Jak poprawić bezpieczeństwo Twoich haseł

Naruszenie poufności hasła – począwszy od skrzynek mailowych po konta bankowe – może okazać się katastrofalne w skutkach zarówno dla osób prywatnych, jak i firm. Tutaj znajdziesz informacje o tym, jak sprawić, aby Twoje hasła były bezpieczne.

Obraz dekoracyjny

Jak bezpieczne jest moje hasło?

Jeśli korzystasz z jednego lub dwóch haseł do wszystkich kont, istnieje prawdopodobieństwo, że Twoje hasło nie jest tak bezpieczne, jak powinno. To dość powszechne, że wybieramy taką kombinację słów, cyfr i liter, jaką jesteśmy w stanie zapamiętać i powielić, a następnie używamy jej jako "ogólnego hasła" do różnych kont. Jeśli jesteś jedną z osób, która to robi, wiedz, że jest Was więcej. Ankieta dot. bezpieczeństwa przeprowadzona przez Google dowiodła, że ponad połowa użytkowników korzysta z tego samego hasła do więcej niż jednego konta, a 13% osób korzysta z tego samego hasła do wszystkich kont. Nie jest to dobry nawyk i zdecydowanie powinniśmy mieć różne hasła do każdego konta.

Rodzaje naruszeń dot. haseł

Istnieje więcej niż jeden sposób na zhakowanie hasła, dlatego tak ważne jest, aby mieć więcej niż jedno hasło, aby dbać o swoje bezpieczeństwo w sieci:

  • Atak "brutalną siłą" (ang. brute force attack): jak sama nazwa wskazuje, jest to rodzaj ataku, w którym haker zgaduje Twoje hasło jedynie za pomocą siły woli. Wszystkim nam zdarzyło się siedzieć przed ekranem logowania do dawno nieużywanego konta i próbować w sposób strategiczny zgadnąć, jak mogło brzmieć nasze hasło. Teraz należy przenieść to na poziom hakerów internetowych. Potrafią oni zaprogramować ciągi kodów, które będą zgadywać za nich. W ten sposób słabe hasła mogą zostać złamane w zaledwie kilka sekund.
  • Zapychanie poświadczeniami (ang. credential stuffing): jeśli cyberprzestępcy uzyskali dostęp do list nazw użytkowników i haseł na skutek naruszenia poufności stron internetowych, często będą je wykorzystywać do ataku zwanego credential stuffing. W tym przypadku hakerzy wyszukują konta na stronach internetowych po adresach e-mail ze swojej listy i sprawdzają, czy skradzione hasła działają również do innych kont. Jako że duża część użytkowników korzysta z tego samego hasła do wielu kont, tego typu ataki mogą zwiększyć szkody wywołane pierwotnym naruszeniem poufności danych.
  • Wyłudzanie informacji (ang. phishing): zapewne zdarzyło Ci się już spotkać z tą formą ataku, jednak udało Ci się go rozpoznać. Niestety, nie wszyscy mają takie szczęście. Wyłudzanie informacji typu phishing to sytuacja, w której oszuści podstępnie rozpoczynają z Tobą korespondencję, na przykład wysyłając wiadomość e-mail i podając się za Twój bank. Proszą Cię wtedy o podanie numeru Twojej karty kredytowej, który potrzebny jest w jakimś celu. Zazwyczaj jest to jakaś zaskakująco pozytywna dla Ciebie wiadomość, na przykład zwrot pieniędzy na Twoje konto. Kiedy mają już Twoje dane, sytuacja jest przegrana. Jeśli kiedykolwiek dostaniesz wiadomość e-mail ze swojego banku z prośbą o wysłanie tego typu informacji, lepiej założyć, że jest to sfałszowana wiadomość i zadzwonić do banku z prośbą o potwierdzenie.
  • Atak słownikowy (ang. dictionary attack): jest to atak podobny do ataku typu brute force. Zakłada on, że Twoje hasło składa się z często używanych słów, co zapewne jest prawdą. Jeśli Twoje hasło składa się z jednego lub dwóch standardowych słów, przejrzenie haseł słownikowych może wystarczyć, aby narazić Twoje konto na niebezpieczeństwo.

Sprawdzone procedury dot. bezpieczeństwa haseł

Teraz, kiedy już wiesz, czego nie należy robić, zastanów się, co warto zrobić, aby chronić swoją tożsamość i aktywność w sieci. Poniżej znajduje się krótka lista tego, co należy, a czego nie należy robić:

Używaj bezpiecznego, unikatowego hasła i nigdy nie wykorzystuj go więcej niż jeden raz

Bezpieczne hasło to hasło unikatowe, które, jak sama nazwa wskazuje, jest hasłem całkowicie niepowtarzalnym dla Ciebie jako użytkownika, jak i dla Twojego konta. Hasło to nie powinno być używane w żadnym innym celu, ani połączone z innym kontem lub numerem użytkownika. Prawdziwie silne i unikatowe hasło składa się z następujących elementów:

  • Wielkich liter
  • Małych liter
  • Znaków specjalnych (!#%$*)
  • Cyfr
  • Jest dłuższe niż 15 znaków

Warto posłuchać głosu rozsądku. Nie trzeba być hakerem, żeby zorientować się, że hasło składające się z pięciu znaków jest znacznie łatwiejsze do złamania niż takie, które składa się z 20 znaków. Podobnie oczywiste jest to, że kombinacja liter „qwerty” (czyli sześć pierwszych liter z górnego rzędu klawiatury) jest, co tu dużo mówić, bardzo przewidywalna. Unikaj cyfr i znaków, które są oczywistymi odpowiednikami liter, na przykład 0 zamiast O, 8 zamiast B, czy $ zamiast s. Dobrym rozwiązaniem jest również zmiana hasła co około sześć miesięcy. Takie środki ostrożności mogą wydawać się przesadzone, jednak w kwestii bezpieczeństwa w sieci ostrożności nigdy za wiele.

Korzystanie z menedżera haseł

Z pomocą przychodzą nam tutaj generatory haseł. Prawdą jest, że program może lepiej chronić nas przed programem hakerskim niż ludzki umysł. Dla przykładu, kombinacja taka jak „&*Td^zJxsQkF” jest niezwykle bezpieczna. Fakt, można na nią wpaść samemu. Jednak ludzkie nawyki są bardzo przewidywalne i często korzystamy z podobnych kombinacji klawiszy, nawet jeśli staramy się, aby były one przypadkowe.

Korzystaj z weryfikacji dwustopniowej

Weryfikacja dwustopniowa to taka, która wykorzystuje dwa rodzaje zabezpieczeń potrzebnych, aby uzyskać dostęp do Twojego konta i zazwyczaj wymaga dostępu do kilku urządzeń. Powszechną metodą jest konieczność wprowadzenia hasła na pierwszym etapie weryfikacji, a następnie wprowadzenia jednorazowego kodu wysłanego w wiadomości SMS jako drugiego etapu weryfikacji. Inne rodzaje zabezpieczeń obejmują automatyczne połączenie telefoniczne na numer telefonu połączony z kontem lub kod wysłany na inny adres mailowy niż ten, który jest połączony z kontem. Założenie jest takie, że nawet jeśli haker zdobędzie dostęp do Twojego pierwotnego konta, mało prawdopodobne jest, że będzie miał również dostęp do Twojego telefonu lub innego adresu e-mail. Dropbox zapewnia możliwość stosowania na Twoim koncie weryfikacji dwustopniowej , co oznacza, że dostęp do Twoich dokumentów jest podwójnie zabezpieczony poprzez wiadomość SMS lub mobilną aplikację uwierzytelniającą.

Korzystaj z zaufanych, bezpiecznych witryn internetowych i usług hostingowych.

Jeśli korzystasz z bezpiecznej witryny internetowej, w pasku adresu pojawi się mały symbol kłódki. Przed rozpoczęciem jakiejkolwiek aktywności, takiej jak zakupy online lub udostępnianie danych osobowych, należy upewnić się, że symbol ten się tam znajduje. Ogromna większość stron internetowych posiada tę funkcję. Jeśli jednak masz w planach przechowywanie plików i folderów, tym bardziej warto jest upewnić się, że są one odpowiednio chronione. Na przykład Dropbox korzysta z funkcji szyfrowania i spełnia rygorystyczne wymogi związane z procedurami zgodności, by zapewnić wielopoziomowe bezpieczeństwo w chmurze.

Nie korzystaj z publicznych lub niezabezpieczonych sieci Wi-Fi

Publiczne punkty dostępu do sieci Wi-Fi to połączenia otwarte, co oznacza, że każdy może z nich korzystać. Jeśli połączy się z nimi osoba o złych intencjach, istnieje duże prawdopodobieństwo, że szybko będzie ona mogła zachować się w niepożądany sposób wobec innych użytkowników. Przyjmij sobie zasadę, że nie wprowadzasz danych do bankowości elektronicznej lub numerów kart kredytowych, kiedy korzystasz z publicznego punktu dostępu do sieci Wi-Fi.

Dbanie o bezpieczeństwo haseł jest niezwykle ważne i oznacza, że wyżej wymienione procedury powinny wejść Ci w nawyk. Wszyscy jesteśmy ludźmi, więc możemy zapamiętać ograniczoną liczbę haseł, jednak na szczęście funkcje takie jak menedżer haseł mogą zapamiętać je za nas. Nawet jeśli odpowiedni dobór haseł to Twój konik, pamiętaj, że w tej kwestii bezpieczeństwa nigdy za wiele. Bez względu na to, czy działasz jako firma, freelancer, czy po prostu udostępniasz dokumenty swoim znajomym, dla Dropbox Twoje bezpieczeństwo jest tak samo ważne, jak dla Ciebie.