#CyberMagazyn: Jak możemy dbać o nasze cyberbezpieczeństwo?

Należy wspomnieć, że nie istnieje gwarancja stuprocentowego bezpieczeństwa w cyberprzestrzeni. Możemy jednak zadbać o to, co kontrolujemy, np. dostęp do kont. Nie mamy wpływu, jak przetwarzane są nasze dane przez organizacje, którym je powierzamy, co nie oznacza, że nie warto dbać o swoje bezpieczeństwo. Wiele z zalecanych działań nie wymaga większego wysiłku.

Unikalne i odpowiednie hasła

W przeszłości zalecenie do tworzenia haseł było następujące: „osiem znaków, minimum jedna cyfra, minimum jeden znak specjalny” itp. Obecnie takie frazy są uznawane za niewystarczające.

CERT Polska wydał rekomendacje dotyczące haseł. Możemy w nich przeczytać następujące stwierdzenie:

„Skupiono się na długości hasła zamiast jego złożoności, ponieważ badania wskazują, że jest to znacznie ważniejszy czynnik, wpływający na jego bezpieczeństwo. Zrezygnowano również z wymuszania okresowej zmiany haseł, ponieważ powstające w jej wyniku nowe hasła są najczęściej wariacją poprzednich, zazwyczaj skonstruowane w łatwy do przewidzenia sposób. Badania pokazują, że użytkownicy nie są w stanie zapamiętać całkiem nowego silnego hasła np. co miesiąc”.

Wskazano przy tym, że do tworzenia haseł warto wykorzystać np. zdania. Takie ciągi znaków stanowią obecnie lepsze zabezpieczenie niż te krótsze, zawierające znaki specjalne. Przykłady takich haseł znajdują się na poniższej infografice autorstwa CERT Polska.

Oczywiście, nie powinniśmy stosować przy tym haseł z poniższego przykładu, ponieważ są powszechnie znane.

Długość haseł ma znaczenie, ponieważ (w zdecydowanej większości przypadków) są przechowywane jako funkcja skrótu (hash), nie zaś jako tekst. Oznacza to, że im bardziej złożone hasło, tym trudniej je „odgadnąć” z ciągu znaków stanowiących funkcję skrótu (z założenia unikalną dla każdej frazy).

Przykładowo, dla frazy „CyberDefence24” hash SHA-1 to „d48c66332a5eeb82f1c8440adabf106a0d556b7f”.

Niektóre algorytmy, takie jak m.in. MD5 i SHA-1, są uznawane za przestarzałe, dlatego nie powinny być stosowane do przechowywania haseł. Jak jednak pokazuje praktyka, takie sytuacje nadal zdarzają się.

W 2024 roku Sekurak ogłosił konkurs na złamanie hasha (SHA-256), który został utworzony z pięciu polskich słów, tworzących sensowne zdanie. Pierwotne hasło składało się tylko z małych liter oraz nie zawierało polskich znaków (zostały zastąpione najbliższą graficznie literą angielskiego alfabetu, np. ą – a). Nikomu nie udało się złamać hasha w przeciągu 3 tygodni, mimo nagrody wynoszącej 5 tys. złotych. To dobrze pokazuje, że warto tworzyć hasła w ten sposób.

Niezależnie od stopnia złożoności, hasło powinno być unikalne dla każdej platformy, aby wyciek z jednego miejsca nie spowodował przejęcia reszty kont.

Dwuetapowe uwierzytelnianie

A co, jeśli nasze hasło i e-mail wyciekły? Z pomocą przychodzi dwuetapowe uwierzytelnianie (2FA). Dzięki temu mamy dodatkowy składnik, który należy dostarczyć podczas logowania.

Przykładami takich rozwiązań są: kody SMS, kody z aplikacji, dane biometryczne (odcisk palca, tęczówka) czy klucze sprzętowe (fizyczne, U2F). Warto stosować jedno z wymienionych rozwiązań, lecz zazwyczaj najbardziej zalecane są klucze U2F. Równocześnie nie zaleca się przy tym wykorzystywania SMS-ów jako drugiego składnika.

Stosowanie 2FA powoli staje się standardem, który może pomóc nam chronić się przed cyberprzestępcami. Warto wybrać odpowiednią metodę 2FA dla siebie, pamiętając o ryzyku, które za sobą niosą. W przypadku stosowaniu kluczy fizycznych wskazane jest posiadanie dwóch na wypadek zniszczenia lub zgubienia jednego z nich.

Po co aktualizować system operacyjny?

Aktualizacje systemu operacyjnego nie są zbędne. Oprócz ewentualnych kosmetycznych zmian, niosą często ze sobą poprawki, które łatają podatności w systemie – zarówno te mniej, jak i bardziej poważne. Nie warto zwlekać z aktualizacjami, zarówno w przypadku komputerów i smartfonów.

14 marca 2017 roku została opublikowana akualizacja Windows 7, która eliminowała lukę bezpieczeństwa odpowiedzialną za możliwość przeprowadzenia ataku znanego jako WannaCry. W maju infekcja ransomwarem miała dotknąć 300 tys. urządzeń. To dobrze pokazuje, że instalowanie aktualizacji jest konieczne.

Kluczowy jest spokój

Wspomniane punkty to tylko niektóre z zaleceń, które warto wdrożyć w życie. Należy jednak wspomnieć o tym, że przed podaniem swoich danych w jakimkolwiek formularzu lub kliknięciu w cokolwiek, warto zrobić „przysłowiowe trzy wdechy” i upewnić się, że nie podajemy naszych danych cyberprzestępcom lub nie instalujemy złośliwego oprogramowania. Nasz spokój może utrudnić „pracę” osobom, które żerują na naszych emocjach.

W razie wykrycia podejrzanej aktywności warto skontaktować się z CERT Polska oraz administratorem w danej organizacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl.