Únik 16 miliard hesel: Co se opravdu stalo? V červnu 2025 odhalili výzkumníci v oblasti kybernetické bezpečnosti ze společnosti Cybernews jeden z největších úniků přihlašovacích údajů vůbec: více než 16 miliard přihlašovacích dat rozdělených do přibližně 30 rozsáhlých datových sad bylo volně dostupných online. Tento únik nebyl účinkem jednoho prolomení, ale výsledkem let tiché infekce zařízení malwarem typu infostealer, který nepozorovaně extrahoval vše od hesel a cookies až po aktivní session tokeny a historii přihlášení na weby. Mnoho přihlašovacích údajů je stále platných, což ovlivňuje hlavní platformy jako Google, Apple, Facebook, Telegram, GitHub nebo různé vládní systémy. Některé datové sady obsahovaly až 3, 5 miliardy záznamů a po určitou dobu bylo velké množství těchto dat dostupných na veřejných serverech bez nutnosti hackovacích dovedností. V roce 2024 samotném malware typu infostealer způsobil krádež 2, 1 miliardy přihlašovacích údajů, což představuje téměř dvě třetiny všech ukradených dat tímto způsobem, čímž se ukazuje rostoucí hrozba. Proč únik 16 miliard hesel odhaluje omezení tradičních systémů přihlášení Tento incident zdůrazňuje zásadní zranitelnosti tradičních systémů identity, které jsou stále široce používány. Opakované používání hesel je běžné, takže když je nějaký účet prolomen, útočníci mají snadný přístup i k dalším službám prostřednictvím techniky credential stuffing. Přítomnost session tokenů – digitálních klíčů k ověřeným účtům – v těchto únikových datech problém dále zhoršuje. S dostupností malware jako služby, který lze zakoupit, mohou útočníci automatizovaně získávat kontrolu nad účty bez přímého cílení na oběti. Tyto faktory vytvářejí ideální podmínky pro krádeže identity, finanční podvody a porušování soukromí, což naznačuje, že samotné dvoufázové ověřování (2FA) a správci hesel již nestačí jako obrana. Pozornost se proto přesouvá k základním řešením jako jsou digitální identity založené na blockchainu, které nemají závislost na heslech. Potřeba bezheslového ověřování a blockchainu Po takovýchto velkých únikách se opět objevují obecné rady: používat silná a unikátní hesla; zavést správce hesel jako 1Password nebo Bitwarden; aktivovat 2FA; přejít na passkeys využívající biometriku; a monitorovat úniky pomocí nástrojů na skenování dark webu. Ač jsou tyto rady hodnotné, představují pouze dílčí opatření v systému, který postrádá vnitřní odolnost. Uživatelé jsou stále vystaveni phishingu, malwarem či zranitelným aplikacím.

Vzhledem k rostoucí složitosti a rozsahu breachingů roste i počet odborníků, kteří prosazují správu identity přes Web3, umožňující dlouhodobé zlepšení bezpečnosti. Zavedením bezheslového ověřování prostřednictvím blockchainu by se model kybernetické bezpečnosti mohl posunout od reakce na útoky k proaktivní infrastrukturní ochraně – skutečnému nahrazení nefunkčního systému. Je pozoruhodné, že systém hesel sahá již do 60. let 20. století, kdy vznikl MIT-ův systém kompatibilního sdílení času (Compatible Time-Sharing System), kde již tehdy byla identifikována bezpečnostní rizika, což dokazuje, že zranitelnost hesel není nová. Může být digitální identita na blockchainu řešením? Vzhledem ke krádeži miliard hesel je otázka, proč se na hesla stále spoléháme. Mnoho vývojářů, institucí a ochránců soukromí dnes vidí blockchainovou digitální identitu jako potřebnou alternativu. Co řeší blockchainová digitální identita Decentralizované systémy identity poháněné blockchainem obracejí tradiční model tím, že vracejí vlastnictví a kontrolu digitálních identit uživatelům prostřednictvím konceptu sebeurčené identity (SSI). Místo centralizovaných databází, které jsou zranitelné velkými průniky, blockchain využívá decentralizované identifikátory (DID) – jedinečné soukromé klíče uložené v síti, které patří výhradně uživateli, bez centrálního úložiště k útoku. Klíčové výhody zahrnují: - Žádný jediný bod selhání: Na rozdíl od centralizovaných systémů s miliony uložených údajů, blockchainové identity nemají centrální server, který by bylo možné kompromitovat. - Minimální expozice dat: Pomocí ověřitelných osvědčení (Verifiable Credentials) mohou uživatelé ověřit atributy (například věk nebo vzdělání) bez sdílení kompletních dokladů totožnosti. Pokročilé techniky Zero-Knowledge Proofs umožňují ověřit tvrzení (například „mám více než 18 let“) bez odhalení základních dat. - Odolnost vůči zásahům a auditovatelnost: Ověření vydané do digitálních peněženek uživatelů jsou kryptograficky podepsaná a časově označená, což ztěžuje padělání nebo nepozorovanou změnu. Tento přístup – sebeurčená identita – zásadně nahrazuje dnešní zranitelnou infrastrukturu identity. Kdo testuje řešení blockchainové identity? Ač stále v rané fázi, přechod na správu identity v rámci Web3 již přináší konkrétní pokrok. Evropská unie spouští eIDAS 2. 0 a platformu European Blockchain Services Infrastructure (EBSI) pro vydávání neporušených digitálních diplomů a osvědčení napříč členskými státy. Německo a Jižní Korea testují blockchainové systémy digitální totožnosti, které by mohly nahradit fyzické průkazy na národní úrovni. Mezitím startupy jako Dock Labs, Polygon ID a TrustCloud vyvíjejí platformy, které umožňují jednotlivcům vytvářet, spravovat a selektivně sdílet osvědčení pro styky s vládami, bankami, vzdělávacími institucemi a dalšími. Shrnuto, únik 16 miliard hesel odhaluje zásadní nedostatky stávajících přihlašovacích systémů a zdůrazňuje nutnost zavádění inovativních řešení na bázi blockchainu, která nabízejí vyšší bezpečnost, soukromí a kontrolu pro uživatele.