Unikatowe hasła też można stosować źle. Nasza czytelniczka niemalże straciła 8,5 tys. zł

Stosowanie za każdym razem unikatowego hasła jest jedną z podstawowych zasad bezpieczeństwa w sieci. Ewentualny wyciek jednej bazy nie oznacza wówczas włamania w drugie i kolejne miejsca. Niemniej unikatowe hasło, choć z reguły zawsze jest lepsze od tego stosowanego globalnie, także może zostać użyte w sposób nieoptymalny. Przekonała się o tym jedna z czytelniczek, której gapiostwo mogło doprowadzić do straty 8,5 tys. zł.

"Pomocy! Ktoś włamał się na mój komputer i ma moje kontakty i zdjęcia, i twierdzi, że upubliczni je, jeśli nie zapłacę 2 tys. dol. okupu [ok. 8,5 tys. zł – przyp. red.]" – pisze do redakcji dobrychprogramów pani Agata. "W treści maila jest moje hasło do poczty" – dodaje zmartwiona, załączając jednocześnie zrzut rzeczonej wiadomości.

Jako że mail jest anglojęzyczny i ma dość szablonową dla internetowych oszustw treść, pytam czytelniczkę, czy korzysta z unikatowych haseł. Nie jest bowiem tajemnicą, że w tego rodzaju kampaniach przestępcy dla uwiarygodnienia swoich żądań potrafią wykorzystywać dane ze starych wycieków. Dysponując paczką danych wiążących dany adres e-mail z danym hasłem, liczą na strach swojej ofiary.

"Nigdy nie mam dwóch takich samych haseł, a to zamieszczone w mailu na pewno jest do mojej skrzynki pocztowej" – nieoczekiwanie pada w odpowiedzi.

Czyżby miało dojść do utraty danych przez jednego z największych krajowych dostawców poczty elektronicznej? A może na komputerze lub smartfonie mojej rozmówczyni pojawił się malware, który raportuje napastnikowi o wpisywanych hasłach? Nic z tych rzeczy – finał jest znacznie mniej spektakularny, ale prowadzi do ważnego wniosku. Ludzka pamięć to bardzo bezpieczny pod kątem cyberataku, jednak zawodny nośnik danych.

Po dłuższej rozmowie telefonicznej i uspokojeniu bohaterki, w końcu udało się znaleźć wyjaśnienie. Hasło wcale nie było do skrzynki pocztowej, lecz do serwisu Canva umożliwiającego tworzenie projektów graficznych, skąd w maju 2019 r. wyciekła baza zawierająca ponad 4 mln rekordów, w tym właśnie hasła.

Tymczasem niedoszła ofiara oszustwa, pani Agata, po prostu się pomyliła. A stało się tak dlatego, gdyż buduje swoje hasła według jednego schematu. Aby mogła je łatwiej zapamiętać, używa zawsze tej samej, niesłownikowej frazy, zmieniając wyłącznie wielkość liter i cyfry na końcu. Traf chciał, że hasła do poczty i konta na Canvie były niezwykle podobne.

Historia pani Agaty nie jest przesadnie wyjątkowa. Wycieki baz danych i próby wykorzystania ich do wyłudzenia pieniędzy to internetowa codzienność. Czytelniczka dobrychprogramów, jak twierdzi, prowadzi dobrze prosperujący biznes i kładąc na szalę swoją renomę, istotnie była gotowa zapłacić okup. Na całe szczęście tego nie zrobiła, a my zyskujemy niniejszym bardzo obrazowy przykład akademicki.

Zamiast wymyślać karkołomne schematy, nie mówiąc już o stosowaniu wszędzie jednego i tego samego ciągu, lepiej zaopatrzyć się w jakiś menedżer haseł. Takie narzędzie samo zaproponuje i zapisze lokalnie w pełni unikatowe kombinacje. Powszechnie chwaloną, a przy tym całkowicie bezpłatną opcją jest KeePass, który można pobrać z naszego katalogu oprogramowania.

Sam KeePass, z punktu widzenia bezpieczeństwa, ma tę zaletę, że wszystkie dane gromadzi na dysku. Nie dojdzie więc do ich utraty, o ile atak nie nastąpi wprost na konkretne urządzenie. Oczywiście z tego wynika też pewna wada, a mianowicie bazę haseł pomiędzy kilkoma posiadanymi sprzętami trzeba synchronizować ręcznie, bez udziału chmury. Alternatywa z funkcją synchronizacji online to chociażby LastPass, ale jemu, co by nie mówić, zdarzają się wpadki.

Przy czym, subiektywnym zdaniem autora, dowolny menedżer haseł będzie lepszy zarówno od stosowania jednej frazy globalnie, jak i gimnastyki w stylu pani Agaty.