Heslo „123456789″ má v roku 2025 stále tisíce slovenských používateľov a hackeri ho prelomia za zlomok sekundy, ukazuje analýza CRIF Cyber Observatory 2025, o ktorej informuje spravodajský portál agentúry TASR. Slováci na to doplácajú aj v globálnom rebríčku krajín s najvyšším počtom ukradnutých účtov, kde sa tento rok umiestnili na 36. mieste.
Medzi najčastejšie odcudzené slovenské heslá v roku 2025 patria okrem číselnej sekvencie „123456789″ aj kombinácia „66366636″ a krstné mená „adamko“, „tomasko“, „patrik“ či výraz „milacik“. Rok predtým dominovali ženské mená „veronika“, „monika“ a „dominika“, z mužských mien viedol „martin“. Vzorec sa mení, problém zostáva.
Ukradnuté prihlasovacie údaje nekončia v tichosti. Objavujú sa na dark webe, kde ich kyberzločinci využívajú na preniknutie do e-mailových, sociálnych alebo bankových účtov. Podľa CRIF narástol počet upozornení z dark webu medziročne o 5,8 percenta, závažnosť únikov dát sa zvýšila o 22 percent. Kyberzločinci pritom čoraz viac nasadzujú nástroje umelej inteligencie na automatizáciu phishingových útokov.
Credential stuffing
Osobitným rizikom je útok označovaný ako credential stuffing. Hackeri pri ňom použijú prihlasovacie údaje z jednej napadnutej služby a systematicky ich skúšajú v iných aplikáciách. Ak niekto používa rovnaké heslo pre e-mail, sociálne siete aj internetové bankovníctvo, stačí jediný únik. CRIF potvrdzuje, že najčastejšou zneužitou kombináciou býva e-mail spárovaný s heslom, čo z tejto dvojice robí primárny cieľ.
Automatizované nástroje skúšajú milióny kombinácií za sekundu. Krátke heslá pod osem znakov dokáže bežný počítač prelomiť za menej ako hodinu bez ohľadu na použité symboly, upozorňuje bezpečnostný portál UpGuard. Sekvencie ako „123456789″ pritom hackeri netestujú manuálne.
Česko na 14. mieste
Slovensko sa v globálnom rebríčku posúva pomaly, ale predsa. V roku 2023 figurovalo na 17. mieste, v roku 2024 na 34. mieste, v roku 2025 na 36. mieste. Susedné Česko je na tom podstatne horšie a vlani skončilo na 14. priečke. Medzi tamojšími najobľúbenejšími heslami sa druhý rok po sebe drží „eliska“ a „maminka“, pribudli „pepicek“ a „slunicko“. Obe krajiny zdieľajú ten istý vzorec: krstné mená a citové výrazy ako základ prihlasovacích údajov.
Päť najzraniteľnejších kategórií dát podľa CRIF tvorí heslá, e-mailové adresy, používateľské mená, telefónne čísla a mená s priezviskami. Kyberzločinci tieto údaje kombinujú pri cielených útokoch, čím zvyšujú presnosť profilovania obetí. Únik hesla teda zriedka zostane izolovanou udalosťou.
Dĺžka pred zložitosťou
Americký Národný inštitút pre štandardy a technológie (NIST) odporúča pri tvorbe hesiel uprednostniť dĺžku pred zložitosťou. Dlhé heslo zložené z náhodných slov je odolnejšie ako krátke heslo plné špeciálnych znakov. Za zlatý štandard sa považuje takzvaná heslová fráza, teda reťazec štyroch až piatich nesúvisiacich slov oddelených interpunkciou, napríklad „Jablko.Magnet.Oblak.Cesta“. Minimálna odporúčaná dĺžka je 12 až 16 znakov, heslo by nemalo obsahovať osobné údaje a pre každé konto by malo byť unikátne.
Na správu väčšieho počtu hesiel slúžia správcovia hesiel ako Bitwarden alebo 1Password, ktoré heslá nielen ukladajú, ale aj generujú s vysokou mierou náhodnosti. Rovnako dôležité je aktivovanie dvojfaktorového overovania, pri ktorom prihlásenie vyžaduje okrem hesla aj druhý overovací prvok, napríklad kód zaslaný na mobil alebo vygenerovaný autentifikačnou aplikáciou. Aj keď útočník heslo získa, bez tohto druhého faktora sa do účtu nedostane.
Medzi päť najzraniteľnejších kategórií dát patrí aj telefónne číslo, teda údaj, ktorý väčšina používateľov považuje za menej citlivý než heslo. Práve na jeho základe však kyberzločinci overujú a dopĺňajú profily obetí zostavené z iných únikov. CRIF zaznamenal nárast závažnosti takýchto kombinovaných únikov o 22 percent.
