Masz silne hasło? To nie znaczy, że nie grozi ci wyciek danych

Przeczytaj także: Wyciek poufnych danych firmy traktują poważnie

Przy okazji Dnia Bezpiecznego Internetu katowiczanin dowiedział się o niedawnym wycieku przeszło 773 milionów danych z tzw. „Collection#1". Pochodziły one z przeprowadzonych ataków i zawierały całą gamę najróżniejszych danych osobowych, od adresów e-mail, przez imiona i nazwiska posiadaczy kont w różnych serwisach internetowych, po hasła. Marek K. postanowił sprawdzić, czy jego e-mail jest bezpieczny. Serwis Have I Been Pwned wskazał, że nie powinien mieć powodów do niepokoju. Mężczyzna postanowił jednak potwierdzić tę informację. Dociekliwie szukał innych, sprawdzonych stron do weryfikacji cyberbezpieczeństwa. W ten sposób trafił na Identity Leak Checker - portal przygotowany przez niemiecki zespół badaczy bezpieczeństwa z Hasso Plattner Institut.

Identity Leak Checker zgromadził w swojej bazie posiada przeszło osiem miliardów rekordów pochodzących z różnych wycieków danych. Tym razem weryfikacja okazała się brutalnie szczera. Serwis wskazał, że w 2016 roku w wyniku ataku na serwis badoo.com, z którego raz w życiu skorzystał, wyciekły jego imię i nazwisko, data urodzenia oraz silne hasło (bo przecież składające się z dużych, małych liter, cyfr i znaków specjalnych), które wykorzystywał do logowania np. na Facebooku, Twitterze, czy do konta bankowego.

Co więcej, jego dane od tamtego czasu wypłynęły dwukrotnie – w styczniu 2017 oraz 2019 roku. Ostatni wyciek zawierał dane z wspomnianego „Collection#1". Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, każdy, kto miał dostęp do jego poufnych informacji, mógł spróbować zalogować się do jego konta pocztowego, czy też serwisów społecznościowych. Zmienić hasła i pozbawić go dostępu do najważniejszych usług internetowych, z których korzysta na co dzień. Mógł również śledzić uważnie jego aktywność w sieci i stworzyć profil osobowościowy, który mógłby być przydatny do przeprowadzenia wyrafinowego ataku na jego osobę.

W jaki sposób chronić dane logowania?

Większość portali lub serwisów pocztowych stara się edukować użytkowników nakazując im korzystanie z niepowtarzalnych haseł oraz pokazując im „siłę” wpisywanego hasła. Często narzuca im wykorzystywanie dużych liter, cyfr oraz znaków specjalnych. Niektóre polskie banki wprowadzają dodatkową, dwuskładniową autoryzację wykorzystującą kody przesłane przez SMS, wygenerowane z listy lub z aplikacji mobilnej (albo tokena). Ponadto, część z nich chroni dane logowania za pomocą tzw. obrazka bezpieczeństwa, który jest wybierany przez użytkownika przy pierwszym logowaniu. Dla przykładu, jeśli podczas wpisywania hasła pojawi się nieznana użytkownikowi grafika, wówczas nie powinien wpisywać on hasła do bankowości internetowej. Strona bowiem może być tzw. pułapką phishingową, a więc do złudzenia może przypominać prawdziwą stronę banku, a w rzeczywistości służyć jedynie do wyłudzania danych od internautów. Jak wskazuje ekspert z ESET warto nie tylko dbać o odpowiednią siłę haseł, ale również stosować odmienne hasła dla każdego serwisu. Można także rozważyć skorzystanie z menadżera haseł.

– Taki program nie tylko potrafi wygenerować skomplikowane, trudne do odgadnięcia hasła, ale również jest w stanie w bezpieczny sposób je przechowywać. Warto podkreślić, że niektóre antywirusy mają funkcję menadżera haseł, ponadto potrafią chronić użytkowników przed działaniem keyloggerów – programów, które wychwytują wpisywane w przeglądarkę dane. Dzięki takim zabezpieczeniom jesteśmy w stanie chronić nasze dane logowania i korzystać z Internetu w sposób bezpieczny – tłumaczy Kamil Sadkowski z ESET.