Od równo 20 lat październik jest miesiącem Świadomości Cyberbezpieczeństwa, ustanowionym przez amerykańskie agencje rządowe oraz prezydenta USA, lecz rozpowszechnionym już na cały świat. Korzystając z tej okazji przypominamy, jak zadbać o prywatność, bezpieczeństwo naszych danych w sieci i nie dać się hakerom.
Bezpieczeństwo w sieci – podstawą wciąż silne hasło
Jak wskazują eksperci firmy Check Point, II kwartał 2023 roku opływał w ataki cyberprzestępców, bo średnia liczba ich akcji wzrosła o niemałe 8 proc. To najwyższy poziom widziany przez ostatnie dwa lata, co jeszcze bardziej powinno nas skłonić do zadbania o nasze konta.
Hasła powinny być tajne, ale ciągle słyszy się o wyciekach danych czy włamaniach na serwery danych serwisów, firm czy usług. Przejęte hasła odpowiadają zaś za zjawiskowe 81 proc. wszystkich naruszeń cyberprzestępców. Należy więc pamiętać o kilku prostych regułach.
Każdy powinien tworzyć silne hasła – nie ma tu drogi na skróty. Ciągi typu „hasło123” są trywialne do złamania nawet za pomocą prostego programu, który próbuje wpisywać do skutku popularne frazy. To żadne zabezpieczenie. Najlepsze są więc hasła długie i skomplikowane – Check Point poleca tu 16 znaków, najlepiej ze znakami specjalnymi oraz różną wielkością liter.
Nie powtarzaj jednego hasła – lepiej użyć menedżera haseł
Po drugie, nie możemy powtarzać haseł we wszystkich używanych serwisach. Dla niektórych to kolejna ciężka do przełknięcia pigułka. Niestety, nawet gdy stworzymy jedno dobre hasło, to nadal narażone jest ono na wycieki.
Tak, jedno hasło do wszystkiego jest wygodne, ale też bardzo niebezpieczne. To tak, jakby wszyscy lokatorzy w bloku mieli identyczne zamki do drzwi wejściowych. Wystarczy wtedy jeden zgubiony klucz i każdy byłby zagrożony. Najbezpieczniejsze jest więc podejście jeden serwis – jedno hasło.
Jak to wszystko spamiętać, skoro każda nowa usługa wymaga założenia konta, a mamy ich już pewnie kilkanaście, jeśli nie kilkadziesiąt? Nowoczesną odpowiedzią są tu menedżery haseł. To specjalne programy o wysokim poziomie zabezpieczeń, które pozwalają na tworzenie, zapamiętywania i automatyczne wpisywanie mocnych haseł. Gdy któreś z nich wycieknie – mamy problem tylko z jednym serwisem, a nie całą naszą obecnością w internecie.
Na początku użytkownik musi stworzyć i zapamiętać tylko jedno z nich – jak najmocniejsze hasło główne. Nim loguje się na swój panel, z którego może poprosić program o uzupełnienie właściwych danych logowania. Mimo że mamy wszystkie hasła „w jednym miejscu”, szansa na ich wyciek jest znikoma. Są one bardzo mocno zaszyfrowane i dostawca menedżera haseł sam ich nie zna.
Uwierzytelnianie dwuskładnikowe i jak nie dać się nabrać na phishing
Kolejnym zabezpieczeniem jest uwierzytelnianie dwuskładnikowe (2FA) lub wieloskładnikowe (MFA). Jak podają eksperci Microsoftu, wykorzystanie wielu składników logowania może zmniejszyć ryzyko włamania aż o 99 procent.
Jeśli ją uruchomimy, każdy serwis będzie nas prosił nie tylko o hasło, ale też inne sposoby udowodnienia, że „my to my”. W tym przypadku nawet jeśli podamy hakerowi swoje hasło na srebrnej tacy – to będzie dla niego bezużyteczne.
MFA prosi o:
- Coś, co znasz – numer PIN lub nasze stałe hasło;
- Coś, co masz – jednorazowy kod potwierdzający SMS lub z aplikacji uwierzytelniającej, fizyczny klucz MFA;
- Coś, czym jesteś – skan odcisku palca, rozpoznanie twarzy.
Nie każda metoda uwierzytelniania jest tak samo bezpieczna, choć podkreślić należy, że nawet prosty drugi składnik jest lepszy niż jego brak. Trzeba jednak nadal zachować ostrożność. Zaawansowani hakerzy mogą odczytać nasze SMS-y, a oszuści mogą wyłudzić od nas kod, np. podszywając się pod pracownika firmy.
Warto też cały czas mieć się na baczności i uważać na możliwy phishing. To coraz popularniejsza metoda wykorzystywania socjotechnik i podszywania się, by wzbudzić zaufanie użytkownika i wyłudzić od niego dane, hasła, a nawet pieniądze.
Podejrzane maile, SMS-y i telefony od oszustów cechują się zwykle:
- Emocjonalnym językiem;
- Poczuciem pilności, które motywuje do kliknięcia czy działania;
- Prośbami o przesłanie prywatnych danych
W przypadku komunikacji pisemnej zwracać trzeba również uwagę na nieoczekiwane przez nas załączniki. Kolejną drogą ataku są skrócone adresy URL w wiadomościach, które mogą prowadzić do podrobionych stron internetowych. Czerwoną lampkę powinny też zapalać zastanawiające adresy e-mail, które nie pasują do nadawcy.
Po wykryciu phishingu najlepiej nie podawać wrażliwych danych, zgłosić daną wiadomość jako spam i do odpowiednich organów, a jeśli mamy wątpliwości – samemu skontaktować się z rzekomym nadawcą, bankiem czy organizacją, używając danych kontaktowych z oficjalnych stron.
Czytaj też:
Trojan bankowy w Google Play. Wirus jest sprytnie ukrytyCzytaj też:
Cyberataki wpłyną na wynik wyborów w Polsce? Ekspert wskazuje największe zagrożenia