TIP#387: Jak lépe zabezpečit e-mail u Seznamu proti krádeži

Nedávno se vloupali do e-mailové schránky Bohuslava Sobotky na Seznam.cz. Internet je plný stížností lidí, kterým někdo hacknul tamní schránku a už se do ní nikdy nedostali. Cesty k získání zpět spočívající ve vtipných dotazech na vytvořené složky (obyčejní lidé nemívají žádné) a jaké kontakty jste tam měli zpravidla nepomohou. Je vůbec možné schránku na nejrozšířenějším freemailu v ČR nějak chránit?

E-mail u Seznamu používá účet u Seznamu jako jednotné přihlašování, takže vše co se účtu týče se nastavuje přímo u vlastností účtu. Tam najdete pár věcí, které vám mohou pomoci.

První zásadní věc, klasická, musíte mít velmi slušné, silné heslo. Takové co opravdu nejde uhodnout, takové co nedává smysl. Slušnou kombinaci písmen, číslic a nějakých symbolů (aspoň to podtržítko). Tady pořád platí, že Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí a platí všechny ty obvyklé věci – své heslo nikomu nedávejte, vkládejte ho opravdu jenom při přihlášení na Seznam.cz a ujistěte se, že při používání pošty na Seznam.cz je vaše připojení šifrované. A to jak při použití přes web, tak z poštovního klienta (tedy POP3 a SMTP jede přes zabezpečené připojení).

Bohouš Sobotka se po hacknutí účtu nechal slyšet, že měl dvacetimístné heslo. To mít nemusíte a Bohouš zcela určitě žádné takové neměl. Stačí aspoň tak osm znaků, ale opravdu nedávajících žádný smysl. Nebo můžete mít strašně dlouhé heslo, ale v podobě fráze (ale pozor, mohou mít nějaké délkové omezení) . Praktičtější ale je si opravdu nechat od správce hesel vygenerovat složité heslo.

2016-01-22 07_25_20-Údaje pro případ ztráty hesla - Seznam účet.png

Druhá zásadní věc.  Je vhodné přidat kontaktní e-mail, byť ten bohužel Seznam nijak extra nepoužívá, ačkoliv by mohl. Například při změně hesla by o tom mohl posílat informaci na tento e-mail a umožnit to zvrátit. Jediné kdy se hodí je, když „zapomenete“ heslo, Seznam.cz vám nové pošle právě na tento e-mail.

Třetí zásadní věc. Ve výše uvedeném „Údaje pro případ ztráty hesla“ také můžete doplnit telefonní číslo a pokud si chcete účet chránit, tak by bylo velmi dobré tohle udělat.  Musíte ho ověřit posláním SMS (bude to stát 3 Kč, takže nic strašného).

Najdete tam ještě možnost vyplnit Rok narození, ale moc nechápu k čemu tam je a jakou to má souvislost s ztrátou hesla (Seznam tvrdí, že se to dá také použít při snaze o získání zapomenutého hesla). Pro ověření se něco takového zásadně nehodí, protože právě datum narození je snadno zjistitelné. Takže by asi nebylo od věci to brát jako číselný PIN a vyplnit neodhadnutelnou , nesmyslnou, hodnotu.

2016-01-22 07_33_26-Údaje pro případ ztráty hesla - Seznam účet.png

Čtvrtá zásadní věc, najdete zde zásadní problém v podobě kontrolních otázek. Ty jsou jednou z nejlepších cest, jak se útočník dostane na něčí účet – NIKDY, opakuji, NIKDY nesmíte na kontrolní otázky poskytovat reálné odpovědi. Tedy například na rodné příjmení matky si tam prostě vygeneruje nějaké další nesmyslné heslo nebo nesmyslnou odpověď. A tohle si uložte mezi uložená hesla v správci hesel nebo v nějakém bezpečném zaheslovaném úložišti. Viz Jak správně zacházet s kontrolními otázkami u online služeb?

TIP: Co udělat, když už vám někdo hacknul váš e-mail? Mimo to, že se musíte pokusit ho získat zpět (což u Seznam.cz je známo jako prakticky nemožné) to má ještě běžně řadu dalších následků. Ake o tom více hlavně v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby

Nějaké zabezpečení účtu typické pro rok 2016?

Pokud teď očekáváte, že Seznam.cz (přeci jen je to nejrozšířenější freemail v ČR, firma s miliardovými obraty) nabízí něco víc, tak realita je, že nenabízí nic. Žádné dvoufaktorové ověření pomocí SMS, žádné dvoufaktorové ověření přes mobilní aplikaci (kterou přitom má).

Nejsou dostupná ani žádná varování ani běžné možnosti obnovení účtu přes výše uvedený e-mail (kde by vás to například upozornilo na změnu hesla a umožnilo ji vrátit zpět), nebo upozorněním na mobilní telefon. Neexistují ani žádné obnovovací kódy, jak je to běžné u jiných služeb. Prostě v roce 2016 můžete na Seznam.cz sice mít e-mail, ale bezpečností a možnostmi je stále někde dvacet let zpět.

Co tedy udělat pro lepší zabezpečení účtu?

Takže, shrňme to, e-mailový účet na Seznam.cz je zásadně nebezpečná věc, kterou si musíte chránit jenom tím, že použijete velmi silné heslo a budete se velmi pečlivě starat, aby ho nikdo nemohl někde získat, uhádnout či odchytit, nebo abyste ho nenapsali někam kam nemáte.

Nezapomínejte ani na nutnost odhlašovat se, pokud jste použili Seznam někde, kde mohou počítač použít i jiní lidé. Stejně jako pozor na hesla ukládaná do prohlížečů.

Kontrolní otázku si vyplníte na další jiné velmi silné heslo, protože pokud tam vyplníte něco podle pravdy, tak si koledujete o malér.

Rozhodně si přidejte telefonní číslo, protože to v případě ztráty hesla poslouží k poslání nového hesla přes SMS. Pokud ho ale útočník mezitím změní na své, tak vám to asi moc nepomůže.  Určitě si také přidejte další kontaktní e-mail, byť i to v případě ukradení hesla nemusí vůbec pomoci (ale pomůže při zapomenutí hesla). A vyplňte i datum narození, byť dávat tam skutečně bych asi moc nedoporučoval, dejte tam takové, které opravdu budete vědět jenom vy.

Ano. Vítejte v roce 2016.

TIP: Jak často si mám měnit heslo? Kdy je nutné si heslo změnit a kdy je lepší to nedělat vám vysvětlí vše podstatné o změnách hesla. 

Advertisements