Cała prawda o hasłach. Sprawdź, czy nie jesteś narażony na atak

O różnych aspektach bezpieczeństwa na blogach Domeny.tv i MSERWIS.pl pisaliśmy wielokrotnie. Niedawno również o tym, jak chronić się przed wyciekiem haseł?
Ze względu na to, że tematyka bezpieczeństwa Twoich danych do logowania jest fundamentalnie ważna, wracamy do niej, aby przedstawić obszary, na jakie musisz zwrócić uwagę, aby Twoje dane do logowania były bezpieczne.

Cyberprzestępcy stają się coraz bardziej bezczelni, a każde słabe hasło może być furtką do Twoich danych. Ignorowanie kwestii bezpieczeństwa haseł grozi katastrofalnymi konsekwencjami, takimi jak kradzież tożsamości czy utrata środków na koncie. Już teraz dowiedz się, jak prawidłowo dbać o swoje dane logowania, zanim będzie za późno.

Unikalne hasło do serwisu - dlaczego jest to ważne?

Posługiwanie się takim samym hasłem w różnych serwisach w internecie, stwarza ryzyko, że Twoje hasło wraz z adresem e-mail znajdzie się na dostępnych nielegalnie w sieci bazach danych. Przestępcy mogą wykorzystać to, aby zalogować się do konta poczty elektronicznej i innych serwisów www, z których korzystasz.

W sieci dostępne są setki artykułów opisujące przypadki wycieków danych logowania. Jednym z przykładów z ubiegłego roku (2023 r.), opisanego przez CERT Polska (zespół do reagowania na zdarzenia naruszające bezpieczeństwo w sieci) jest wyciek, który dotyczył ponad miliona unikalnych rekordów z loginami i hasłami użytkowników, wykradzionych przez złośliwe oprogramowanie typu "information stealer". 

Konsekwencje ujawnienia danych logowania

Naruszenia bezpieczeństwa mogą skutkować następującymi realnymi konsekwencjami dla firm:

1. Straty finansowe - bezpośrednie koszty naruszenia bezpieczeństwa obejmują wydatki związane z wykrywaniem i reagowaniem na incydent, opłaty prawne oraz kary regulacyjne. Koszty pośrednie mogą obejmować zmniejszone przychody z powodu utraty klientów, uszczerbek na reputacji oraz zwiększone składki ubezpieczeniowe​ (źródło: ThreatAdvice, HackerOne​, APS)​.
2. Uszczerbek na reputacji - naruszenia bezpieczeństwa szkodzi reputacji firmy. Może to skutkować utratą zaufania klientów, co często odbija się na spadku sprzedaży i trudnościach w pozyskiwaniu nowych klientów​ (źródło: ThreatAdvice, APS)​.
3. Konsekwencje prawne i regulacyjne - niezgodność z przepisami o ochronie danych może prowadzić do nałożenia znaczących kar. Na przykład, w ramach RODO firmy mogą być karane grzywnami sięgającymi do 4% rocznego obrotu globalnego lub 20 milionów euro – w zależności od tego, która kwota jest wyższa​ (źródło: HackerOne)​.
4. Zakłócenia operacyjne - naruszenia bezpieczeństwa mogą powodować znaczne zakłócenia operacyjne, gdy firma stara się opanować incydent, ocenić szkody i wdrożyć środki zaradcze. Może to prowadzić do utraty produktywności, zwiększenia przestojów i opóźnień w projektach, co dodatkowo przyczynia się do strat finansowych i uszczerbku na reputacji​ (źródło: ThreatAdvice, Data Center Catalog)​.
5. Koszty związane z odzyskiwaniem - proces odzyskiwania po naruszeniu bezpieczeństwa może być zarówno czasochłonny, jak i kosztowny, ponieważ firmy pracują nad naprawą swoich systemów, przywracaniem utraconych danych i odzyskiwaniem zaufania klientów i interesariuszy​ (źródło: ThreatAdvice)​.
6. Wzrost kosztów związanych z cyberbezpieczeństwem - w obliczu rosnącego zagrożenia cyberatakami firmy muszą przeznaczać więcej zasobów i środków na wzmocnienie swoich środków bezpieczeństwa. To obejmuje zwiększenie zakresu ubezpieczenia od cyberzagrożeń, które pokrywa wydatki takie jak opłaty prawne, koszty powiadomień oraz potencjalne pozwy​ (źródło: More Cybersecurity)​.
7. Pozwy sądowe i działania zbiorowe - naruszenia danych mogą skutkować poważnymi stratami finansowymi wynikającymi z pozwów sądowych i działań zbiorowych wnoszonych przez osoby, których dane zostały naruszone. Może to obejmować odszkodowania za straty finansowe wynikające z kradzieży tożsamości lub oszustw, a także kary umowne, jeśli udowodniono, że firma nie podjęła odpowiednich środków w celu ochrony danych klientów​ (źródło: More Cybersecurity)​.

Opisane konsekwencje wyraźnie pokazują, jak istotne jest stosowanie silnych, unikalnych haseł i dodatkowych zabezpieczeń, takich jak dwuskładnikowe uwierzytelnianie (2FA), aby skutecznie chronić swoje dane.

Jak sprawdzić, czy Twoje dane logowania wyciekły do internetu?

Sprawdź, czy dane logowania  nie wyciekły (np. połączenie adresu e-mail z numerem telefonu)! Zrobisz to w serwisie Haveibeenpwned.com, stworzonym przez Troya Hunta cenionego eksparta security i technologii Microsoft. Możesz to zrobić również w polskim serwisie rządowym Bezpiecznedane.gov.pl

Jeżeli używasz tego samego hasła do różnych miejsc w sieci lub potwierdziłeś wyciek Twoich danych w jednym z serwisów monitorujących wycieki danych, nadszedł czas na radykalną zmianę Twojej strategii dotyczącej haseł. Koniecznie zacznij stosować unikalne hasła do każdego miejsca w internecie.

Jak tworzyć i przechowywać bezpieczne hasła?

Hasła przede wszystkim traktuj bardzo poważnie. Dane z wycieków haseł, które oblikował CERT Polska NASK, pokazują, że wśród 50 najpopularniejszych z nich są bardzo proste frazy np. "123456" czy "qwerty". Instytut zaleca, abyś stosował wiele odmiennych i silnych haseł. 

W jaki sposób zapamiętasz wiele haseł? Według rekomendacji CERT Polska powinieneś  używać programów do zarządzania hasłami, które popularnie zwane są menedżerami haseł. Stosuj mocne hasło, które nie zawiera typowych fraz oraz znaków znajdujących się na klawiaturze obok siebie i składające się z minimum 12 znaków.

Korzystając z programu do zarządzania hasłami, musisz pamiętać tylko jedno złożone hasło do programu zarządzającego hasłami, a o pozostałe losowe i długie hasła, zadba już sam program. 

Szukasz sposobu na wymyślanie haseł? Przykładowo pomyśl sobie jakiś zdanie (historyjkę, skojarzenie) i wpisz pierwsze litery wyrazów, z jakich się składa zdanie oraz dodaj cyfry lub znaki specjalne.

Hasła w przeglądarce

Do zarządzenia hasłami w przeglądarce Google Chrome możesz użyć Google Menadżer haseł.

Zdecydowanie nie zaleca się zapisywania haseł w przeglądarce przy pomocy prostych mechanizmów wbudowanych w przeglądarki internetowe. Mogą być one podatne na ataki hakerskie i złośliwe oprogramowanie. Ponadto, jeżeli ktoś uzyska dostęp do Twojego urządzenia, łatwo może przejrzeć zapisane hasła i uzyskać dostęp do Twoich kont.

Tworzenie silnych i unikalnych haseł wspierają darmowe i komercyjne rozwiązania, których na rynku jest wiele. Należy korzystać ze sprawdzonych i polecanych przez specjalistów narzędzi.

Wśród darmowych rozwiązań warto wymieć: Keepassxc.org, Keepass.info, Bitwarden.com, Pwsafe.org.

Jeżeli Twoje hasła do serwisów w internecie nie spełniają warunku unikalności (indywidualne hasło do każdej strony www, na której się logujesz) i złożoności, koniecznie rozpocznij proces zmiany haseł w tych serwisach. Może się zdarzyć, że nie jest to praca do wykonania jednorazowo. Warto jednak podjąć systematyczny wysiłek, zmiany haseł w różnych Twoich miejscach w sieci, aby w znaczący sposób podnieść swoje cyfrowe bezpieczeństwo.

Jeżeli właściciel strony www obsługuje dwuskładnikowe uwierzytelnienie 2FA (ang. Two factor authentication lub Multi-factor authentication), skonfiguruj dodatkowe zabezpieczenie, które będzie wymagało oprócz hasła kodu generowanego przy pomocy aplikacji na urządzeniu mobilnym np. Google Authenticator.

Proces zmiany haseł

Jeżeli Twój proces zmiany haseł w sieci obejmie również nasze serwisy, tak abyś miał unikalne i mocne hasła, podpowiadamy jak zmodyfikować dane do logowania.

Jak zmienić hasło w Domeny.tv?

Hasło w Domeny.tv najprościej zaktualizujesz na dwa sposoby:

1. Zaloguj się do swojego konta, rozwiń menu przy nazwie Twojego konta, kliknij „Zmień hasło” i wprowadź nowe hasło.

2. Zresetuj i wygeneruj nowe hasło. 

Jak zmienić hasło w MSERWIS.pl?

1. Zaloguj się do swojego konta cPanel. Następnie z górnego menu ustawień konta wybierz „Hasło i zabezpieczenia” i wprowadź nowe hasło. 

2. Możesz skorzystać z formularza generowania nowego hasła do cPanel. 

Zmień hasła w pozostałych serwisach 

Nie zapomnij hasłach do swoich stron www i serwisów e-commerce np. WordPress, Magento, PrestaShop.

Używaj uwierzytelniania dwuskładnikowego (2FA) 

Uwierzytelnianie dwuskładnikowe (2FA) to dodatkowa warstwa zabezpieczeń, która oprócz tradycyjnego hasła wymaga również podania drugiego elementu, np. kodu generowanego przez aplikację na smartfonie lub przesyłanego SMS-em. Dzięki 2FA, nawet jeśli ktoś pozna Twoje hasło, nie będzie mógł zalogować się do Twojego konta bez dostępu do drugiego elementu uwierzytelnienia.

Warto używać 2FA, ponieważ znacznie zwiększa to bezpieczeństwo Twojego konta. Nawet w przypadku wycieku hasła, bez drugiego składnika logowanie staje się niemożliwe. Jest to jedna z najskuteczniejszych metod ochrony przed nieautoryzowanym dostępem i złośliwymi atakami.

Zachęcamy do włączenia uwierzytelniania dwuskładnikowego już teraz, aby zapewnić sobie pełne bezpieczeństwo i spokój korzystania z naszych usług.

Zapoznaj się z naszymi poradnikami i dowiedz się, jak wprowadzić 2FA na swoich kontach:

1. Domeny.tv - https://www.domeny.tv/pomoc/aktywacja-2fa 
2. MSERWIS.pl - https://www.mserwis.pl/hosting/uwierzytelnianie-dwuelementowe 

Posiadasz WordPressa? Dowiedz się, jak wdrożyć 2FA na swojej platformie.

Korzystaj z silnych i unikatowych haseł

Korzystaj z silnych i unikalnych haseł oraz stosuj dwuskładnikowe uwierzytelnianie (2FA) w celu zwiększenia bezpieczeństwa Twoich kont. Już teraz zmień swoje hasła, jeśli używasz takiego samego hasła w różnych serwisach. Pamiętaj, że nawet najlepiej zabezpieczone serwisy mogą paść ofiarą cyberataków, dlatego tak ważne jest stosowanie dodatkowych środków ostrożności. Dbaj o swoje dane logowania, używaj menedżerów haseł, aby uniknąć korzystania z tych samych danych w różnych serwisach. 

Twoje bezpieczeństwo jest dla nas bardzo ważne. Przeczytaj nasze artykuły i dowiedz się jakie narzędzia bezpieczeństwa stosujemy:

• “Jak w MSERWIS.PL dbamy o bezpieczeństwo danych klientów?”, 
• ”Jak dbamy o bezpieczeństwo Twoich domen?”.