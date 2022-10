W 2022 roku mija 10 lat od czasu ustanowienia przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) października miesiącem kampanii promującej cyberbezpieczeństwo. W tym roku tematy przewodnie to phishing oraz ransomware. Skuteczną metodą obrony przed tymi cyberzagrożeniami jest m.in. stosowanie silnych haseł. Eksperci z firmy Fortinet przygotowali wskazówki, jak tworzyć mocne hasła i chronić się przed cyberatakami.

W jaki sposób oszuści zdobywają hasła?

Dobre praktyki dotyczące tworzenia bezpiecznych haseł

Należy tworzyć hasła, które można zapamiętać, ale są trudne do odgadnięcia przez innych – Choć może się wydawać, że dobrym pomysłem jest dodanie liczb lub znaków specjalnych do zwykłych słów i fraz w celu wzmocnienia hasła, jednak cyberprzestępcy stosują wiele technik, aby złamać takie zabezpieczenie. Oszuści używają listy popularnych słów w nadziei, że ludzie stosują właśnie te wyrazy w swoich hasłach dostępowych do aplikacji lub stron internetowych. Tymczasem tworzenie silnych haseł ułatwiają różnego rodzaju mnemotechniki. Jedną z nich jest użycie np. cytatu lub fragmentu piosenki i wybranie z niego co drugiej litery. Dzięki temu hasło staje się zlepkiem przypadkowych liter – trudnych do odgadnięcia, lecz łatwych do zapamiętania dla autora. Dodatkowym sposobem wzmocnienia takiego zabezpieczenia jest wymieszanie wielkich i małych liter oraz znaków specjalnych. Na przykład, korzystając z frazy „Parostatkiem w piękny rejs” można stworzyć hasło „PrsakeWiknRj”.

– Nie wolno umieszczać w hasłach informacji umożliwiających identyfikację użytkownika, a także nazw ulubionego miejsca wypoczynku czy drużyny sportowej. Dane logowania nie powinny zawierać również takich elementów, jak: Najlepiej używać innego hasła dla każdego konta – Logowanie się do wielu kont za pomocą tego samego hasła zwiększa ryzyko kradzieży dużej ilości informacji, zarówno osobowych, jak i finansowych. Jeśli cyberprzestępcy ukradną dane uwierzytelniające do jednej witryny, mogą ich użyć także do innych. Oszuści mogą także sprzedać te dane w dark webie, przekazując je kolejnym osobom.

Więcej niż tylko silne hasła

Uruchomienie wieloskładnikowego uwierzytelniania (MFA) – Mechanizm ten, oprócz wpisania hasła, wymaga podania dodatkowego kodu, np. z wiadomości SMS, z e-maila lub ze specjalnego urządzenia (tokenu) generującego szyfr. Dodanie drugiego kroku w celu weryfikacji tożsamości użytkownika gwarantuje, że cyberprzestępca nie może uzyskać dostępu do konta i danych, nawet jeśli hasło zostanie naruszone.

Istnieje wiele taktyk, które stosują przestępcy w celu wykradania haseł . Najpopularniejszą jest phishing – metoda socjotechniczna, która polega na wysyłaniu ofiarom wiadomości e-mail i nakłanianiu ich do kliknięcia w podany w wiadomości link lub wejścia na stworzoną przez oszustów stronę internetową, co najczęściej prowadzi do wycieku danych uwierzytelniających albo infekcji urządzenia złośliwym oprogramowaniem. Inną metodą jest używanie oprogramowania typu sniffer, które monitoruje ruch sieciowy i przechwytuje dane logowania. Cyberprzestępcy uzyskują także dostęp do danych poprzez wykupienie ich z baz dostępnych na rynkach darkwebowych.Niestety, wiele osób do logowania się na różnych stronach internetowych używa tego samego zestawu e-mail (jako login) oraz hasło. Jeśli tylko jedna z tych kombinacji znajdzie się w bazie danych, do której mają dostęp oszuści, będą próbowali wykorzystać ją w różnych serwisach. Atakujący nieustannie znajdują też nowe sposoby kradzieży haseł, co sprawia, że stworzenie wyczerpującej listy tych metod jest praktycznie niemożliwe. Dlatego należy nauczyć się dbać o bezpieczeństwo własne oraz swoich danych w sieci. Warto zacząć od wprowadzenia na wszystkich kontach mocniejszych haseł, które są trudniejsze do złamania.Oto cztery proste wskazówki opracowane przez ekspertów Fortinet na temat tego, jak tworzyć mocne hasła oraz lepiej chronić się przed cyberatakami.Nie tylko osoby prywatne powinny dbać o używanie silnych haseł. Zespoły odpowiedzialne za cyberbezpieczeństwo przedsiębiorstw i instytucji publicznych muszą podjąć dodatkowe kroki w celu zabezpieczenia zasobów i pracowników przed ewentualną kradzieżą danych. W infrastrukturze IT firm przechowywane są różnego rodzaju poufne informacje, na których bazuje funkcjonowanie instytucji. Są to nie tylko dane wrażliwe dotyczące osób zatrudnionych, ale również dane finansowe.Specjaliści ds. bezpieczeństwa IT powinni rozważyć podjęcie działań w następujących obszarach:Świadomość istnienia zagrożeń związanych z bezpieczeństwem cybernetycznym oraz taktyk wykorzystywanych przez przestępców jest ważniejsza niż kiedykolwiek, zarówno w pracy, jak i w domu. Używanie silnych haseł i ich częste zmienianie to podstawowy element ochrony informacji osobistych i zasobów cyfrowych.