W ostatnich latach doszło do kilku bardzo poważnych wycieków haseł, których ofiarą padli m.in. użytkownicy serwisów LinkedIn, Yahoo, Dropbox czy last.fm.
Niektórzy użytkownicy, w trosce o swoje bezpieczeństwo, zmienili hasła na nowe. Inni wciąż korzystają z haseł, do których dostęp może mieć praktycznie każdy internauta.
17 mln haseł polskich internautów
Udowodnił to m.in. Troy Hunt, ekspert ds. bezpieczeństwa w sieci oraz były pracownik Microsoftu, który właśnie opublikował w sieci listę prawie 320 mln haseł internetowych.
W zbiorze opublikowanym przez Hunta znajdziemy m.in. 17 mln haseł należących do polskich internautów. Warto zaznaczyć, że zebrane hasła już wcześniej były dostępne w sieci i można było je znaleźć m.in. w takich serwisach jak Exploit.in czy Anti Public.
Jak sprawdzić czy padliśmy ofiarą wycieku?
Na stronie "have i been pwned?" Hunt opublikował narzędzie, które pozwoli sprawdzić, czy jedno z naszych haseł wyciekło do sieci. Wystarczy wpisać je w tę wyszukiwarkę. WAŻNE: pod żadnym pozorem nie wpisujcie hasła, z którego nadal korzystacie (!)
Wyszukiwarka fot. Have i been pwned?
Istnieje również bezpieczniejszy sposób na sprawdzenie, czy padliśmy ofiarą jednego z ataków. Możemy pobrać opublikowaną przez Hunta listę haseł na dysk naszego komputera. Problem w tym, że plik z bazą danych zajmuje aż 5,3 gigabajta.
Na stronie "have i been pwned?" znajdziemy również inne bardzo ciekawe narzędzie, które pozwoli nam sprawdzić, czy należące do nas konta internetowe padły ofiarą, któregoś z dużych wycieków. Wystarczy wpisać swój adres e-mail w tę wyszukiwarkę.
Wyciek haseł fot. DM
Po wpisaniu mojego prywatnego adresu e-mail okazało się, że w ostatnich latach hakerzy mogli przejąć mój login i hasło do serwisów Dropbox, last.fm i Tumblr.
Jak ochronić się przed kradzieżą konta?
Zasada 1 – Silne hasło
To brzmi jak truizm. W podobny sposób rozpoczyna się zresztą 99 proc. poradników dotyczących bezpieczeństwa w sieci. Sęk w tym, że większość internautów wciąż kompletnie lekceważy tę zasadę. Z najnowszych danych firmy Splash Data wynika, że trzy najczęściej stosowane hasła w 2015 roku to: „123456”, „password” i „12345678”.
Silne hasło powinno składać się z kilkunastu znaków, a wśród nich małych i dużych liter, cyfr i znaków specjalnych. Warto pamiętać o zasadzie jedno konto = jedno hasło. Korzystanie z tego samego hasła do wszystkich usług, to prezent dla przestępców. To tak, jakbyśmy wręczyli im uniwersalny klucz do naszej sieciowej tożsamości.
Zasada 2 – Bezpieczne hasło
Dbaj o swoje hasło i nikomu go nie udostępniaj. Fatalnym pomysłem jest zapisywanie go w publicznie dostępnych miejscach, jak również w chmurze (Google, Docs, Evernote czy też Dropbox). Pod żadnym pozorem nie wysyłaj hasła e-mailem. W przypadku, gdy zapomniałeś hasła i korzystasz z funkcji jego przypomnienia, zapamiętaj nowe hasło, a następnie usuń otrzymaną wiadomość (również z kosza).
Pamiętaj o tym, aby dbać nie tylko o hasło, ale również adres e-mail. Staraj się go nie publikować na stronach internetowych i w serwisach społecznościowych. Uchroni cię to nie tylko przed kradzieżą danych logowania, ale i również przed zalewem spamu.
Zasada 3 – Zwracaj uwagę na HTTPS
Jeśli do swojego klienta poczty e-mail logujesz się z poziomu przeglądarki internetowej (tzw. Webmail), to upewnij się, że połączenie z serwerem jest szyfrowane. W przypadku takiego połączenia adres strony rozpoczyna się od „https”. Zwróć uwagę na symbol zielonej kłódki w lewym rogu paska adresu, kliknij w nią i zweryfikuj czy certyfikat jest aktualny i czy został wystawiony firmie, z której usługi korzystasz.
Jeśli korzystasz z Webmaila w miejscu publicznym, pamiętaj o wylogowaniu się po zakończeniu sesji. Pamiętaj również, że przeglądarki często oferują zapamiętanie nazwy i użytkownika i hasła logowania – pod żadnym pozorem się na to nie zgadzaj. Jeśli chcesz uniknąć kłopotów z tym związanych, najlepiej uruchom przeglądarkę w trybie prywatnym (Chrome – tryb Incognito; Firefox – tryb prywatny; IE – tryb InPrivate).
Zasada 4 – Aktywuj dwuetapową weryfikację konta
Taką usługę oferuję większość popularnych dostawców usług e-mail. Weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczającą konto. Podczas logowania użytkownik musi wpisać nie tylko nazwę użytkownika i hasło, lecz także kod weryfikacyjny wysyłany SMS-em na numer telefonu podany przy rejestracji. W przypadku Gmaila można również skorzystać z aplikacji mobilnej Google Authenticator.
Zasada 5 – Uważaj na podejrzane e-maile
Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:
- Czy znasz nadawcę wiadomości?
- Czy otrzymywałeś już inne wiadomości od tego nadawcy?
- Czy spodziewałeś się otrzymać tę wiadomość?
- Czy tytuł wiadomości i nazwa załącznika mają sens?
- Czy wiadomość nie zawiera złośliwego oprogramowania?
Jeśli odpowiedź na któreś z powyższych pytań brzmi „NIE”, to nie otwieraj e-maila ani jego załączników i nie odpowiadaj nadawcy.
Pamiętaj również o tym, że banki, firmy oferujące usługi związane z płatnościami on-line, jak również serwisy społecznościowe nigdy nie wysyłają do klientów wiadomości, w których proszą ich o podania haseł logowania czy innych wrażliwych danych. Jeśli otrzymałeś takiego e-maila, to jego nadawcą jest prawdopodobnie oszust.
