Jak zjistit, zda vaše heslo uniklo: kontrola úniků dat krok za krokem

Úniky dat jsou realitou moderního internetu. Útočníci pravidelně kradou databáze přihlašovacích údajů z webových služeb, aplikací nebo e-shopů – a ukradená data prodávají nebo zveřejňují na darknetu. Pokud vaše e-mailová adresa a heslo unikly z jedné služby a používáte stejné heslo jinde, útočníci to vyzkouší – a pravděpodobně uspějí.

Dobrou zprávou je, že zkontrolovat, zda vaše adresa figuruje v databázích úniku, zabere méně než minutu.

Proč úniky dat vznikají a jak se šíří

Úniky dat nevznikají vždy z vaší chyby. Útočníci napadají servery webových služeb, e-shopů, herních platforem nebo sociálních sítí. Pokud server neukládal hesla bezpečně (v moderní hashované podobě), mohou útočníci hesla přímo přečíst.

Odcizené databáze se pak:

• Prodávají na darknetových tržištích.
• Zveřejňují zdarma na fórech – čímž se dostávají do oběhu.
• Používají v credential stuffing útocích – automatizované nástroje testují ukradené kombinace přihlašovacích údajů masově na jiných webech.

Výsledek: i pokud jste nikdy neudělali bezpečnostní chybu, vaše přihlašovací údaje mohou být kompromitovány kvůli chybám poskytovatele služby.

Have I Been Pwned: nejspolehlivější nástroj pro kontrolu

Have I Been Pwned (HIBP) je bezplatný nástroj spravovaný bezpečnostním výzkumníkem Troyem Huntem. Databáze aktuálně obsahuje více než 14 miliard zkompromitovaných záznamů. Nejde o pochybný web – HIBP využívají bezpečnostní týmy firem, vlády USA, Velké Británie a Austrálie.

Jak HIBP zkontrolovat krok za krokem

1. Otevřete prohlížeč a přejděte na haveibeenpwned.com.
2. Do pole zadejte svou e-mailovou adresu (nikoli heslo).
3. Klikněte na tlačítko „pwned?”.
4. Výsledek buď oznámí, že adresa nebyla nalezena (zelená obrazovka – „Good news”), nebo vypíše seznam úniků, ve kterých adresa figuruje.

Pokud jste nalezeni, uvidíte název úniku (např. „Adobe”, „LinkedIn”, „Canva”), datum úniku a jaká data byla odcizena (e-mail, heslo, jméno, telefonní číslo).

Proč je zadání e-mailu bezpečné

Zadáváte pouze adresu, nikoliv heslo. Have I Been Pwned adresu porovná se svou databází hashů a vrátí výsledek. Web sám vaše přihlašovací údaje nezpracovává ani neukládá k dalšímu použití. Zásady ochrany osobních údajů jsou veřejně dostupné na webu.

Kontrola hesel bez jejich zadávání

Prohlížeče Chrome, Firefox, Edge i Safari mají integrované kontrolory kompromitovaných hesel – upozorní vás, pokud vaše uložené heslo figuruje v databázi úniku. Tato kontrola využívá princip k-anonymity: heslo se hashuje lokálně a serveru se odešle pouze prvních 5 znaků hashe. Server nikdy neuvidí vaše celé heslo.

Podobnou technologii nabízejí i správci hesel – 1Password, Bitwarden nebo NordPass automaticky hlídají, zda vaše uložená hesla nebyla kompromitována.

Co dělat po zjištění úniku

Krok 1: Identifikujte rozsah

Podívejte se, u které služby k úniku došlo a jaká data byla odcizena. Pokud uniklo pouze e-mail a heslo, je situace jiná než únik s číslem karty, rodným číslem nebo adresou.

Krok 2: Změňte heslo na dotčené službě

Přihlaste se přímo na web dané služby (ne přes odkaz v e-mailu) a okamžitě nastavte nové, silné a unikátní heslo.

Krok 3: Změňte heslo na všech místech, kde jste stejné heslo použili

Toto je nejkritičtější krok. Stejné heslo na více místech je dominový efekt – útočníci metodou credential stuffing testují ukradené kombinace na desítkách dalších webů. Prioritizujte:

• E-mail (klíčový – kdo má přístup k e-mailu, může resetovat hesla ostatních služeb)
• Online bankovnictví a platební služby
• Sociální sítě
• Pracovní účty

Krok 4: Zapněte dvoufázové ověření (2FA)

Silné heslo v kombinaci s 2FA je ochrana i v případě, že heslo unikne v budoucím úniku. Útočník bez druhého faktoru neprojde. Podrobnosti o metodách 2FA najdete v Bezpečnost na internetu: kompletní průvodce pro rok 2026.

Krok 5: Zkontrolujte přihlašovací historii

Většina e-mailových služeb a sociálních sítí zobrazuje historii přihlášení – přístupová místa, zařízení a časy. Pokud zpozorujete neznámé přihlášení, odhlaste všechna zařízení a změňte heslo.

Krok 6: Zvažte správce hesel

Pokud jste při procházení úniku zjistili, že používáte stejná hesla na více místech, je to správný moment k instalaci správce hesel. Ten pro vás vygeneruje a uloží silné unikátní heslo pro každý účet. Přehled řešení najdete v Co je správce hesel? Jak funguje a proč ho používat a Nejlepší správce hesel 2026: srovnání a doporučení.

Speciální situace: únik rodného čísla nebo identifikačních dat

Pokud únik zahrnoval rodné číslo, adresu, číslo OP nebo jiné identifikační údaje, situace je vážnější.

• Rodné číslo v ČR je trvalý identifikátor – nelze ho změnit. Jeho zneužití může vést k pokusu o úvěrový podvod (útočník si pokusí vzít půjčku na vaše jméno).
• Sledujte svou kreditní historii – v ČR přes bankovní registr nebo CRIF.
• Při podezření na zneužití identity kontaktujte Policii ČR a případně banku.

Nástroj na /nastroje/generator-hesel/

Na stránce /nastroje/generator-hesel/ najdete přehled nástrojů pro kontrolu bezpečnosti hesla i generátor silných hesel. Pravidelná kontrola vám pomůže odhalit problémy dříve, než vás překvapí útočník.

Co teď udělat?

1. Zkontrolujte svou e-mailovou adresu na haveibeenpwned.com – zjistíte okamžitě, v kolika únicích figurujete.
2. Změňte kompromitovaná hesla – začněte e-mailem a bankovnictvím, pokračujte ostatními.
3. Zapněte 2FA na klíčových účtech – je to nejúčinnější ochrana pro případ budoucích úniků.
4. Nainstalujte správce hesel a začněte používat unikátní hesla pro každou službu. Průvodce najdete v Co je správce hesel? Jak funguje a proč ho používat.
5. Nastavte upozornění v HIBP – zdarma se zaregistrujte k notifikacím, aby vás web informoval, pokud se vaše adresa objeví v budoucím úniku.