneužití vašich údajů.

Používejte silná hesla

S poučkou o používání silných hesel jste se už pravděpodobně někdy setkali. Co si ale pod pojmem „silné heslo“ představit?

Silné a bezpečné heslo by mělo být:

• dlouhé – například i více jak 20 znaků
• se speciálními znaky – obsahuje znaky jako * _ @ apod., nebo i znaky s českou diakritikou jako š č ř ž ď atd.
• náhodné – nejlépe náhodně vygenerované nějakou aplikací
• unikátní – heslo použijete pouze v jedné aplikaci a k jednomu účtu

Silným a bezpečným heslem tak může být například ko*e.u3rJ-ZKNJ@2bkMTLF-q.

Asi si říkáte, jak si máte takové heslo zapamatovat? A ještě když byste měli mít pro každou aplikaci a účet jiné heslo? Nebojte, vaše hesla si nemusíte pamatovat, můžete (a doporučujeme) používat správce hesel.

Nepoužívejte hesla opakovaně

Jedno heslo použijte vždy pouze k jednomu účtu a pouze v jedné aplikaci. Nepoužívejte jedno heslo ve více účtech a aplikacích najednou.

Proč je to důležité? Představte si, že byste například použili jedno stejné heslo pro přihlášení do vašeho e-mailu a pro přihlášení do účtů na několika různých dalších webech. Stačilo by pak, aby došlo k úniku přihlašovacích údajů včetně hesel na jednom z těchto webů, a potenciální útočníci by pak měli přístup i ke všem vašim ostatním účtům. Zároveň tím, že by měli přístup i do vašeho e-mailu, mohli by si klidně obnovit heslo ke kterémukoliv z vašich dalších účtů, kde byste třeba použili jiné heslo.

Používáním jedinečných (unikátních) hesel tomuto riziku předejdete.

Používejte dvoufázové ověření

Nespoléhejte se pouze na heslo, a kde to je možné, aktivujte si u účtu dvoufázové ověření (2FA). Jak si aktivovat dvoufázové ověření u vašeho správcovského účtu v administraci e-shopu najdete v článku Nastavení účtu.

Používejte správce hesel

Pokud se rozhodnete používat silná hesla, která jsou dlouhá, náhodná a unikátní, budete nejspíše potřebovat si je někam ukládat. Můžete si je psát například do diáře s visacím zámečkem, ale pohodlnější a námi doporučenou variantou je využití nějaké aplikace pro správu hesel.

Při používání správce hesel vám stačí si pamatovat jedno „hlavní“ heslo, které použijete pro přihlášení do správce hesel. Ostatní hesla si pak uložíte do této aplikace a ta je za vás pak při přihlášení do konkrétních služeb a aplikací automaticky vyplní. Kromě zvýšení bezpečnosti si tak usnadníte přihlašování a místo vypisování hesel vám bude stačit pár kliknutí.

Aplikací pro ukládání a správu hesel je na trhu mnoho. Hesla a přístupové údaje si můžete ukládat například do specializovaných aplikací jako 1Password, Bitwarden nebo Dashlane. Nebo si můžete přihlašovací údaje ukládat v prohlížečích do vašich účtů Google, Apple nebo Microsoft.

Za nás v Shoptetu můžeme doporučit aplikaci 1Password, která je důvěryhodná, velice bezpečná a zároveň uživatelsky přívětivá a na používání pohodlná.

Nesdílejte citlivé údaje

Nejslabším článkem zabezpečení jakéhokoliv systému jsou lidé. Prolomit zabezpečení internetového bankovnictví nebo vašeho e-shopu je pro potenciální útočníky technicky složité, náročné a drahé – pokud jim to tedy neusnadníte používáním slabých hesel a nebo stejných hesel na více místech.

Oproti tomu zmást a oklamat lidské uživatele k tomu, aby záškodníkům poskytli své přihlašovací údaje, je mnohem jednodušší. Dávejte si tedy pozor na podezřelé e-maily, SMS a jiné zprávy nebo telefonáty, a neposkytujte v nich žádné citlivé údaje.