Heslo „123456“ se umístilo na prvním místě už pošesté za posledních sedm let. Nejde o náhodu ani kuriozitu. Je to dlouhodobý problém, který má přímý dopad na bezpečnost organizací a úspěšnost kybernetických útoků.

Co letošní výzkum ukázal

NordPass a NordStellar analyzovaly uniklé přihlašovací údaje z veřejných databází a dark webu za období od září 2024 do září 2025. Zveřejněné výsledky zahrnují 44 zemí a obsahují také generační srovnání uživatelských návyků od generace Z až po tzv. tichou generaci.

Hlavním zjištěním je, že kvalita hesel zůstává nízká napříč všemi věkovými skupinami. Předpoklad, že mladší uživatelé, často označovaní jako digital natives, mají lepší bezpečnostní návyky, se nepotvrdil. Hesla „12345“ a „123456“ patří mezi nejčastěji používaná ve všech věkových kategoriích. Slabá hesla tedy nejsou problémem konkrétní skupiny zaměstnanců, ale představují plošné riziko pro celou organizaci.

Proč credential security zůstává podceňovanou vrstvou ochrany

Většina organizací dnes investuje do detekčních nástrojů, EDR řešení nebo segmentace sítí. Ochrana přihlašovacích údajů však často zůstává slabším článkem bezpečnostní strategie. Ne proto, že by firmy neznaly rizika, ale protože důsledky zanedbání této oblasti nebývají okamžitě viditelné.

Útočníci si to velmi dobře uvědomují. Credential stuffing, tedy automatizované zkoušení přihlašovacích údajů z uniklých databází na dalších službách, patří mezi nejčastěji využívané techniky počátečního přístupu. Náklady na takový útok jsou přitom minimální. Uniklé databáze jsou často volně dostupné stejně jako nástroje pro automatizaci testování. Pokud zaměstnanec používá stejné heslo pro soukromý i pracovní účet, může únik údajů z úplně nesouvisející služby vést ke kompromitaci firemního prostředí.

Zvláštní pozornost si zaslouží servisní a administrátorské účty. Výchozí nebo dlouhodobě neměněná hesla se stále objevují na síťových zařízeních, serverech i interních nástrojích, a to i v organizacích, které mají jinak dobře nastavené bezpečnostní politiky. Právě tyto účty přitom disponují nejvyššími oprávněními a jejich kompromitace může mít nejzávažnější následky.

Technické kontroly, které skutečně pomáhají

Vícefaktorové ověřování

Vícefaktorové ověřování by mělo být standardem u všech služeb dostupných z internetu. Týká se VPN přístupů, e-mailových služeb, cloudových aplikací i interních portálů. U privilegovaných účtů by organizace měly upřednostnit metody ověřování odolné vůči phishingu, například FIDO2 nebo passkeys.

Centrální správa hesel a SSO

Firemní správce hesel v kombinaci se systémem Single Sign-On snižuje počet hesel, která musí uživatel spravovat ručně. Tím se výrazně omezuje riziko opakovaného používání hesel nebo vytváření jednoduchých kombinací.

Monitoring uniklých přihlašovacích údajů

Sledování výskytu firemních domén v databázích uniklých údajů umožňuje identifikovat problém ještě předtím, než se někdo pokusí uniklé údaje zneužít. Integrace těchto zdrojů do bezpečnostního monitoringu pomáhá organizacím reagovat proaktivně.

Audit privilegovaných účtů a servisních identit

Pravidelná inventarizace administrátorských účtů, servisních identit a API klíčů pomáhá odhalit zapomenuté nebo nesprávně nakonfigurované účty. Právě ty často zůstávají mimo standardní procesy správy přístupů a představují významné bezpečnostní riziko.

Mezera mezi politikou a realitou

Data společnosti NordPass potvrzují něco, s čím se bezpečnostní odborníci setkávají dlouhodobě. Roky školení a osvěty přinesly jen omezené změny v chování uživatelů. Neznamená to, že vzdělávání nemá smysl. Spíše to naznačuje potřebu posunout se od modelu založeného především na osvětě k modelu, ve kterém je správné chování technicky vynucováno.

Technické vynucování politik pro hesla, blokování opětovného používání hesel, integrace služeb monitorujících úniky dat a pravidelné penetrační testování zaměřené na útoky proti přihlašovacím údajům patří mezi opatření, která dokážou reálně zlepšit bezpečnostní stav organizace bez ohledu na individuální rozhodnutí uživatelů.

Ve společnosti Citadelo se při red teaming cvičeních a penetračních testech pravidelně setkáváme s tím, že kompromitace prostředí prostřednictvím slabých nebo opakovaně používaných přihlašovacích údajů patří mezi úspěšné vektory počátečního přístupu. Platí to i pro organizace, které mají jinak vyspělý bezpečnostní program. Credential security proto patří mezi oblasti, které se vyplatí prověřit dříve, než je prověří útočník.