Jakiś czas temu New York Times opisał historię, jak grupa przestępców rzekomo skradła ponad miliard haseł i loginów/adresów e-mail do różnych stron. Może to brzmieć jak największa kradzież w historii internetu, ale nie znamy szczegółów i w związku z tym ludzie związani w jakiś sposób z bezpieczeństwem są tu nieco sceptycznie nastawieni. Po pierwsze, nie poinformowano, jakie strony były celami. Nie wiadomo nic także o szczegółach technicznych – a przecież każdy ekspert ds. bezpieczeństwa chce wiedzieć, czy te hasła były zaszyfrowane. Zwykły użytkownik natomiast musi wiedzieć tylko jedno – że czas działać i jak ma się za to wziąć.
Najwięksi dostawcy nie wysyłają powiadomień o zmianie haseł, co może wskazywać na to, że nie zostali zainfekowani lub nie spodziewają się negatywnych konsekwencji dla użytkowników końcowych. Jednak firma Hold Security, która opublikowała to badanie, twierdzi, że wiele z zainfekowanych stron internetowych to małe serwisy. Strony te często nie posiadają ścisłych procedur bezpieczeństwa na taką okoliczność i użytkownicy nie spodziewają się powiadomień o wycieku danych od nich.
Ta domniemana kradzież może być dobrą okazją do zmiany polityki niespójnych haseł na bezpieczniejsze i usystematyzowanie swojego podejścia w tym temacie. „Jako konsument nie masz rzeczywistej kontroli nad tym, kiedy dojdzie do wycieku u Twojego dostawcy internetu, ale możesz zminimalizować szkody poprzez zastosowanie unikatowego hasła dla każdego konta” – powiedział David Emm, starszy badacz bezpieczeństwa w brytyjskim oddziale Kaspersky Lab.
Unikatowe hasła są kluczowe. Każde hasło może zostać skradzione, czy to z komputera (np. przy pomocy keyloggera), czy to od dostawcy online. Dbaj o to, by tym hasłem nie można było otworzyć drzwi do innych ważnych kont. Wiemy, że trudno jest pamiętać listę długich haseł, i właśnie dlatego zalecamy korzystanie z menedżerów haseł. Ponadto, każde hasło musi być wystarczająco silne (możesz je sprawdzić, korzystając z naszego darmowego narzędzia do sprawdzania haseł).
Wycieki haseł się zdarzają regularnie, więc zminimalizuj potencjalne szkody, używając unikalnego hasła.
W przypadku ważnych kont (bankowość, Gmail itp.) warto pomyśleć o dodatkowej ochronie. Strony te zazwyczaj umożliwiają dwuetapową weryfikację, dzięki czemu samo hasło jest bezużyteczne dla złodziei.
Porady