Jak cyberprzestępcy pozyskują hasła?

Ataki phishingowe – fałszywe wiadomości e-mail i SMS są rozsyłane do użytkowników popularnych usług i aplikacji w celu wyłudzenia danych logowania. Odbiorców nakłania się do kliknięcia w link przenoszący do spreparowanej strony internetowej, która jest niemal identyczna z autentyczną, lub do otwarcia załącznika i wpisania tam loginu oraz hasła. Czasami użytkownik jest proszony również o podanie innych wrażliwych informacji.

Atak słownikowy – atakujący tworzą listę popularnych, krótkich słów używanych jako hasła. Następnie, za pomocą automatu, próbują uzyskać dostęp do kont użytkowników, testując kolejne pozycje z utworzonego „słownika”. Cyberprzestępcy często dodają do słów cyfry, ale warto pamiętać, że dodanie „1” na początku lub na końcu hasła nie czyni go silniejszym.

Atak siłowy (brute force) – cyberprzestępcy generują losowo duże ilości krótkich ciągów znaków i próbują je wykorzystać jako hasła do pojedynczych kont.

Wycieki danych – wynikają m.in. z działalności cyberprzestępców i skutkują upublicznieniem baz danych zawierających np. loginy i hasła.

Praktyczne porady – jak budować silne hasła?

• Im dłuższe hasło, tym trudniejsze do złamania. Zadbaj o ty, aby hasło składało się z co najmniej 14 znaków.
• Silne hasła można budować używając pełnych zdań lub fraz. Unikaj cytatów bez znaczących modyfikacji. Zadbaj, aby hasło składało się z przynajmniej pięciu słów.
• Hasło nie powinno być identyczne z Twoją nazwą użytkownika ani jej częścią. Dodatkowo nie może być to np. imię żadnej osoby z Twojego najbliższego otoczenia, czy to członka rodziny, znajomego czy nawet zwierzęcia.
• Unikaj używania danych osobowych, takich jak data urodzenia, numer telefonu, numer rejestracyjny samochodu, nazwa ulicy czy numer mieszkania/domu.
• Unikaj również sekwencji kolejnych liter, cyfr lub innych znaków, takich jak abcd, 1234 czy QWERTY. Nie korzystaj z pojedynczych wyrazów w dowolnym języku pisanym normalnie lub wspak, ani takiego wyrazu poprzedzonego lub zakończonego znakiem specjalnym lub cyfrą.
• Ogranicz używanie więcej niż trzech kolejnych znaków na klawiaturze.
• Unikaj też używania więcej niż dwóch kolejnych powtarzających się ciągów znaków.
• Stosuj unikalne hasło do każdej usługi. Unikaj modyfikacji jednego hasła na kilka sposobów.
• Zmieniaj hasło natychmiast, jeśli masz choć cień podejrzenia, że ktoś mógł ukraść Twoje hasło. jeśli chcesz sprawdzić czy Twoje hasło nie wyciekło możesz to sprawdzić za pomocą strony https://bezpiecznedane.gov.pl lub  https://haveibeenpwned.com/
• Korzystaj z menedżerów haseł.  Te w przeglądarkach albo telefonach dobrze spełniają swoją funkcję

Więcej na temat haseł dowiesz się ze strony CERT Polska.

Artykuł wyraża jedynie poglądy autorów i nie może być utożsamiany z oficjalnym stanowiskiem Ministra Cyfryzacji.