Materiał na zamówienie PKO Banku Polskiego, który pomaga jest walczyć z cyberprzestępcami oraz edukuje Polaków, jak unikać pośpiechu i nie dać się nabrać na sztuczki oszustów
Kevin Mitnick to jedna z najbardziej znanych postaci w historii cyberprzestępczości. Choć przeszedł na Jasną Stronę Mocy, przez lata pozostawał najintensywniej poszukiwanym hakerem na świecie. W jednym z wywiadów został zapytany o to, dlaczego ochrona naszej prywatności w sieci jest tak ważna. "Przecież nie mam nic do ukrycia" - prowokował prowadzący. "To daj mi swój telefon, a ja sobie zobaczę, co tam masz" - odparł Mitnick. Jak łatwo się domyślić, dziennikarz nie miał na to ochoty i szybko zmienił zdanie. W smartfonach i na różnego rodzaju platformach internetowych istnieje szereg danych, które trzeba chronić, a hasło jest podstawową metodą na ich zabezpieczenie.
Na ataki cyberprzestępców, którzy stosują coraz bardziej wyrafinowane i skuteczne metody, narażeni jesteśmy regularnie. Jedną z podstaw naszego bezpieczeństwa w internecie stanowią trudne do złamania hasła.
Aby ustalić, jak powinno wyglądać silne hasło, zacząć warto od pokazania, jak wyglądać nie powinno. Mimo że większości z nas trudno wyobrazić sobie ustawienie hasła składającego się z najprostszego ciągu cyfr, czyli "123456", niestety okazuje się, że w 2018 r. było to najczęściej wybierane zabezpieczenie. W publikowanych listach najgorszych haseł w czołówce regularnie znajdują się również "qwerty" czy "password". Cyberprzestępcom do ich złamania wystarczy... niecała sekunda.
Unikać należy także wybierania imion, nazwisk, ważnych dla nas dat, ciągów znaków, które na klawiaturze znajdują się obok siebie oraz wyrazów pisanych wspak. Jeśli masz takie lub podobne hasło, lepiej szybko je zmień. Na jakie? Już tłumaczymy.
Sposobów na stworzenie bezpiecznego hasła jest wiele. Jednym z nich jest sięgnięcie po menedżera haseł. To proste w obsłudze programy, które automatycznie przydzielają unikalne hasła do wszystkich kont, z których korzystamy. Jedyne, co trzeba w tej sytuacji zrobić, to zapamiętać hasło potrzebne do uruchomienia menedżera.
Sporym ułatwieniem bez wątpienia pozostaje fakt, że zamiast tworzyć dziesiątki różnych haseł do wielu kont i serwisów po naszej stronie pozostaje zadanie wymyślenia tylko jednego. Resztę tworzy i zarządza nimi menedżer. Sęk w tym, że ono również powinno być trudne do złamania. Wydaje się więc, że nie uciekniemy od zapoznania się z podstawowymi zasadami tworzenia bezpiecznych haseł.
D0br3 h@$ło, czyli j@k!3? Czy na pewno znaki specjalne to klucz do bezpieczeństwa?
Dobre hasło ma być przede wszystkim długie, nieoczywiste i powinno składać się z małych i wielkich liter, cyfr i znaków specjalnych: `!@#$%^&*()_+-={} []:;’,.<>?.
Problem w tym, że choć wymyślić je łatwo, dużo trudniejszym zadaniem będzie jego zapamiętanie (a zapisywanie haseł na karteczkach to zdecydowanie zły pomysł). Istnieją jednak pewne sztuczki, które można zastosować.
CERT Polska jako jeden ze sposobów na utworzenie łatwego do zapamiętania hasła sugeruje metodę pełnych zdań. Według tej zasady hasło może opierać się na zestawieniu kilku, np. 5 słów. Przykład? Znakispecjalnetozamało. Następnie podmieniamy niektóre z liter na znaki specjalne i cyfry, np. "a" na "@" czy "i" na "!". Po zmianie otrzymujemy Zn@k!specjalnetoz@m@ło. Wybór jest oczywiście dowolny, ale nie powinien opierać się na oczywistych skojarzeniach jak nasze imię, data urodzenia, nazwa miejsca pracy itp.
Podsumowując: jeśli nie korzystamy z menedżera, hasło powinno być proste do zapamiętania dla nas, ale trudne do odgadnięcia i odporne na ataki słownikowe.
- Cyberprzestępcy podchodzą do kwestii łamania haseł "technicznie", minimalizując wysiłek, jaki w to trzeba włożyć i maksymalizując szanse na swój sukces - mówi Paulina Krakowska, ekspert ds. cyberbezpieczeństwa PKO Banku Polskiego. - Dlatego, wspierając się odpowiednimi narzędziami, stosują ataki typu brute force - siłowe, czyli ujmując to prościej: stosują metodę prób i błędów. Atak zazwyczaj wspiera utworzona baza - swego rodzaju słownik, który składa się ze słów, imion, nazw własnych, a także jest zazwyczaj uzupełniony hasłami pochodzącymi z wycieków danych. I użycie takiej bazy to właśnie atak słownikowy. Co istotne narzędzia oszustów dokonują permutacji - zmian tych słów i sprawdzają np. czy zamiast litery "A" ktoś nie wstawił "4", zamiast litery "E" cyfry "3" itp. Stąd dziś ważne jest, aby hasło było też długie, nie było "słownikowe", a może to ułatwić wskazane wyżej połączenie kilku słów. Zrezygnujmy jednak z wyrażeń powszechnie znanych, jak fragment tekstu popularnej piosenki. Jeśli coś jest znane, może też być znane bazie, jaką dysponuje oszust. Na koniec warto wskazać, że proces łamania haseł może wspierać także sztuczna inteligencja. To kolejny sygnał, by zrezygnować z haseł, które nie cechują się wystarczającą długością i złożonością.
Nawet najlepsze hasło nie zagwarantuje nam jednak w pełni bezpieczeństwa w sieci, jeśli wpiszemy je na fałszywej stronie www. Nie zapominajmy o tym, że równie ważne jak hasło jest weryfikowanie, gdzie je udostępniamy, dlatego należy zawsze sprawdzać adres strony www. Wzorujmy się także na bankach - wszędzie tam, gdzie jest to możliwe, aktywujmy dwuetapowe logowanie. Wówczas sam atak na hasło nie wystarczy, by przejąć nasze konto. Zabezpieczenie konta jest wtedy silniejsze, bowiem system sprawdza, czy naprawdę jesteśmy osobą, za którą się podajemy i wymaga dodatkowo np. podania kodu SMS czy potwierdzenia tożsamości w aplikacji.
Pamiętajmy też, iż bank, sklep internetowy, urzędnik czy policjant nigdy nie poproszą nas o podanie hasła. A to właśnie błąd ludzki często stanowi podstawę udanych ataków cyberprzestępców, którzy bazują na naszej niewiedzy, emocjach czy łatwowierności. Nic nie zastąpi więc... zdrowego rozsądku i czujności.
Materiał na zamówienie PKO Banku Polskiego, który pomaga jest walczyć z cyberprzestępcami oraz edukuje Polaków, jak unikać pośpiechu i nie dać się nabrać na sztuczki oszustów