Europejski Miesiąc Cyberbezpieczeństwa – silne hasła kluczem do skutecznej cyberochrony

W 2022 r. przypada 10. rocznica ustanowienia przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) października jako miesiąca, w którym prowadzona jest kampania promująca cyberbezpieczeństwo. W tym roku tematy przewodnie to phishing oraz ransomware. Skuteczną metodą obrony przed tymi cyberzagrożeniami jest m.in. stosowanie silnych haseł, które utrudniają przestępcom kradzież poufnych informacji. Według raportu Verizon 2022 Data Breach Investigations skradzione dane uwierzytelniające były przyczyną prawie 50 proc. cyberataków w 2021 r.

Przestępcy używają skradzionych haseł, aby zyskać dostęp do danych osobowych oraz finansowych. Mając do dyspozycji te informacje, oszuści mogą prowadzić różne szkodliwe działania, takie jak kradzież tożsamości, udostępnianie własnych treści na wykradzionych kontach w mediach społecznościowych czy nieautoryzowane korzystanie z kart kredytowych. Dlatego, jak przypominają specjaliści z firmy Fortinet, tak ważne jest stosowanie silnych haseł i częste ich zmienianie, aby uniemożliwić cyberprzestępcom uzyskanie dostępu do poufnych informacji.

W jaki sposób oszuści zdobywają hasła?

Istnieje wiele taktyk, które stosują przestępcy w celu wykradania haseł. Najpopularniejszą jest phishing – metoda socjotechniczna, która polega na wysyłaniu ofiarom wiadomości e-mail i nakłanianiu ich do kliknięcia w podany w wiadomości link lub wejścia na stworzoną przez oszustów stronę internetową, co najczęściej prowadzi do wycieku danych uwierzytelniających albo infekcji urządzenia złośliwym oprogramowaniem. Inną metodą jest używanie oprogramowania typu sniffer, które monitoruje ruch sieciowy i przechwytuje dane logowania. Cyberprzestępcy uzyskują także dostęp do danych poprzez wykupienie ich z baz dostępnych na rynkach darkwebowych.

Niestety, wiele osób do logowania się na różnych stronach internetowych używa tego samego zestawu e-mail (jako login) oraz hasło. Jeśli tylko jedna z tych kombinacji znajdzie się w bazie danych, do której mają dostęp oszuści, będą próbowali wykorzystać ją w różnych serwisach. Atakujący nieustannie znajdują też nowe sposoby kradzieży haseł, co sprawia, że stworzenie wyczerpującej listy tych metod jest praktycznie niemożliwe. Dlatego należy nauczyć się dbać o bezpieczeństwo własne oraz swoich danych w sieci. Warto zacząć od wprowadzenia na wszystkich kontach mocniejszych haseł, które są trudniejsze do złamania.

Dobre praktyki dotyczące tworzenia bezpiecznych haseł

Oto cztery proste wskazówki opracowane przez ekspertów Fortinet na temat tego, jak tworzyć mocne hasła oraz lepiej chronić się przed cyberatakami.

  • Należy tworzyć hasła, które można zapamiętać, ale są trudne do odgadnięcia przez innych – Choć może się wydawać, że dobrym pomysłem jest dodanie liczb lub znaków specjalnych do zwykłych słów i fraz w celu wzmocnienia hasła, jednak cyberprzestępcy stosują wiele technik, aby złamać takie zabezpieczenie. Oszuści używają listy popularnych słów w nadziei, że ludzie stosują właśnie te wyrazy w swoich hasłach dostępowych do aplikacji lub stron internetowych. Tymczasem tworzenie silnych haseł ułatwiają różnego rodzaju mnemotechniki. Jedną z nich jest użycie np. cytatu lub fragmentu piosenki i wybranie z niego co drugiej litery. Dzięki temu hasło staje się zlepkiem przypadkowych liter – trudnych do odgadnięcia, lecz łatwych do zapamiętania dla autora. Dodatkowym sposobem wzmocnienia takiego zabezpieczenia jest wymieszanie wielkich i małych liter oraz znaków specjalnych. Na przykład, korzystając z frazy „Parostatkiem w piękny rejs”, można stworzyć hasło „PrsakeWiknRj”.
  • Należy unikać stosowania w hasłach konkretnych nazwisk, liczb lub zwrotów – Nie wolno umieszczać w hasłach informacji umożliwiających identyfikację użytkownika, a także nazw ulubionego miejsca wypoczynku czy drużyny sportowej. Dane logowania nie powinny zawierać również takich elementów, jak:
  • data urodzenia,
  • numer telefonu,
  • informacja o miejscu pracy,
  • nazwa, np. tytuł filmu czy drużyny sportowej,
  • proste maskowanie popularnych słów (np. „H@sł0”).
  • Najlepiej używać innego hasła dla każdego konta – Logowanie się do wielu kont za pomocą tego samego hasła zwiększa ryzyko kradzieży dużej ilości informacji, zarówno osobowych, jak i finansowych. Jeśli cyberprzestępcy ukradną dane uwierzytelniające do jednej witryny, mogą ich użyć także do innych. Oszuści mogą także sprzedać te dane w dark webie, przekazując je kolejnym osobom.
  • Warto korzystać z menedżera haseł, który generuje unikalne, długie i złożone ciągi znaków – W sytuacji, gdy do każdego konta internetowego tworzone jest inne hasło, łatwo można je pomylić lub zapomnieć. Nie należy jednak zapisywać wszystkich tych haseł w dokumencie lub arkuszu kalkulacyjnym na swoim urządzeniu, a tym bardziej na karteczce samoprzylepnej pod klawiaturą. Zamiast tego lepiej rozważyć użycie menedżera haseł, który nie tylko generuje skomplikowane kody, ale także umożliwia przechowywanie własnych haseł w lokalnym lub bazującym na chmurze „skarbcu”. Dostanie się do menadżera, również wymaga podania hasła. Biorąc pod uwagę rosnącą liczbę usług internetowych wymagających zakładania konta, menedżer haseł jest prostym sposobem na trzymanie wszystkich danych logowania w bezpiecznym miejscu.

Więcej niż tylko silne hasła

Nie tylko osoby prywatne powinny dbać o używanie silnych haseł. Zespoły odpowiedzialne za cyberbezpieczeństwo przedsiębiorstw i instytucji publicznych muszą podjąć dodatkowe kroki w celu zabezpieczenia zasobów i pracowników przed ewentualną kradzieżą danych. W infrastrukturze IT firm przechowywane są różnego rodzaju poufne informacje, na których bazuje funkcjonowanie instytucji. Są to nie tylko dane wrażliwe dotyczące osób zatrudnionych, ale również dane finansowe.

Specjaliści ds. bezpieczeństwa IT powinni rozważyć podjęcie działań w następujących obszarach:

  • Uruchomienie wieloskładnikowego uwierzytelniania (MFA) – Mechanizm ten, oprócz wpisania hasła, wymaga podania dodatkowego kodu, np. z wiadomości SMS, z e-maila lub ze specjalnego urządzenia (tokenu) generującego szyfr. Dodanie drugiego kroku w celu weryfikacji tożsamości użytkownika gwarantuje, że cyberprzestępca nie może uzyskać dostępu do konta i danych, nawet jeśli hasło zostanie naruszone.
  • Wdrożenie systemu Single Sign-On (SSO) – Rozwiązanie to umożliwia użytkownikom korzystanie z jednego zestawu danych logowania w wielu firmowych aplikacjach. Jednokrotne wpisanie loginu i hasła spowoduje uzyskanie dostępu do wszystkich platform, z których korzysta przedsiębiorstwo. Używanie tylko jednego zestawu danych uwierzytelniających w pracy zwiększa bezpieczeństwo, ponieważ przestępcy mają mniej okazji do przechwycenia hasła.
  • Szkolenia w zakresie cyberbezpieczeństwa – Cyfrowe ataki stale są rozwijane, a przestępcy wprowadzają nowe techniki kradzieży danych. W związku z tym każdy pracownik powinien wiedzieć o istniejących, aktualnych cyberzagrożeniach i o tym, jak można się najlepiej przed nimi chronić.

Świadomość istnienia zagrożeń związanych z bezpieczeństwem cybernetycznym oraz taktyk wykorzystywanych przez przestępców jest ważniejsza niż kiedykolwiek, zarówno w pracy, jak i w domu. Używanie silnych haseł i ich częste zmienianie to podstawowy element ochrony informacji osobistych i zasobów cyfrowych.