Bezpečnost

Jak nakládáme s vaším heslem

Vaše heslo je u nás uloženo, jako jednosměrný hash, takže není možné ho přečíst, nebo dešifrovat jinak, než útokem na hashovací algoritmus - tedy hrubou silou. Nicméně, protože se často vyskytují případy, kdy jsou zneužívány zákaznické e-mailové schránky se slabými hesly, začali jsme během přihlašovacího procesu testovat sílu hesla. Na ověření síly vašeho hesla používáme nástroj 'zxcvbn' (https://github.com/dropbox/zxcvbn) a také haveibeenpwned API, které využívá takzvaný k-anonymity protokol...

Upozornění na podvodný e-mail

UPOZORŇUJEME NA CÍLENÉ ZASÍLÁNÍ PODVODNÝCH E-MAILŮ Vážení zákazníci, v posledních dnech jsme zaznamenali, že dostáváte PODVODNÉ EMAILY, které vás vyzývají k obnově platnosti domény a snaží se vás přimět, abyste vyplnili své přístupové údaje, případně číslo platební karty. Pokud se to stalo i vám a přístupové údaje jste neznámému útočníkovi poskytli, HESLO SI OBRATEM ZMĚŇTE a kontaktujte naši zákaznickou podporu. Emaily chodí v tomto znění a mohou opravdu vyvolat falešný dojem, že byly odeslá...

Web Security: Účinné opatření proti hackerům

Služba Web Security (https://www.active24.cz/websecurity) je určena těm zákazníkům, kteří chtějí, abychom případné napadení stránek bezodkladně vyřešili, škodlivý kód odstranili a zabránili jeho navrácení. Bez služby Web Security je nutné, aby škodlivý kód odstranil správce stránek. Při nalezení malwaru bude infikovaný soubor automaticky přejmenován. To může způsobit částečný nebo i úplný výpadek webové stránky. Výpadek pak trvá do té doby, než správce webu škodlivý kód odstraní ze zdr...

SSL/TLS certifikáty a HTTPS

Běžná komunikace po internetu probíhá nešifrovaně, spojení mezi počítači lze jednoduše odposlouchávat. Pomocí SSL/TLS certifikátů se komunikace mezi počítačem uživatele a serverem, na kterém běží webové stránky, šifruje a nemůže tak být odposlouchávána nebo cestou modifikována. Návštěvníci webových stránek díky tomu mají jistotu, že data, která serveru předávají (jména, hesla, čísla platebních karet atd.), poskytují pouze provozovateli stránek a žádná třetí osoba k nim při komunikaci nemůže zís...

Tipy pro uživatelské heslo

Zde najdete několik rad, jak pracovat s hesly pohodlně a zároveň bezpečně. Zapomeňte na zásady nařizující kolik máte mít v hesle jakých znaků a jak často máte heslo pravidelně měnit. Jsou dávno přežité a prokazatelně kontraproduktivní. - Používejte správce hesel (#spravce) - Pro každou službu používejte unikátní heslo (#unikatni) - Hesla nevymýšlejte, ale generujte (#generujte) - Pokud heslo s někým sdílíte, ověřte nejprve jeho identitu (#overujte) - Máte-li podezření na únik hes...

Ověření přihlášení - dvoufaktorová autorizace (2FA)

Pro zvýšení zabezpečení služeb, na kterých Vám záleží, doporučujeme u zákaznického účtu aktivovat ověření přihlášení (tzv. dvoufaktorovou autorizaci). V současné době je podporována metoda ověření pomocí jednorázových číselných hesel (TOTP), která jsou typicky generována v mobilní aplikaci pomocí sdíleného klíče. Aplikací podporujících TOTP existuje celá řada, zde uvádíme některé z nich: Google Authenticator (Android (https://play.google.com/store/apps/details?id=com.google.android.apps.authen...

Pošta chráněná protokolem DANE

Poštovní služby u ACTIVE 24 jsou chráněny protokolem DANE. Co to znamená? Příchozí i odchozí emaily jsou během SMTP komunikace mezi poštovními servery přenášeny šifrovaně vždy, kdy to protistrana podporuje a automaticky se ověřuje i platnost certifikátu. Pokud by certifikát nebyl platný (např. byl podvržený potenciálním útočníkem), email nebude doručen a útočník se tak k němu nedostane. Tím se efektivně brání nejen možnému pasivnímu odposlechu poštovní komunikace, ale také se zamezí aktivnímu t...

Hlášení bezpečnostních zranitelností

Společnost ACTIVE 24 průběžně hodnotí rizika potenciálního napadení námi provozovaných služeb a ta zohledňuje jak při vývoji a provozu, tak při podnikání aktivních protiopatření. Zabezpečení služeb věnujeme značné úsilí a kapacity našich technických týmů. Jsme si vědomi, že bezpečnost systémů není statický stav, ale průběžný proces neustálého přehodnocování, vývoje a zdokonalování, kde důležitou roli hraje rychlost reakce na zjištěné slabiny. Proto vítáme spolupráci s komunitou specialistů v obl...

CAA záznam - autorizace certifikační autority

Záznam typu CAA (Certification Authority Authorization) definuje politiku vystavení SSL/TLS certifikátu na zvolené doméně. Cílem je zamezení vystavování podvržených certifikátů a tím zvýšení důvěryhodnosti https spojení se serverem. Jednoduše určíte, která certifikační autorita může certifikát vystavit, případně kdo má být upozorněn, pokud se někdo neoprávněně pokusí certifikát vydat. Jeden CAA záznam definuje jednoho vydavatele certifikátů. Záznamů může být na jedné doméně vyplněno více, ty s...