Echa afery związanej z włamaniem na konta Michała Dworczyka nie cichną. Prywatne konto mailowe oraz konto na portalu społecznościowym jednej z najważniejszych osób w rządzie zostało przejęte przez hakerów, a wiele wskazuje na to, że Dworczyk nie jest jedynym poszkodowanym w ten sposób politykiem. Najbardziej szokujący jest jednak fakt, że przejęte konto mailowe - choć jest prywatne - mogło być wykorzystywane w celach służbowych.
Co więcej, jak oświadczył portal Wirtualna Polska (to właśnie z poczty WP korzysta polityk), "wejście na konto ministra Michała Dworczyka i - co za tym idzie - uzyskanie dostępu do jego e-maili nastąpiło na skutek podania poprawnego loginu i hasła". Hakerzy nie zadali więc sobie szczególnie dużego wysiłku, aby się do niego dostać.
Oczywiście korzystanie z prywatnej poczty w celach służbowych nigdy nie jest dobrym pomysłem, szczególnie wtedy, gdy pełnimy ważne funkcje. Przy okazji tej afery warto jednak zastanowić się, w jaki sposób zabezpieczyć swoje prywatne konto, aby nie paść ofiarą cyberprzestępców. Oto cztery najważniejsze sposoby, które powinny przydać się każdemu użytkownikowi sieci.
Po pierwsze: mocne hasło
To, że silne hasło to pierwsze i najważniejsze zabezpieczenie konta do jakiejkolwiek usługi powinno być oczywistością dla każdego internauty. Niestety dla wielu nie jest. Korzystanie ze słabego hasła w sieci, to jak zabezpieczanie mieszkania kosztującą kilkanaście złotych kłódką z supermarketu. Takie zabezpieczenie łatwo złamać.
Tymczasem wielu użytkowników sieci zupełnie nie widzi problemu w korzystaniu z zaskakująco wręcz łatwych do odgadnięcia haseł. W sieci od lat królują m.in.: 123456, password, 111111, qwerty, abc123, iloveyou i wiele podobnych. Odgadnięcie takiego ciągu znaków metodą brute force (wieloma próbami w oparciu o najpopularniejsze hasła) nie stanowi żadnego problemu.
Silne hasło powinno składać się najlepiej z kilkunastu znaków, a wśród nich powinny znaleźć się duże i małe litery, cyfry oraz znaki specjalne. Mogą to być np. pierwsze (lub ostatnie) litery słów zdania, które sami łatwo zapamiętamy, poprzeplatane cyframi i znakami specjalnymi. Aby zobaczyć, jak powinno wyglądać dobre hasło, można też skorzystać z generatora haseł. Podsumowując więc - silne hasło to absolutna podstawa, która pozwala nam przejść do dalszego zabezpieczenia konta.
Po drugie: weryfikacja dwuetapowa
Obecnie każdy szanujący się dostawca usług w sieci pozwala swoim użytkownikom na skorzystanie z weryfikacji dwuetapowej. Polega ona na tym, że znajomość samego loginu i hasła nie wystarczy do zalogowania się na konto. Potrzebny jest jeszcze trzeci składnik. Najczęściej jest nim ciąg cyfr, który usługodawca wysyła wiadomością SMS na nasz numer telefonu lub udostępnia w aplikacji do weryfikacji. Haker nawet znając hasło do konta, nie dostanie się do środka bez znajomości aktualnego kodu.
Weryfikacja dwuetapowa to na tyle wygodne i bezpieczne rozwiązanie, że dla większości użytkowników powinno okazać się idealnym kompromisem. Korzystanie z kodów jednorazowych nie jest szczególnie uciążliwe, a w połączeniu z silnym hasłem pozwala nam spać nieco spokojniej. Do domowego użytku wystarczy, jednak nie polecamy trzymania tajemnic państwowych na koncie zabezpieczonym w taki sposób.
Metoda jest bezpieczniejsza od samego hasła, jednak wciąż można ją obejść, korzystając np. z phishingu, czyli sposobu polegającego na podszywaniu się podczas znaną osobę, firmę lub instytucję. Ofiara ataku, dając wiarę przestępcy, sama podaje dane do logowania na specjalnie spreparowanej stronie internetowej (myśląc, że loguje się do prawdziwego konta, przekazuje dane hakerom). Jeśli cyberprzestępca dostanie hasło oraz kod do weryfikacji dwuetapowej, bez żadnego wysiłku sforsuje takie zabezpieczenie.
Po trzecie: klucz U2F
Ciekawą alternatywą dla weryfikacji dwuetapowej jest klucz U2F (z angielskiego "Universal 2nd Factor"). To niewielkie urządzenie przypominające pendrive'a, które wpinamy do komputera (lub zbliżamy do smartfona), aby potwierdzić swoją tożsamość. W tym przypadku nie hasło SMS, ale właśnie klucz U2F staje się wspomnianym trzecim składnikiem potrzebnym do zalogowania (dwa pierwsze to login i hasło).
Klucz U2F od weryfikacji dwuetapowej jest znacznie bezpieczniejszy, bo włamania na konto konieczne jest fizyczne uzyskanie dostępu do klucza. Chroni zatem przed phishingiem, przy którym weryfikacja SMS-owa jest nieskuteczna, co do amatorskich zastosowań wydaje się w stu procentach wystarczające (koszt takiego urządzenia to od kilkudziesięciu złotych).
Po czwarte: nie daj się włamać
Na koniec warto wspomnieć o jeszcze jednej radzie, która - przynajmniej pozornie - wydaje się najbardziej oczywista. Nie dajmy przestępcy okazji do fizycznego dostępu do swojego sprzętu. Pozostawienia laptopa na moment w kawiarni bez opieki sprawnemu hakerowi wystarczy np. do zainfekowania systemu złośliwym oprogramowaniem. Przejęcie loginu i hasła będzie już wtedy bardzo proste.
Kolejna rzecz to większa uwaga podczas korzystania z sieci. Aby zyskać dostęp do kont w usługach internetowych, przestępcy bardzo chętnie korzystają ze wspomnianego już phishingu. Metoda - pomimo ciągłych ostrzeżeń w mediach - nie traci na popularności od lat, bo internauci i tak nabierają się nawet na bardzo mało wyrafinowane ataki.
A chyba nie trzeba wspominać, że (świadome lub nie) przekazywanie komukolwiek hasła, pod jakimkolwiek pretekstem to proszenie się o kłopoty. Więcej na temat tego, jak nie dać się nabrać na phishing pisaliśmy w poniższym artykule:
![Ukraińcy nie czekają na ożywienie i opuszczają Polskę [RAPORT]](https://bi.im-g.pl/im/59/70/1c/z29820249II.jpg)
