bezpieczne logowanie na strony
10 maja, 2022

Logować się trzeba, ale ostrożnie z klikaniem

By Damian Bednarz

Mocne hasła, ograniczone zaufanie, dwuskładnikowe uwierzytelnianie. Jak zabezpieczyć się przed wyciekiem osobistych danych? Podpowiadamy, jak nie ryzykować online.

W 2013 roku z portalu Yahoo wykradziono dane z miliarda kont użytkowników. W 2017 roku Google szacował, że mogło to dotyczyć nawet 3 mld osób. Niedawno dowiedzieliśmy się, że z Facebooka wyciekły dane ponad 500 milionów użytkowników. A to tylko przykłady tych głośniejszych zdarzeń.

Przed takimi wyciekami w żaden sposób nie można się zabezpieczyć – chyba że zlikwidujemy wszystkie konta na różnych serwisach. Nie pozostajemy jednak całkowicie bezradni. Prawo unijne (RODO) zobowiązuje firmy do poinformowania organu nadzorczego oraz klientów o takim zdarzeniu, najpóźniej 72 godziny od wykrycia wycieku. W takiej sytuacji można więc szybko pozmieniać te dane poufne, które tylko się da.

– Wycieki z baz danych firm czy instytucji to jedna strona medalu. Druga to niefrasobliwość użytkowników: takich zachowań jest mnóstwo. Musimy co prawda logować się w wielu miejscach, podawać numery kart płatniczych itd., ale dobra praktyka polega na tym, by podawać minimum danych i tylko tam, gdzie faktycznie trzeba – mówi Gaweł Szczęsny, ekspert firmy Spy Shop.

Hasła najgorsze ze złych

Specjaliści firmy NordPass przeanalizowali w 2019 roku aż 0,5 miliarda haseł. Na pierwszym miejscu – prawie 3 miliony razy – znalazł się ciąg „12345”, 2,5 miliona razy wykorzystano ciąg „123456”, a na trzecim miejscu – chyba żadna niespodzianka – znalazł się ciąg „123456789”, zastosowany do zabezpieczenia ponad miliona kont. Na czwartym miejscu pojawiło się hasło „test1”, a na piątym „password”.

W 2020 roku kolejność była nieco inna, pojawiła się nowość „picture1” (na wysokim trzecim miejscu), ale nadal królowały proste ciągi liczbowe. Dość podobnie wyglądają coroczne rankingi najgorszych haseł przygotowywane przez SplashData. Dodajmy, że zwykle wysoką pozycję miało też słynne „qwerty”.

Mocne, czyli jakie

Długie hasło nie oznacza oczywiście, że automatycznie staje się ono mocne. Aby to uzyskać, trzeba spełnić jeszcze kilka warunków.

            5 zasad mocnego hasła:

  •        wpisz co najmniej osiem znaków;
  •        pomieszaj wielkie i małe litery;
  •        użyj znaków specjalnych;
  •        unikaj logicznych ciągów liczb oraz alfabetycznych ciągów liter;
  •        używaj słów nic nieznaczących.

Bezpieczeństwo rośnie, gdy hasło regularnie zmieniamy. Dodajmy, że lepiej też nie zapisywać hasła albo identyfikatora do banku np. na karteczce noszonej w portfelu.

Unikaj recyklingu haseł

Dla wielu osób najważniejsze jest nie to, żeby hasło było silne, lecz żeby było łatwe do zapamiętania. Jest to podejście zrozumiałe, jeśli wziąć pod uwagę, jak wielu haseł potrzebujemy na co dzień – od zwykłych kont pocztowych, przez różnego rodzaju serwisy i usługi online, po bankowość internetową. Okazuje się, że najwygodniej jest mieć jedno hasło do wszystkiego. To trochę jak ze ścieżką na skróty w górach – wchodząc na nią, zakładamy, że może zdarzały się tu wypadki, ale innym, nam nic się nie zdarzy (tak działa ludzka psychika). Wiele osób tak właśnie postępuje. Eksperci od bezpieczeństwa w sieci oceniają, że dużo więcej niż się do tego otwarcie przyznaje.

Najbezpieczniej jest mieć osobne, skomplikowane hasło dla każdego konta. Niemożliwe? Ulgą dla pamięci może być menadżer haseł. – Popularnym rozwiązaniem problemu nadmiaru informacji dostępowych, które trzeba zapamiętać, rozwiązuje metoda identyfikacji biometrycznej stosowana m.in. w smartfonach – dodaje Gaweł Szczęsny.

Uważaj w sieci

Kierując samochodem, większość z nas stosuje zasadę ograniczonego zaufania do innych kierowców. Tak samo, a nawet ostrożniej, trzeba podchodzić do maili, nie tylko tych od nieznanych osób. To prawda, że często widać na pierwszy rzut oka, że to spam, za którym kryje się pewnie próba wyłudzenia. Nie zawsze jest jednak tak prosto. Nieraz oszuści używają lekko zmienionych adresów znanych instytucji czy organizacji. W pośpiechu można ten fakt przeoczyć, bo wzrok obejmuje duże całości naraz, a nie poszczególne litery.

Uważać trzeba też na zakupach w sieci – oszuści mogą podesłać np. fałszywy link do systemu płatności. Podrobiona strona do złudzenia przypomina prawdziwą. Wpisujemy dane i… pozornie nic się nie dzieje. Do momentu, kiedy nie sprawdzimy stanu konta. Okazuje się, że udostępniliśmy dostęp do konta bankowego złodziejowi.

Takie i inne sztuczki oszustów powinny być przestrogą dla każdego. Dlatego, zanim klikniemy link z lokalizacją zamówionej paczki lub otworzymy załącznik z wiadomości pod tytułem „pilnie zapłać fakturę za prąd”, upewnijmy się, że źródło jest godne zaufania i nie zainfekuje nam komputera oprogramowaniem wykradającym dane. Co jeszcze bardzo ważne: banki nigdy nie proszą o podawanie wrażliwych danych poprzez e-mail!

Jeśli szukamy dodatkowych zabezpieczeń przy okazji zakupów online, można skorzystać z pomysłowych aplikacji. – Na rynku istnieją rozwiązania płatnicze, które blokują transakcję, jeśli położenie geograficzne telefonu nie zgadza się z miejscem płatności. Są też jednorazowe karty wirtualne, przeznaczone tylko do realizacji konkretnej transakcji. Można też dezaktywować płatności internetowe za pomocą karty. Bezpiecznym rozwiązaniem jest również BLIK z uwagi na jednorazowe tokeny – mówi ekspert Spy Shop.

            Jak nie ryzykować online?

  •        Stosuj uwierzytelnianie dwuskładnikowe, czyli z podaniem kodu z aplikacji lub SMS-a podczas logowania.
  •        Nie loguj się w banku lub na innych wrażliwych kontach poprzez otwarte, publiczne sieci wi-fi.
  •        Sprawdzaj dokładnie nadawcę maila, zanim otworzysz załącznik lub klikniesz link.
  •        Bezpieczne są strony z przedrostkiem HTTPS – są szyfrowane, co zapobiega przechwytywaniu i zmienianiu przesyłanych danych. Strony z przedrostkiem HTTP szyfrowane nie są.
  •         Regularnie czyść tzw. pliki cookies.
  •         Nie instaluj żadnego niepewnego oprogramowania. Podejrzane strony często wymagają szybkiej akceptacji kilku akcji równocześnie. Przez nieuwagę można wtedy wpuścić do swojego urządzenia wirusa.
  •        Załóż osobne, „spamowe” konto mailowe do korzystania z serwisów, co do których masz wątpliwości.
  •        Na smartfonach regularnie aktualizuj oprogramowanie i unikaj instalowania aplikacji z niesprawdzonych źródeł.
  •        Uważaj na linki z fałszywych kont na Facebooku (konto znajomego może zostać przejęte albo podrobione, dystrybuując wirusa). Najlepiej wyłączyć też możliwość łączenia się konta z zewnętrznymi aplikacjami, grami i witrynami.
  •         Nie publikuj w sieci informacji osobistych – w tym planów wakacyjnych, nie mówiąc już o zdjęciach z kartą kredytową.

Podsumowując, niefrasobliwości i nieuważności koniecznie trzeba unikać. Tak, jak przechodzenia na czerwonym świetle przez ruchliwe skrzyżowanie. A dodatkowe działania – stosowanie wybranych zabezpieczeń – wyraźnie zmniejszają ryzyko, że staniemy się ofiarą oszustów chętnie żerujących w sieci.