Uwierzytelnianie
Większość zgłoszonych naruszeń bezpieczeństwa danych wynika z używania słabych, domyślnych lub skradzionych haseł (według raportu CERT Polska). Używaj długich, silnych i unikalnych haseł, zarządzaj nimi w bezpiecznym menedżerze haseł, włącz uwierzytelnianie dwuskładnikowe, śledź naruszenia bezpieczeństwa i zachowaj ostrożność podczas logowania się na swoje konta.
0 z 21 (0%) zrobiono, 0 zignorowano
| Zrobione | Porada | Poziom | Szczegóły |
|---|---|---|---|
Start | Jeśli Twoje hasło jest zbyt krótkie lub zawiera słowa ze słownika, nazwy miejsc lub imiona, może zostać łatwo złamane metodą brute force lub odgadnięte przez kogoś. Najprostszym sposobem na stworzenie silnego hasła jest użycie długiego hasła (12+ znaków) — rozważ użycie „frazy hasła” złożonej z wielu słów. Alternatywnie, użyj generatora haseł, aby stworzyć długie, silne hasło losowe. Wypróbuj narzędzie Security.org „How Secure Is My Password?”, aby dowiedzieć się, jak szybko można złamać popularne hasła. Więcej informacji na temat tworzenia silnych haseł znajdziesz na stronie cert.pl. | ||
Start | Jeśli ktoś ponownie użyje hasła, a jedna z witryn, w której posiada konto, padnie ofiarą wycieku danych, przestępca może łatwo uzyskać nieautoryzowany dostęp do pozostałych kont tej osoby. Odbywa się to zazwyczaj poprzez automatyczne wysyłanie na dużą skalę żądań logowania i nazywa się to Credential Stuffing. Niestety jest to zbyt powszechne zjawisko, ale można się przed nim łatwo chronić — wystarczy używać różnych haseł do poszczególnych kont internetowych. | ||
Start | Dla większości osób zapamiętanie setek silnych i unikalnych haseł jest praktycznie niemożliwe. Menedżer haseł to aplikacja, która generuje, przechowuje i automatycznie wypełnia dane logowania. Wszystkie hasła są szyfrowane za pomocą jednego hasła głównego (które musisz zapamiętać i które powinno być bardzo silne). Większość menedżerów haseł posiada rozszerzenia do przeglądarek i aplikacje mobilne, więc niezależnie od tego, z jakiego urządzenia korzystasz, Twoje hasła mogą być automatycznie wypełniane. Dobrym, wszechstronnym rozwiązaniem jest Bitwarden. | ||
Start | Chociaż mogą zdarzyć się sytuacje, w których konieczne będzie udostępnienie dostępu do konta innej osobie, generalnie należy tego unikać, ponieważ zwiększa to ryzyko naruszenia bezpieczeństwa konta. Jeśli konieczne jest udostępnienie hasła — na przykład podczas pracy w zespole korzystającym ze wspólnego konta — należy to zrobić za pomocą funkcji wbudowanych w menedżer haseł. | ||
Start | 2FA to metoda, w której musisz podać zarówno coś, co znasz (hasło), jak i coś, co posiadasz (np. kod na telefonie), aby się zalogować. Oznacza to, że nawet jeśli ktoś zdobędzie Twoje hasło (np. poprzez phishing, złośliwe oprogramowanie lub naruszenie bezpieczeństwa danych), nie będzie mógł zalogować się na Twoje konto. Rozpoczęcie korzystania z tej funkcji jest proste: pobierz aplikację uwierzytelniającą na swój telefon, a następnie przejdź do ustawień bezpieczeństwa konta i postępuj zgodnie z instrukcjami, aby włączyć 2FA. Przy następnym logowaniu na nowym urządzeniu zostaniesz poproszony o podanie kodu wyświetlanego w aplikacji na telefonie (działa ona bez internetu, a kod zmienia się zazwyczaj co 30 sekund). | ||
Start | Po włączeniu uwierzytelniania wieloskładnikowego zazwyczaj otrzymujesz kilka kodów, których możesz użyć w przypadku utraty, uszkodzenia lub niedostępności metody 2FA. Przechowuj te kody w bezpiecznym miejscu, aby zapobiec ich utracie lub nieuprawnionemu dostępowi. Powinieneś przechowywać je na papierze lub w bezpiecznym miejscu na dysku (np. w pamięci offline lub w zaszyfrowanym pliku/dysku). Nie przechowuj ich w menedżerze haseł, ponieważ źródła 2FA i hasła powinny być przechowywane oddzielnie. | ||
Plus | Po poważnym naruszeniu bezpieczeństwa danych w witrynie internetowej, wyciekające dane często trafiają do Internetu. Kilka witryn internetowych gromadzi te wyciekające dane i umożliwia wyszukiwanie adresu e-mail w celu sprawdzenia, czy znajduje się on na którejś z ich list. Firefox Monitor, Have I Been Pwned umożliwiają rejestrację w celu monitorowania, a następnie powiadamiają użytkownika, jeśli jego adres e-mail pojawi się w nowych zestawach danych. Warto jak najszybciej dowiedzieć się o takim zdarzeniu, aby móc zmienić hasła do kont, których dotyczy wyciek. Have I Been Pwned oferuje również powiadomienia dla całej domeny, dzięki czemu można otrzymywać alerty, jeśli pojawią się jakiekolwiek adresy e-mail z całej domeny (przydatne, jeśli używasz aliasów do anonimowego przekazywania wiadomości). | ||
Plus | Podczas wpisywania hasła w miejscach publicznych upewnij się, że nie znajdujesz się w bezpośrednim zasięgu wzroku kamery i że nikt nie może zajrzeć Ci przez ramię. Zakryj hasło lub kod PIN podczas wpisywania i nie ujawniaj żadnych haseł w postaci zwykłego tekstu na ekranie. | ||
Plus | Wycieki i naruszenia baz danych są powszechne i prawdopodobnie kilka z Twoich haseł już gdzieś w sieci się znalazło. Okazjonalna aktualizacja haseł do kont o kluczowym znaczeniu dla bezpieczeństwa może pomóc w ograniczeniu tego ryzyka. Jednak pod warunkiem, że wszystkie Twoje hasła są długie, silne i unikalne, nie ma potrzeby robić tego zbyt często — wystarczy raz w roku. Wymuszanie obowiązkowej zmiany haseł nie jest już zalecane, ponieważ zachęca to współpracowników do wybierania słabszych haseł. | ||
Plus | Większość nowoczesnych przeglądarek oferuje zapisanie danych logowania podczas logowania się do witryny. Nie należy na to pozwalać, ponieważ dane te nie zawsze są szyfrowane i mogą umożliwić komuś uzyskanie dostępu do kont użytkownika. Zamiast tego należy używać dedykowanego menedżera haseł do przechowywania (i automatycznego wypełniania) haseł. | ||
Plus | Unikaj logowania się na komputerach innych osób, ponieważ nie masz pewności, czy ich system jest czysty. Szczególną ostrożność należy zachować w przypadku komputerów publicznych, ponieważ złośliwe oprogramowanie i śledzenie są tam bardziej powszechne. Korzystanie z cudzego urządzenia jest szczególnie niebezpieczne w przypadku kont o krytycznym znaczeniu, takich jak bankowość internetowa. Korzystając z cudzego komputera, upewnij się, że sesja jest prywatna/incognito (użyj Ctrl+Shift+N/ Cmd+Shift+N). Spowoduje to, że przeglądarka nie będzie zapisywać Twoich danych logowania, plików cookie i historii przeglądania. | ||
Plus | Niektóre strony umożliwiają ustawienie podpowiedzi do hasła. Często odpowiedzi są bardzo łatwe do odgadnięcia. W przypadkach, gdy podpowiedzi do hasła są obowiązkowe, należy używać losowych odpowiedzi i zapisywać je w menedżerze haseł (nazwa pierwszej szkoły: 6D-02-8B-!a-E8-8F-81). | ||
Plus | Jeśli strona zadaje pytania zabezpieczające (takie jak miejsce urodzenia, nazwisko panieńskie matki lub pierwszy samochód itp.), nie podawaj prawdziwych odpowiedzi. Dla hakerów zdobycie tych informacji w Internecie lub poprzez socjotechnikę jest bardzo łatwe. Zamiast tego wymyśl fikcyjną odpowiedź i zapisz ją w menedżerze haseł. Używanie prawdziwych słów jest lepszym rozwiązaniem niż losowe znaki. | ||
Plus | Nie używaj krótkiego kodu PIN do uzyskania dostępu do smartfona lub komputera. Zamiast tego używaj hasła tekstowego lub znacznie dłuższego kodu PIN. Hasła numeryczne są łatwe do złamania (4-cyfrowy kod PIN ma 10 000 kombinacji, w porównaniu do 7,4 miliona kombinacji dla 4-znakowego kodu alfanumerycznego). | ||
Plus | Włączając uwierzytelnianie wieloskładnikowe, wybierz kody oparte na aplikacji lub token sprzętowy, jeśli jest obsługiwany. SMS-y są podatne na kilka typowych zagrożeń, takich jak zamiana karty SIM i przechwycenie. Nie ma również gwarancji, że numer telefonu będzie przechowywany w bezpieczny sposób ani do czego jeszcze zostanie wykorzystany. Z praktycznego punktu widzenia SMS-y działają tylko wtedy, gdy masz zasięg i mogą być powolne. Jeśli strona internetowa lub usługa wymaga użycia numeru SMS do odzyskania dostępu, rozważ zakup drugiego numeru telefonu na kartę, który będzie używany wyłącznie do odzyskiwania dostępu do konta w takich przypadkach. | ||
Pro | Wiele menedżerów haseł może również generować kody 2FA. Najlepiej nie używać głównego menedżera haseł jako uwierzytelniacza 2FA, ponieważ w przypadku naruszenia bezpieczeństwa stałby się on pojedynczym punktem awarii. Zamiast tego należy używać dedykowanej aplikacji uwierzytelniającej na telefonie lub laptopie. | ||
Pro | Większość telefonów i laptopów oferuje funkcję uwierzytelniania za pomocą rozpoznawania twarzy, wykorzystując aparat do porównania zdjęcia twarzy użytkownika z zapisanym skrótem. Może to być bardzo wygodne, ale istnieje wiele sposobów na oszukanie tego systemu i uzyskanie dostępu do urządzenia za pomocą zdjęć cyfrowych i rekonstrukcji z nagrań z kamer. W przeciwieństwie do hasła, w Internecie prawdopodobnie znajdują się zdjęcia twarzy użytkownika oraz nagrania z kamer monitoringu. | ||
Pro | Keylogger sprzętowy to fizyczne urządzenie podłączane między klawiaturą a portem USB, które przechwytuje wszystkie naciśnięcia klawiszy, a czasem przekazuje dane do zdalnego serwera. Dzięki temu haker ma dostęp do wszystkich wpisanych danych, w tym haseł. Najlepszym sposobem na zapewnienie sobie ochrony jest sprawdzenie połączenia USB po pozostawieniu komputera bez nadzoru. Keyloggery mogą być również umieszczone wewnątrz obudowy klawiatury, dlatego należy sprawdzić, czy nie ma śladów manipulacji przy obudowie, a także rozważyć zabranie do pracy własnej klawiatury. Dane wpisane na klawiaturze wirtualnej, wklejone ze schowka lub automatycznie wypełnione przez menedżera haseł nie mogą zostać przechwycone przez keylogger sprzętowy. | ||
Pro | Klucz bezpieczeństwa U2F/FIDO2 to urządzenie USB (lub NFC), które podłącza się podczas logowania do serwisu internetowego w celu weryfikacji tożsamości zamiast wprowadzania jednorazowego hasła (OTP) z urządzenia uwierzytelniającego. Przykładami takich kluczy są Yubico. Zapewniają one szereg korzyści związanych z bezpieczeństwem. Ponieważ przeglądarka komunikuje się bezpośrednio z urządzeniem, nie można jej oszukać co do tego, który host żąda uwierzytelnienia, ponieważ sprawdzany jest certyfikat TLS. Ten post stanowi dobre wyjaśnienie bezpieczeństwa korzystania z tokenów FIDO U2F. Oczywiście ważne jest, aby przechowywać fizyczny klucz w bezpiecznym miejscu lub mieć go przy sobie. Niektóre konta internetowe pozwalają na włączenie kilku metod 2FA. | ||
Pro | Aby zwiększyć bezpieczeństwo, zaszyfrowany menedżer haseł offline zapewni Ci pełną kontrolę nad Twoimi danymi. Popularnym wyborem jest KeePassXC, który oferuje wiele wtyczek i rozgałęzień społecznościowych zapewniających dodatkową kompatybilność i funkcjonalność. Wadą jest to, że dla niektórych może być nieco mniej wygodny, a tworzenie kopii zapasowych i bezpieczne przechowywanie danych zależy od użytkownika. | ||
Pro | Używanie różnych haseł dla każdego konta to dobry pierwszy krok, ale jeśli do logowania używasz również unikalnej nazwy użytkownika, adresu e-mail lub numeru telefonu, znacznie utrudnisz osobom nieuprawnionym uzyskanie dostępu do Twoich kont. Najłatwiejszą metodą w przypadku wielu adresów e-mail jest użycie automatycznie generowanych aliasów do anonimowego przekazywania poczty. Dzięki temu wiadomości wysłane na adres [dowolny adres]@twojadomena.com będą trafiać do Twojej skrzynki odbiorczej, co pozwoli Ci używać innego adresu e-mail dla każdego konta. Nazwy użytkownika są łatwiejsze, ponieważ można je generować, przechowywać i automatycznie wypełniać za pomocą menedżera haseł. Wirtualne numery telefonów można generować za pośrednictwem dostawcy usług VOIP. |