Nawet najbardziej zaawansowany system zabezpieczeń nie spełni swojej roli, jeżeli zabezpieczające go hasła są słabe lub, co gorzej, domyślne.
Pierwszą rzeczą po otrzymaniu dostępu do jakiegokolwiek systemu jest zmiana hasła, ponieważ to one, pomijając inne aspekty techniczne na które użytkownik końcowy nie ma wpływu, stanowią podstawową i często jedyną ochronę danych zawartych w systemie. Większość ataków rozpoczyna się właśnie od próby.. no właśnie, nie od próby złamania (ponieważ to często skomplikowane, czasochłonne itp), ale od próby odgadnięcia lub jego przejęcia, co, biorąc pod uwagę najsłabsze ogniwo, czyli czynnik ludzki, jest najprostszą metodą ataku.
Jakie powinno być bezpieczne hasło? Jak je stworzyć? Jak zapamiętać? Jak używać?
Ok, ale odwiedzam tysiące stron, mam setki aplikacji, PINów, loginów.. jak żyć? Można na przykład skorzystać z menedżera haseł (ale nie tego domyślnego sugerowanego przez Twoją przeglądarkę, system operacyjny czy dostawce usług.. tak, wiem, to najłatwiejsze w użyciu 🙂 również najłatwiejsze w złamaniu 🙁 ale dedykowany program, najlepiej typu opensource, aby mieć względną pewność, że w jego kodzie nie ma jakiegoś rządowego backdoor’a (“tylnych drzwi” dzięki którym ktoś, kto wie o ich istnieniu, może zostać się do zaszyfrowanej bazy danych bez użycia Twojego hasła – tak tak, to powszechna praktyka stosowana nie tylko przez różne firmy, jak również przez agencje rządowe, często wręcz odgórnie, oczywiście w wielkiej tajemnicy, wymuszana na programistach). Przed wyborem konkretnego rozwiązania należy poszukać o nim opinii w wiarygodnych źródłach (np. niebezpiecznik.pl), należy sprawdzić również wersję danego pliku (niektóre programy, np. TrueCrypt, które były swojego czasu opensource, w dziwnych okolicznościach przestają mieć otwarty kod i od pewnej wersji nie są już bezpieczne, wręcz zdecydowanie niepolecane do używania! Wspomniany TrueCrypt był bezpieczny do wersji 7.1, wszystkie wyższe mają już utajniony kod źródłowy).
Ryzyko ataku hackerskiego można zmniejszyć poprzez użycie weryfikacji dwuetapowej. Jest to procedura, w której użytkownik musi potwierdzić logowanie poprzez email, zaufane urządzenie, wiadomość sms itp.
Dla przykładu: Weryfikacja dwuetapowa logowania do platformy Microsoft wymaga potwierdzenia logowania w telefonie poprzez wybranie odpowiedniego numerka wyświetlanego na ekranie. Dodatkowym, ważnym aspektem tej funkcji jest powiadomienie użytkownika w momencie podjęcia próby zalogowani się do platformy.
Weryfikacja dwuetapowa może się również odbywać lokalnie poprzez zabezpieczenia biometryczne. Popularna obecnie aplikacja mObywatel umożliwia logowanie się za pomocą pinu ORAZ biometrii. W tym przypadku, jeśli ktoś pozna nasz pin, nie będzie mógł się zalogować do aplikacji (chyba że jest naszym idealnym bliźniakiem :D).
Ok, ale w jaki sposób złodziej może poznać moje hasło?! Metod poznania poufnych informacji takich jak hasło czy kod jest wiele, natomiast najbardziej popularny jest Phishing. Jest to metoda, w której złodziej podszywa się pod instytucję lub osobę próbując wyłudzić dane. Może się to odbywać poprzez email, sms, rozmowę telefoniczną i każdą inną drogę komunikacji. Należy zawsze pamiętać, że ŻADNA instytucja lub firma nie prosi o podanie naszego indywidualnego hasła. Jeśli taka prośba zostanie wystosowana możemy śmiało założyć, że ktoś próbuje od nas wyłudzić wrażliwe dane. Inna popularna metoda phishingu to fałszywy link wysyłany w wiadomości, SMS-ie lub emailu. Wtedy na naszym urządzeniu często jest instalowany wirus KeyLogger, który przekazuje wszystkie wpisywane przez nas loginy i hasła do złodzieja. Należy zawsze sprawdzać adresata wiadomości, w której zawarty jest jakikolwiek link. Najczęściej wystarczy przeczytać samą nazwę maila lub użytkownika, od którego dostaliśmy wiadomość.
No ale po co to wszystko? Przecież szansa, że ktoś mnie zaatakuje jest minimalna! Otóż nie. Statystyki na rok 2022 podane przez fundację instytut cyberbezpieczeństwa są nieubłagane. 85% naruszeń cyberbezpieczeństwa spowodowanych jest błędem ludzkim. 94% wszystkich złośliwych programów jest dostarczanych przez e-mail. Ataki ransomware zdarzają się co 10 sekund. (Ransomware – Cyberatak szyfrujący nasze urządzenie w celu uzyskania okupu za odblokowanie). 71% wszystkich cyberataków jest motywowanych finansowo. Szacuje się, że roczny globalny koszt cyberprzestępczości wyniesie ponad 50 miliardów złotych w 2025 r.
Źródło:
https://instytutcyber.pl/artykuly/statystyki-cyber-za-rok-2022/