17 mln haseł polskich internautów wyciekło do sieci. Jak sprawdzić, czy nie padliśmy ofiarą hakerów?

Daniel Maikowski
Troy Hunt, ekspert ds. cyberbezpieczeństwa opublikował listę prawie 320 mln haseł logowania do serwisów internetowych, które w ostatnich latach wyciekły do sieci. Powody do obaw mają również internauci z Polski.

W ostatnich latach doszło do kilku bardzo poważnych wycieków haseł, których ofiarą padli m.in. użytkownicy serwisów LinkedIn, Yahoo, Dropbox czy last.fm.

Niektórzy użytkownicy, w trosce o swoje bezpieczeństwo, zmienili hasła na nowe. Inni wciąż korzystają z haseł, do których dostęp może mieć praktycznie każdy internauta.

17 mln haseł polskich internautów

Udowodnił to m.in. Troy Hunt, ekspert ds. bezpieczeństwa w sieci oraz były pracownik Microsoftu, który właśnie opublikował w sieci listę prawie 320 mln haseł internetowych.

W zbiorze opublikowanym przez Hunta znajdziemy m.in. 17 mln haseł należących do polskich internautów. Warto zaznaczyć, że zebrane hasła już wcześniej były dostępne w sieci i można było je znaleźć m.in. w takich serwisach jak Exploit.in czy Anti Public.

Jak sprawdzić czy padliśmy ofiarą wycieku?

Na stronie "have i been pwned?" Hunt opublikował narzędzie, które pozwoli sprawdzić, czy jedno z naszych haseł wyciekło do sieci. Wystarczy wpisać je w tę wyszukiwarkę. WAŻNE: pod żadnym pozorem nie wpisujcie hasła, z którego nadal korzystacie (!)

WyszukiwarkaWyszukiwarka fot. Have i been pwned?

Istnieje również bezpieczniejszy sposób na sprawdzenie, czy padliśmy ofiarą jednego z ataków. Możemy pobrać opublikowaną przez Hunta listę haseł na dysk naszego komputera. Problem w tym, że plik z bazą danych zajmuje aż 5,3 gigabajta.

Na stronie "have i been pwned?" znajdziemy również inne bardzo ciekawe narzędzie, które pozwoli nam sprawdzić, czy należące do nas konta internetowe padły ofiarą, któregoś z dużych wycieków. Wystarczy wpisać swój adres e-mail w tę wyszukiwarkę.

Wyciek hasełWyciek haseł fot. DM

Po wpisaniu mojego prywatnego adresu e-mail okazało się, że w ostatnich latach hakerzy mogli przejąć mój login i hasło do serwisów Dropbox, last.fm i Tumblr.

Jak ochronić się przed kradzieżą konta?

Zasada 1 – Silne hasło

To brzmi jak truizm. W podobny sposób rozpoczyna się zresztą 99 proc. poradników dotyczących bezpieczeństwa w sieci. Sęk w tym, że większość internautów wciąż  kompletnie lekceważy tę zasadę. Z najnowszych danych firmy Splash Data wynika, że trzy najczęściej stosowane hasła w 2015 roku to: „123456”, „password” i „12345678”.

Silne hasło powinno składać się z kilkunastu znaków, a wśród nich małych i dużych liter, cyfr i znaków specjalnych. Warto pamiętać o zasadzie jedno konto = jedno hasło. Korzystanie z tego samego hasła do wszystkich usług, to prezent dla przestępców. To tak, jakbyśmy wręczyli im uniwersalny klucz do naszej sieciowej tożsamości.

Zasada 2 – Bezpieczne hasło

Dbaj o swoje hasło i nikomu go nie udostępniaj. Fatalnym pomysłem jest zapisywanie go w publicznie dostępnych miejscach, jak również w chmurze (Google, Docs, Evernote czy też Dropbox). Pod żadnym pozorem nie wysyłaj hasła e-mailem. W przypadku, gdy zapomniałeś hasła i korzystasz z funkcji jego przypomnienia, zapamiętaj nowe hasło, a następnie usuń otrzymaną wiadomość (również z kosza).

Pamiętaj o tym, aby dbać nie tylko o hasło, ale również adres e-mail. Staraj się go nie publikować na stronach internetowych i  w serwisach społecznościowych. Uchroni cię to nie tylko przed kradzieżą danych logowania, ale i również przed zalewem spamu.

Zasada 3 – Zwracaj uwagę na HTTPS

Jeśli do swojego klienta poczty e-mail logujesz się z poziomu przeglądarki internetowej (tzw. Webmail), to upewnij się, że połączenie z serwerem jest szyfrowane. W przypadku takiego połączenia adres strony rozpoczyna się od „https”. Zwróć uwagę na symbol zielonej kłódki w lewym rogu paska adresu, kliknij w nią i zweryfikuj czy certyfikat jest aktualny i czy został wystawiony firmie, z której usługi korzystasz.

Jeśli korzystasz z Webmaila w miejscu publicznym, pamiętaj o wylogowaniu się po zakończeniu sesji. Pamiętaj również, że przeglądarki często oferują zapamiętanie nazwy i użytkownika i hasła logowania – pod żadnym pozorem się na to nie zgadzaj. Jeśli chcesz uniknąć kłopotów z tym związanych, najlepiej uruchom przeglądarkę w trybie prywatnym (Chrome – tryb Incognito; Firefox – tryb prywatny; IE – tryb InPrivate).

Zasada 4 – Aktywuj dwuetapową weryfikację konta

Taką usługę oferuję większość popularnych dostawców usług e-mail. Weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczającą konto. Podczas logowania użytkownik musi wpisać nie tylko nazwę użytkownika i hasło, lecz także kod weryfikacyjny wysyłany SMS-em na numer telefonu podany przy rejestracji. W przypadku Gmaila można również skorzystać z aplikacji mobilnej Google Authenticator.

Zasada 5 – Uważaj na podejrzane e-maile

Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:

  • Czy znasz nadawcę wiadomości?
  • Czy otrzymywałeś już inne wiadomości od tego nadawcy?
  • Czy spodziewałeś się otrzymać tę wiadomość?
  • Czy tytuł wiadomości i nazwa załącznika mają sens?
  • Czy wiadomość nie zawiera złośliwego oprogramowania?

Jeśli odpowiedź na któreś z powyższych pytań brzmi „NIE”, to nie otwieraj e-maila ani jego załączników i nie odpowiadaj nadawcy.

Pamiętaj również o tym, że banki, firmy oferujące usługi związane z płatnościami on-line, jak również serwisy społecznościowe nigdy nie wysyłają do klientów wiadomości, w których proszą ich o podania haseł logowania czy innych wrażliwych danych. Jeśli otrzymałeś takiego e-maila, to jego nadawcą jest prawdopodobnie oszust.

Więcej o:
Komentarze (41)
17 mln haseł polskich internautów wyciekło do sieci
Zaloguj się
  • klm747

    Oceniono 7 razy -3

    a po cholerę mam sprawdzać hasło, którego już nie używam, parchaty gimbusie Maikowski??

  • tenare

    Oceniono 7 razy -3

    Hasła i tak nie mają znaczenia, bo portale, takie jak np. gazeta.pl, albo wyborcza.pl donoszą władzy.

  • marten

    Oceniono 1 raz -1

    Fantastyczna metoda na pozyskanie mailingowych list do spamowania.

  • Krzysztof Woźnica

    0

    Nawet wpisując swoje stare hasła oddajecie nieocenioną usługę przestępcom. To co wyciekło to skróty haseł - oni nadal nie wiedzą jakie hasła się za częścią tych skrótów kryją. Wpisując hasło, które się dopasuje do skrótu pomagacie im budować bazę bezużytecznych haseł co w przyszłości pozwoli nawet nierozgarniętemu dzieciakowi odszyfrować dopasować hasło do skrótu. Nie warto sprawdzać na żadnej stronie. Jeśli obawiacie się o bezpieczeństwo zmieńcie hasła na takie, których nikt nie mógł wymyślić (z generatora losowego). Takie hasła też łatwo zapamiętać.

  • ad2009

    0

    Sprawdzajcie.
    A jak juz sprawdzicie i zmienicie hasla to nie zapomnijcie sprawdzic jeszcze raz.

  • hansman

    Oceniono 6 razy 0

    jak dla mnie to z dziennikarzy zrobiono misiewiczów internetu...

    naprawdę nie widzicie nic dziwnego w tym, że w jednym miejscu macie "wyszukać" rzekomo wykradzione hasło, a w innym "sprawdzić, czy należące do nas konto internetowe nie padło ofiarą wycieku informacji" ?

    gratulacje również dla wszystkich sprawdzających.

    w najlepszym razie facet zbuduje sobie bazę aktywnych emaili do spamu.

  • jacab

    Oceniono 4 razy 0

    ja jestem ciekawy DLA KOGO PRACUJE pan, który tworzy tą nową bazę haseł, a nawet powiązanych z kontami, bo przecież wielu chętnych najpierw klepnie swoje hasła, a za chwilę sprawdzi dla jeszcze konta, wystarczy powiązać hasła i konta z przedziału 5 min., w dodatku z tego samego adresu IP i mamy na tacy parę milionów komplecików do wykorzystania, nikt mi nie powie, że on tego nie zapisuje :D, a za parę lat dowiemy się, że pan z MS przeszedł do NSA, albo CIA, albo co gorsza jakiejś nowej grupy Anonymous2, albo nasze konta i hasełka zostały sprzedane, albo nic sie nie dowiemy, do tego (nie)dobrego namawiani jesteśmy oficjalnie przez publiczne media, brawo

Aby ocenić zaloguj się lub zarejestrujX