Kto ponosi winę za "wyciek haseł"? I jak ochronić się następnym razem?

Wielki wyciek haseł Polaków miał miejsce pod koniec maja. Eksperci z Zaufanej Trzeciej Strony szacowali, że ofiar może być około 100 tys., a rządowe narzędzie pozwala sprawdzić, czy jest się jedną z nich. Teraz głos w sprawie zabrał Paweł Jurek, ekspert cybersecurity z DAGMA Bezpieczeństwo IT (a więc dostawcy zabezpieczeń takich marek jak ESET, Acronis czy Stormshield). Podpowiedział, co może zrobić każdy z nas, aby nie paść ofiarą podobnego incydentu w przyszłości i dobrze zabezpieczyć się przed działaniami cyberprzestępców.

Paweł Jurek ma cztery rady dla osób, które chcą zadbać o swoje bezpieczeństwo w sieci. Pierwsza polega na stosowaniu unikalnych i skomplikowanych haseł. – Czy zdarza Ci się sytuacja, w której dla łatwości zapamiętania, używasz tego samego hasła w różnych serwisach? Natychmiast przestań to robić: zmień hasła na indywidualne, albo przynajmniej przeanalizuj, czy hasło używane w wielu mało ważnych sklepach internetowych czy rzadko odwiedzanych forach nie jest takie samo, jak Twoje hasło do miejsc najważniejszych: Twojego konta e-mail, Twojego banku czy Twoich kont w serwisach społecznościowych – radzi ekspert.

Wiedząc, że zapamiętanie tak wielu różnych haseł może być problematyczne, ekspert proponuje skorzystanie z pomocy menedżera haseł. Taka właśnie jest druga rada. Tego typu narzędzia mogą zapamiętywać setki danych logowania, wymagając od ciebie zaledwie jednego hasła głównego. Dzięki integracji z popularnymi aplikacjami mogą automatycznie uzupełniać formularze logowania, a nierzadko też oferują pomoc przy samym tworzeniu silnych haseł.

Ekspert zachęca również użytkowników do korzystania z uwierzytelniania dwuskładnikowego (w którym po wpisaniu hasła trzeba jeszcze potwierdzić swoją tożsamość, przepisując jednorazowy kod z SMS-a lub aplikacji, takiej jak Google Authenticator). Warto też korzystać z coraz częściej obecnych w naszych telefonach i laptopach czytników linii papilarnych. Odcisk palca jest znacznie silniejszym zabezpieczeniem niż zwykłe hasło. Co jeszcze warto robić? – Szyfrować powierzchnię dysku komputera i nie pozwalać osobom postronnym na dostęp do naszego urządzenia – podpowiada Paweł Jurek.

Warto też zwrócić uwagę na to, kto ponosi winę za ten incydent. Filip Brzóska, specjalista ds. cyberbezpieczeństwa w Capgemini Polska, zwraca przy tym uwagę, że spopularyzowane w mediach określenie "wyciek danych" nie jest zbyt trafne w tej sytuacji. – Owszem, dane logowania zostały ujawnione w sieci, jednak nie w wyniku niedopilnowania ich przez firmy, a w efekcie działania wirusa typu stealer – wyjaśnił. Stealery to wirusy, których zadaniem jest wykradanie danych zapisanych na komputerach ofiar. W tym przypadku złośliwe oprogramowanie było najpewniej wyspecjalizowane w wykradaniu loginów i haseł, na przykład zapisanych w przeglądarce internetowej.

Jak tłumaczył Filip Brzóska, aby stealery mogły zadziała, muszą wydarzyć się dwie rzeczy. Po pierwsze: nieuważny użytkownik musi pobrać go z internetu. Po drugie: musi nie mieć dobrego programu antywirusowego, który wykryłby zawczasu to zagrożenie. – Firmy, które wymieniane są w mediach nie ponoszą odpowiedzialności za ujawnienie danych. W tym przypadku nieostrożność wystąpiła po stronie użytkowników – podkreślił raz jeszcze ekspert.

– Wszyscy specjaliści z zakresu cyberbezpieczeństwa są świadomi tego, że najsłabszym ogniwem zawsze pozostanie człowiek. Wiedzą to również cyberprzestępcy, których działania często bazują na manipulacji, zastraszaniu, a nawet szantażu. Użytkownicy niejednokrotnie wyciągają wnioski dopiero wtedy, kiedy już popełnią bolesny w skutkach błąd – podsumował Filip Brzóska.