Nedávno se vloupali do e-mailové schránky Bohuslava Sobotky na Seznam.cz. Internet je plný stížností lidí, kterým někdo hacknul tamní schránku a už se do ní nikdy nedostali. Cesty k získání zpět spočívající ve vtipných dotazech na vytvořené složky (obyčejní lidé nemívají žádné) a jaké kontakty jste tam měli zpravidla nepomohou. Je vůbec možné schránku na nejrozšířenějším freemailu v ČR nějak chránit?
E-mail u Seznamu používá účet u Seznamu jako jednotné přihlašování, takže vše co se účtu týče se nastavuje přímo u vlastností účtu. Tam najdete pár věcí, které vám mohou pomoci.
První zásadní věc, klasická, musíte mít velmi slušné, silné heslo. Takové co opravdu nejde uhodnout, takové co nedává smysl. Slušnou kombinaci písmen, číslic a nějakých symbolů (aspoň to podtržítko). Tady pořád platí, že Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí a platí všechny ty obvyklé věci – své heslo nikomu nedávejte, vkládejte ho opravdu jenom při přihlášení na Seznam.cz a ujistěte se, že při používání pošty na Seznam.cz je vaše připojení šifrované. A to jak při použití přes web, tak z poštovního klienta (tedy POP3 a SMTP jede přes zabezpečené připojení).
Bohouš Sobotka se po hacknutí účtu nechal slyšet, že měl dvacetimístné heslo. To mít nemusíte a Bohouš zcela určitě žádné takové neměl. Stačí aspoň tak osm znaků, ale opravdu nedávajících žádný smysl. Nebo můžete mít strašně dlouhé heslo, ale v podobě fráze (ale pozor, mohou mít nějaké délkové omezení) . Praktičtější ale je si opravdu nechat od správce hesel vygenerovat složité heslo.
Druhá zásadní věc. Je vhodné přidat kontaktní e-mail, byť ten bohužel Seznam nijak extra nepoužívá, ačkoliv by mohl. Například při změně hesla by o tom mohl posílat informaci na tento e-mail a umožnit to zvrátit. Jediné kdy se hodí je, když „zapomenete“ heslo, Seznam.cz vám nové pošle právě na tento e-mail.
Třetí zásadní věc. Ve výše uvedeném „Údaje pro případ ztráty hesla“ také můžete doplnit telefonní číslo a pokud si chcete účet chránit, tak by bylo velmi dobré tohle udělat. Musíte ho ověřit posláním SMS (bude to stát 3 Kč, takže nic strašného).
Najdete tam ještě možnost vyplnit Rok narození, ale moc nechápu k čemu tam je a jakou to má souvislost s ztrátou hesla (Seznam tvrdí, že se to dá také použít při snaze o získání zapomenutého hesla). Pro ověření se něco takového zásadně nehodí, protože právě datum narození je snadno zjistitelné. Takže by asi nebylo od věci to brát jako číselný PIN a vyplnit neodhadnutelnou , nesmyslnou, hodnotu.
Čtvrtá zásadní věc, najdete zde zásadní problém v podobě kontrolních otázek. Ty jsou jednou z nejlepších cest, jak se útočník dostane na něčí účet – NIKDY, opakuji, NIKDY nesmíte na kontrolní otázky poskytovat reálné odpovědi. Tedy například na rodné příjmení matky si tam prostě vygeneruje nějaké další nesmyslné heslo nebo nesmyslnou odpověď. A tohle si uložte mezi uložená hesla v správci hesel nebo v nějakém bezpečném zaheslovaném úložišti. Viz Jak správně zacházet s kontrolními otázkami u online služeb?
TIP: Co udělat, když už vám někdo hacknul váš e-mail? Mimo to, že se musíte pokusit ho získat zpět (což u Seznam.cz je známo jako prakticky nemožné) to má ještě běžně řadu dalších následků. Ake o tom více hlavně v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby
Nějaké zabezpečení účtu typické pro rok 2016?
AKTUALIZACE: Koncem dubna 2018 přidal konečně Seznam.cz možnost ověření přes mobilní aplikaci (ano, bohužel jen před jeho mobilní aplikaci). Je to samozřejmě rozhodně lepší alespoň takhle, než vůbec. Podrobnosti hledejte v Seznam.cz má nově dvoufázové ověření u všech svých služeb. Zvýší zabezpečí přihlašování například do Emailu
Bohužel ani slovo o tom, že byste si pořídili klasické dvoufaktorové ověření přes Authy/Google authenticator, tak jak je tomu zvykem všude jinde. Seznam.cz volí proprietární řešení přes vlastní aplikaci a navíc ani není jisté, jak to je s bezpečností.
Nejsou dostupná ani žádná varování ani běžné možnosti obnovení účtu přes výše uvedený e-mail (kde by vás to například upozornilo na změnu hesla a umožnilo ji vrátit zpět), nebo upozorněním na mobilní telefon. Neexistují ani žádné obnovovací kódy, jak je to běžné u jiných služeb. Jediné co může být využito pro obnovení je mobilní telefonní číslo
Aktivace dvoufaktoru je možná jenom v mobilní aplikaci Seznam.cz nebo v desktopovém prohlížeči od Seznamu – oboje je zbytečný prohlížeč a nelze ho považovat za bezpečný. Nezapomeňte, že pokud se někdo dostane k této aplikaci ve vašem telefonu, tak dvoufaktorové ověření nejenom může zneužití, ale také vypnout – aniž by potřeboval zadávat heslo (ano, správně, není to dotažené do konce). Pozor i tam, kde si v jednom zařízení zapnete možnost ověření více účtu (užitečná funkčnost, ale není dostatečně ochráněná).
Celé je to navíc zmatené, něco se dělá v aplikaci, něco v prohlížeči. Problematické je i to, že pro schválení musíte otevřít na mobilu aplikaci, požadavek na schválení se neobjeví jako upozornění.
Co tedy udělat pro lepší zabezpečení účtu?
Takže, shrňme to, e-mailový účet na Seznam.cz je zásadně nebezpečná věc, kterou si musíte chránit jenom tím, že použijete velmi silné heslo a budete se velmi pečlivě starat, aby ho nikdo nemohl někde získat, uhádnout či odchytit, nebo abyste ho nenapsali někam kam nemáte.
Nezapomínejte ani na nutnost odhlašovat se, pokud jste použili Seznam někde, kde mohou počítač použít i jiní lidé. Stejně jako pozor na hesla ukládaná do prohlížečů.
Kontrolní otázku si vyplníte na další jiné velmi silné heslo, protože pokud tam vyplníte něco podle pravdy, tak si koledujete o malér.
Rozhodně si přidejte telefonní číslo, protože to v případě ztráty hesla poslouží k poslání nového hesla přes SMS. Pokud ho ale útočník mezitím změní na své, tak vám to asi moc nepomůže. Určitě si také přidejte další kontaktní e-mail, byť i to v případě ukradení hesla nemusí vůbec pomoci (ale pomůže při zapomenutí hesla). A vyplňte i datum narození, byť dávat tam skutečně bych asi moc nedoporučoval, dejte tam takové, které opravdu budete vědět jenom vy.
Co rok 2017? Je Seznam.cz bezpečnější?
O rok později je situace stále stejná. Seznam.cz stále odmítá umožnit dvoufaktorové ověření. A uživatele navíc uvádí ve fatální omyl tím, že jim tvrdí, že „váš účet je kompletně zabezpečený“ i v okamžiku, kdy žádné zabezpečení vlastně nenabízí.
Pokud jste snad přinucení používat některé z „komerčních“ nástrojů Seznamu, tak je tohle zásadní problém. SKlik, Firmy a případná „nabitá“ peněženka je v případě Seznam.cz, to vše je něco o co můžete během pár sekund přijít. A pokud jste už někdy se Seznam.cz helpdeskem řešili hacknuté účty, tak víte, že je to totéž jako mluvit do zdi.
Rok 2018 přinesl dvoufaktorové ověření přes aplikaci
V roce 2018 si můžete (od konce dubna) zabezpečit účet ověřením přihlašování přes mobilní aplikaci. Podrobnosti viz výše.
TIP: Jak často si mám měnit heslo? Kdy je nutné si heslo změnit a kdy je lepší to nedělat vám vysvětlí vše podstatné o změnách hesla.
