Wyciek haseł wykopowiczów pokazuje jedno - nadal nie potrafimy korzystać z internetu
Prawdę powiedziawszy, nie myślałem, że w 2017 roku będę musiał pisać tę notkę. Zmusza mnie jednak do tego zamieszanie na Wykop.pl, z którego – między innymi – dowiedziałem się, jakie hasła stosują do swoich kont użytkownicy Wykopu.
Na naszym polskim „reddicie” znowu aferka. Tym razem poszło o niezgodne z regulaminem i dobrym obyczajem nabijanie popularności wybranym linkom przez masowe spamowanie Wykopu głosami „na tak” dla tych linków. Jak się szybko okazało, wykorzystywane były do tego internetowe boty, co samo w sobie niczym ciekawym nie jest.
Wyszło jednak, że boty przejmowały tymczasową kontrolę nad kontami użytkowników, którzy zarzekają się że nie głosowali na żaden z „podejrzanych” na Wykop.pl linków. A to oznacza, że ktoś zdobył w jakiś sposób dostęp do dużej liczby kont na Wykopie. Kradzież z bazy danych? Całą sprawę dokładnie opisał Niebezpiecznik.pl i, jak się okazuje, nie do końca.
W prostocie siła? Nie w przypadku haseł do kont internetowych.
Jak wynika z powyższej listy haseł opublikowanych na Wykop.pl i „przedrukowanych” na Niebezpiecznik.pl, wielu internautów nadal nie rozumie, że hasło „haslo123” (to jedna z pozycji na liście!) jako jedyne zabezpieczenie do konta to pomysł dość średni. Jasne, nadal zachowuje ono zaletę bycia łatwym do zapamiętania, ale jest ono też, niestety, łatwe do złamania.
Jak twierdzi Michał Białek, członek zarządu Wykopu, właśnie to było przyczyną przejęcia kontroli nad kontami użytkowników. Na kiepskie, łatwe do odgadnięcia hasła, trudno cokolwiek poradzić. Patrząc na listę powyżej wierzę panu białkowi.
Jak zabezpieczyć konto? Jakie stosować hasła?
Po pierwsze, używaj „silnych” haseł.
A więc takich, które trudno będzie odgadnąć maszynie. Niech to nie będzie słowo ze słownika, nasza data urodzin czy coś równie prostego. Dobre hasło powinno składać się z wielkich i małych liter oraz cyfr i symboli. Pamiętaj, że może być łatwe do zapamiętania, ale musi być trudne do odgadnięcia. Pamiętaj też, by je raz na jakiś czas zmieniać.
Po drugie, nie używaj wszędzie tego samego hasła.
Obowiązkiem internetowego usługodawcy jest chronienie twoich danych tak, jak tylko to możliwe. Nie ma jednak rzeczy doskonałych i czasem im się to nie udaje. Jeżeli cyberprzestępcy wykradną z jednej bazy danych hasło, to zadbaj o to, by to samo nie zadziałało u innego usługodawcy.
Po trzecie, stosuj dwuetapowe uwierzytelnianie użytkownika wszędzie tam, gdzie to możliwe.
Coraz więcej usług internetowych oferuje tak zwane dwuetapowe uwierzytelnianie użytkownika (two-factor authentication, 2FA). To bardzo ważny mechanizm, z którego powinieneś korzystać. Polega on na tym, że za każdym razem jak logujesz się do swojego konta w zupełnie nowej przeglądarce lub aplikacji usługa, po otrzymaniu loginu i hasła, prosi cię o dodatkowe potwierdzenie twojej tożsamości.
Forma dodatkowego potwierdzenia zależy już od usługi. Może to być przyłożenie palca do czytnika biometrycznego w telefonie, może to być wpisanie otrzymanego SMS-em kodu czy też potwierdzenie swojej tożsamości w aktywowanej już na innym urządzeniu aplikacji. Jest to mała niedogodność, a znacząco wpływa na bezpieczeństwo naszego konta.
Czy możemy mieć to już za sobą?
Napisanie tej notki zlecił mi jeden z prowadzących. Na początku, dopóki nie zajrzałem na Niebezpiecznika, myślałem, że chce mnie tylko zirytować. Okazuje się jednak, że mimo iż mamy 2017 rok, trzeba nadal edukować początkujących internautów, bo ci dalej nie mają pojęcia o podstawowych zasadach bezpieczeństwa.
I tak, jasne, nie popadajmy w paranoję. Wobec mało istotnych dla nas kont możemy zluzować swoją politykę zabezpieczeń. Stawiając jednak na wygodę w tych istotnych możemy potem mieć pretensje wyłącznie do samych siebie.
