Heslo „123456“ sa dostalo na prvé miesto už šiestykrát za sedem rokov. Nie je to náhoda ani kuriozita. Ide o dlhodobý problém, ktorý má priamy vplyv na bezpečnosť organizácií a úspešnosť kybernetických útokov.

Čo tento rok výskum ukázal 

NordPass a NordStellar analyzovali uniknuté prihlasovacie údaje z verejných databáz a dark webu za obdobie od septembra 2024 do septembra 2025. Zverejnené výsledky zahŕňajú 44 krajín a obsahujú aj generačné porovnanie používateľských návykov od generácie Z až po tichú generáciu.

Hlavným zistením je, že kvalita hesiel zostáva nízka naprieč všetkými vekovými skupinami. Predpoklad, že mladší používatelia, často označovaní ako digital natives, majú lepšie bezpečnostné návyky, sa nepotvrdil. Heslá „12345“ a „123456“ patria medzi najčastejšie používané vo všetkých vekových kategóriách. Slabé heslá teda nie sú problémom konkrétnej skupiny zamestnancov, no predstavujú plošné riziko pre celú organizáciu.

Prečo credential security zostáva podceňovanou vrstvou

Väčšina organizácií dnes investuje do detekčných nástrojov, EDR riešení či sieťovej segmentácie. Ochrana prihlasovacích údajov však často zostáva slabším článkom bezpečnostnej stratégie. Nie preto, že by firmy nepoznali riziká, ale preto, že dôsledky zanedbania tejto oblasti nebývajú okamžite viditeľné.

Útočníci si to veľmi dobre uvedomujú. Credential stuffing, teda automatizované skúšanie prihlasovacích údajov z uniknutých databáz na ďalších službách, patrí medzi najčastejšie využívané techniky počiatočného prístupu. Náklady na takýto útok sú pritom minimálne. Uniknuté databázy sú často voľne dostupné a takisto aj nástroje na automatizáciu testovania. Ak zamestnanec používa rovnaké heslo pre súkromný aj pracovný účet, únik údajov z úplne nesúvisiacej služby môže viesť ku kompromitácii firemného prostredia.

Osobitnú pozornosť si zaslúžia servisné a administrátorské účty. Predvolené alebo dlhodobo nezmenené heslá sa stále objavujú na sieťových zariadeniach, serveroch či interných nástrojoch aj v organizáciách, ktoré majú inak dobre nastavené bezpečnostné politiky. Práve tieto účty pritom disponujú najvyššími oprávneniami a ich kompromitácia môže mať najvážnejšie následky.

Technické kontroly, ktoré reálne pomáhajú

Viacfaktorové overovanie

Viacfaktorové overovanie by malo byť štandardom pri všetkých službách dostupných z internetu. Týka sa VPN prístupov, e-mailových služieb, cloudových aplikácií aj interných portálov. Pri privilegovaných účtoch by organizácie mali uprednostniť metódy overovania odolné voči phishingu, napríklad FIDO2 alebo passkeys. 

Centrálna správa hesiel a SSO

Firemný správca hesiel v kombinácii so systémom Single Sign On znižuje počet hesiel, ktoré musí používateľ spravovať manuálne. Tým sa výrazne znižuje riziko opätovného používania hesiel alebo vytvárania jednoduchých kombinácií.

Monitorovanie uniknutých prihlasovacích údajov

Sledovanie výskytu firemných domén v databázach uniknutých údajov umožňuje identifikovať problém ešte predtým, ako sa uniknuté údaje pokúsi niekto zneužiť. Integrácia takýchto zdrojov do bezpečnostného monitoringu pomáha organizáciám reagovať proaktívne.

Audit privilegovaných účtov a servisných identít

Pravidelná inventarizácia administrátorských účtov, servisných identít a API kľúčov pomáha odhaliť zabudnuté alebo nesprávne nakonfigurované účty. Práve tie často zostávajú mimo štandardných procesov správy prístupov a predstavujú významné riziko.

Medzera medzi politikou a realitou

Dáta spoločnosti NordPass potvrdzujú niečo, s čím sa bezpečnostní odborníci stretávajú dlhodobo. Roky školení a osvety priniesli len obmedzené zmeny v správaní používateľov. Neznamená to, že vzdelávanie nemá význam. Skôr to naznačuje potrebu posunúť sa od modelu založeného predovšetkým na osvete k modelu, v ktorom je správne správanie technicky vynútené.

Technické vynucovanie politík hesiel, blokovanie opätovného používania hesiel, integrácia služieb monitorujúcich úniky údajov a pravidelné penetračné testovanie zamerané na útoky proti prihlasovacím údajom patria medzi opatrenia, ktoré dokážu reálne zlepšiť bezpečnostný stav organizácie bez ohľadu na individuálne rozhodnutia používateľov.

V Citadelo sa pri red teaming cvičeniach a penetračných testoch pravidelne stretávame s tým, že kompromitácia prostredníctvom slabých alebo opakovane používaných prihlasovacích údajov patrí medzi veľmi úspešné vektory počiatočného prístupu. Platí to aj pre organizácie, ktoré majú inak vyspelý bezpečnostný program. Credential security preto patrí medzi oblasti, ktoré sa oplatí preveriť skôr, než ich preverí útočník.