Wyciek danych. Jak się chronić?

Obrazek dla Wyciek danych. Jak się chronić?

Niestety wycieki haseł były i będą zdarzały się w przyszłości. To jakby, nieodzowny element technologii. Nie możesz temu zapobiec lecz możesz się przeciwstawić. Korzystaj z dobrych praktyk bezpieczeństwa upewnij się że posiadasz dobre zabezpieczenie już na pierwszej linii frontu.

Nie stosuj tych samych haseł.

Na pewno już to słyszałeś. Możliwe, że dalej nie przestrzegasz. Jeśli trudno Ci się przemóc, pomyśl ile potencjalnych problemów przyniesie Ci wyciek danych, włam na skrzynkę lub do sklepu e-commerce.

Nie wszystkie strony internetowe mają odpowiednie środki bezpieczeństwa do przechowywania haseł. Jeśli jedna z witryn, na której używasz hasła, przechowuje je w sposób nieodpowiedni, np. jako zwykły tekst lub w niezabezpieczonym formacie, to hackerzy mogą uzyskać dostęp do Twojego hasła i wykorzystać je w innych miejscach. Zresztą, podczas wycieku może to nawet nie mieć to znaczenia. Dlaczego?

Często hakerzy stosują tzw. ataki słownikowe, polegające na automatycznym sprawdzaniu popularnych haseł i kombinacji haseł dla wielu kont na różnych witrynach.

Jeśli jedna z witryn, na której używasz hasła, zostanie zhakowana lub dojdzie do wycieku danych, złoczyńcy mogą uzyskać do niego dostęp. Jeśli z kolei używasz tego samego hasła na innych stronach, hakerzy będą mogli łatwo uzyskać dostęp do Twojego konta na tych innych witrynach.

Dlaczego warto mieć trudne hasło?

Z kolei ataki siłowe (brute force) polegają na automatycznym wypróbowywaniu różnych kombinacji haseł w celu złamania konta. Im hasło jest dłuższe i bardziej skomplikowane, tym trudniej dla hakerów odgadnąć je metodą prób i błędów. Wymaganie przynajmniej jednej dużej i małej litery, cyfry oraz znaku specjalnego zwiększa kombinacje i utrudnia atakującym odgadnięcie hasła.

Przykład trudnego hasła (najlepsze):

5Gk6$5feDK2^#L*9oh^

Przykład trudnego hasła wyrazowego:

Panda4-8Wanna-Wodnisty0

Używanie długich i skomplikowanych haseł na różnych stronach internetowych zapewnia unikalność każdego z nich. Jeśli używasz tego samego hasła na różnych witrynach i jedna z nich zostanie zhakowana, złoczyńcy będą mieli dostęp do wszystkich Twoich kont. Unikalne hasła zwiększają bezpieczeństwo, ponieważ w przypadku naruszenia tylko jednego konta, reszta Twoich kont będzie nadal bezpieczna.

Długie i skomplikowane hasła są istotne dla zapewnienia bezpieczeństwa Twoich kont online.

Jak stworzyć trudne hasło? Używaj menadżerów haseł.

Warto korzystać z Menadżera Haseł, jak np. Bitwarden, 1Password, KeePass lub innych.

Dzięki nim, nie musisz pamiętać wszystkich trudnych haseł, a jedynie hasło główne do menadżera. Bezpieczne przechowywanie haseł w takim menadżerze chroni je przed kradzieżą, a jednocześnie umożliwia korzystanie z unikalnych i silnych haseł dla każdego konta.

Dodatkowo menadżer haseł może automatycznie wypełniać formularze, co ułatwia proces logowania na stronach internetowych. Nie musisz ręcznie wpisywać danych logowania, co oszczędza czas i eliminuje ryzyko popełnienia błędów. Naprawdę, w przypadku trudnych haseł – nie ma innego wyjścia.

Wielu menadżerów haseł oferuje synchronizację danych między różnymi urządzeniami. Możesz mieć dostęp do swoich haseł na komputerze, smartfonie czy tablecie, dzięki czemu możesz korzystać z nich zawsze, gdy ich potrzebujesz. Wystarczy że zainstalujesz aplikację na swoim smartfonie, zalogujesz się do konta i już masz bezpieczny dostęp do swoich haseł.

Niektóre menadżery haseł oferują funkcje monitorowania wycieków danych. Powiadamiają Cię, jeśli Twoje dane logowania były uwikłane w jakimś wycieku danych, co pozwala podjąć działania zapobiegawcze, takie jak zmiana hasła.

Jeśli nie chcesz korzystać z menadżera haseł, rozważ przynajmniej użycie generatora trudnego hasła. W ten sposób masz pewność, że Twoje hasło na prawdę będzie trudne do złamania. W tym celu możesz za darmo skorzystać z narzędzia jak generator trudnych haseł np. Strong Password Generator | Bitwarden

bitwarden generator haseł
Generuj sobie trudne do złamania hasła.

Czy do menadżera haseł można się włamać?

Z baz użytkowników menadżerów haseł również pojawiają się okresowe wycieki, np. w sierpniu 2022 w LastPass doszło do potężnego wycieku danych, o którym rozpisywano się jeszcze na początku tego roku. Jednak bardzo ważne jest aby pamiętać iż jeśli stosujemy metodę trudnych haseł, to korzyści używania menadżera i tak dają większe zyski niźli wariant, w którym nie używamy trudnych haseł.

Podczas wycieku z menadżera jesteś o tym informowany i łatwiej możesz zmienić hasła. Jest to zgoła bardziej wartościowy scenariusz niż używanie tych samych prostych haseł po cichu, gdzie jedyną zmianą na końcu dopisujemy 123 lub 0 i trzymamy je zapisane w notatniku na telefonie.

Sprawdź czy doszło do wycieku Twoich danych.

Na stronie Have I Been Pwned: Check if your email has been compromised in a data breach możesz wprowadzić swój adres e-mail lub nazwę użytkownika, a następnie sprawdzić, czy ten adres e-mail lub nazwa użytkownika były uwzględnione w znanym wycieku danych. Jeśli Twoje dane zostały uwzględnione, oznacza to, że informacje dotyczące Twojego konta zostały skradzione lub wyciekły w przeszłości.

haveibenpwned
Bezpieczna witryna umożliwiająca sprawdzenie czy adres e-mail wyciekł.

Ważne jest, aby pamiętać, że wprowadzanie swojego adresu e-mail lub nazwy użytkownika na stronach takich jak „Have I Been Pwned” jest bezpieczne. Serwis ten nie przechowuje danych osobowych ani hasła, a wprowadzasz tam dane jedynie w celu sprawdzenia.

Monitorowanie wycieków z domeny

Korzystaj z możliwości monitorowania przyszłych wycieków z całej domeny. Jeśli domena internetowa (adres email z daną domeną) została uwikłana w jakimkolwiek wycieku danych – dowiesz się od razu.

Możesz to zrobić poprzez wypełnienie formularza pod adresem Have I Been Pwned: Domain search

da howto2
Wyszukuj wycieki w całej domenie i otrzymuj powiadomienia w przyszłości

Aby otrzymywać przyszłe powiadomienia musisz przejść jedną z metod weryfikacji własności domeny

  • weryfikacja za pomocą domyślnego adresu mail
  • weryfikacja za pomocą tagu META w nagłówku strony
  • weryfikacja za pomocą wgrania pliku
  • weryfikacja za pomocą rekordu DNS, dowiedz się jak dodać rekord TXT

Co robić jeśli hasło wyciekło?

Jeśli Twoje hasło jest w wycieku danych, natychmiast zmień to hasło na nowe. Ważne jest, abyś utworzył nowe hasło, które jest unikalne i silne, oraz trudne do odgadnięcia:

  • Hasło powinno mieć co najmniej 10 znaków. Im dłuższe hasło, tym trudniejsze do złamania.
  • Hasło powinno zawierać kombinację małych i dużych liter, cyfr oraz znaków specjalnych, takich jak !, @, #, itp. Unikaj prostych sekwencji lub słów, które łatwo można zgadnąć.
  • Nie używaj tego samego hasła na różnych stronach internetowych. Każda witryna powinna mieć unikalne hasło.
  • Nie używaj w hasłach swojego imienia, nazwiska, daty urodzenia ani innych łatwo dostępnych informacji osobistych.
  • Rozważ skorzystanie z menedżera haseł wspomnianego wcześniej.

Następstwa wycieku haseł – bądź czujny.

Wyciek danych może prowadzić do wzrostu prób phishingowych, które są próbami oszustwa mającymi na celu wyłudzenie danych osobowych lub informacji logowania. Pojawienie się wycieku danych często stwarza okazję dla cyberprzestępców do manipulowania i próby oszustwa użytkowników. Dlatego ważne jest, aby być czujnym i ostrożnym wobec podejrzanych wiadomości e-mail, SMS-ów, linków i rozmów telefonicznych.

Chroń swoje urządzenia

Chroń swoje urządzenia takie jak komputery, smartfony i tablety odpowiednim oprogramowaniem antywirusowym. Oprogramowanie antywirusowe skanuje urządzenia w poszukiwaniu złośliwego oprogramowania, takiego jak wirusy, trojany, robaki czy programy szpiegujące. Chroni przed infekcjami i pomaga w ich usuwaniu, co zwiększa bezpieczeństwo Twoich danych. Z kolei zapora sieciowa blokuje nieautoryzowany dostęp do Twojego urządzenia i chroni je przed atakami sieciowymi, takimi jak próby włamania, ataki DDoS czy wykorzystywanie podatności w sieci. Zapora sieciowa monitoruje i kontroluje ruch sieciowy, aby zidentyfikować i zablokować potencjalne zagrożenia.

Windows 10 i 11 ma już program antywirusowy czy muszę mieć dodatkowy?

System operacyjny Windows 10 i Windows 11 zawierają wbudowany program antywirusowy o nazwie Windows Defender. Windows Defender oferuje podstawową ochronę przed wirusami, złośliwym oprogramowaniem i innymi zagrożeniami. Program jest domyślnie włączony i aktualizuje się wraz z systemem operacyjnym.

Windows Defender jest skuteczny i zapewnia podstawowe funkcje ochrony, jednak wiele osób preferuje doinstalowanie dodatkowego oprogramowania antywirusowego, które oferuje bardziej zaawansowane funkcje i opcje jak np. ochrona bankowości, ochrona przed phisingiem czy przed ransomware. Możliwości ochrony mogą się różnić w zależności od konkretnego programu antywirusowego. Dlatego przed wyborem dodatkowego oprogramowania antywirusowego warto zapoznać się z jego funkcjami i specyfikacjami, aby znaleźć rozwiązanie, które najlepiej odpowiada Twoim potrzebom i preferencjom dotyczącym ochrony.

Jak jeszcze mogę się zabezpieczyć?

Jako dodatkowy element zabezpieczenia rozważ zakup urządzenia wykorzystującego mechanizm U2F (Universal 2nd Factor) lub FIDO (Fast Identity Online) Key, takie jak YubiKey, może on pomóc w zabezpieczeniu się przed wyciekiem haseł, a zwłaszcza przed phisingiem.

YubiKey to rodzaj klucza sprzętowego (ang. hardware key) lub fizycznego urządzenia służącego do uwierzytelniania i zabezpieczania dostępu do różnych systemów, usług online i aplikacji. Yubikey produkuje firma Yubico.

Klucz YubiKey wygląda jak mały przenośny pendrive lub token i podłączasz go portu USB komputera lub innego urządzenia. Klucz generuje unikalne kody uwierzytelniające, których używa do potwierdzenia tożsamości użytkownika podczas procesu logowania. Za pomocą YubiKey możesz również podpisywać cyfrowe transakcje, szyfrować dane oraz autoryzować się w bezpieczny sposób.

yubikey

YubiKey jest kompatybilny z wieloma usługami online, takimi jak konta Google, Dropbox, GitHub, LastPass i wiele innych. Można go również wykorzystywać do logowania się na systemach operacyjnych, aplikacjach biznesowych i innych platformach, które obsługują standard U2F/FIDO.