Nie używaj tego samego hasła!
Większości z nas nie interesują nas hasła, loginy.
Chcemy po prostu skorzystać z danej usługi.
Korzystamy z wielu usług i jak tu zapamiętać wszystkie hasła?
Kończy się na tym, że podajemy te same hasło – wszędzie!
Wiele osób wybiera naprawdę proste hasła.
Najpopularniejszych haseł to:
„123456”, „123456789”, „qwerty”, „12345678”, „111111”, „1234567890”, „1234567”, „password”, „123123”, „987654321”, „qwertyuiop”, „mynoob”, „123321”, „666666”, „18atcskd2w”, „7777777”, „1q2w3e4r”, „654321”, „555555”, „3rjs1la7qe”, „google”, „1q2w3e4r5t”, „123qwe”, „zxcvbnm”, „1q2w3e”, …
Używanie tego samego hasła jest niebezpieczne!
Dlaczego?
Jeśli używasz tego samego hasła w wielu usługach, i dana usługa zostanie zhakowana (nie jest to rzadkie), to twoje dane do logowania mogą być użyte do zalogowania się w pozostałych (innych) usługach!
Reset hasła?
Jeśli używasz tego samego hasła do maila, to mail może być użyty do zmiany hasła w ważnych usługach w których masz nawet inne hasło!
Karty kredytowe?
Tu warto wiedzieć, że karty kredytowe są ubezpieczone.
Gdy zobaczysz cudze płatności, lub sprzedający nie wywiąze się z umowy, to waro skorzystać z formularza charge back w twoim banku (wystawca karty).
Dane osobowe?
PESEL, adres zamieszkania, karty kredytowe, ..
Te dane mogą być użyte do uzyskania dostępu do innych usług.
Brałeś kredyt?
Bank twierdzi, że tak 😀
Kto by chciał hakować moje konto?
Po pierwsze, zazwyczaj atakuje się nie daną osobę, lecz dany serwis / grupę użytkowników.
Pozyskane dane później można wykorzystać lub sprzedać.
Najłatwiej sprzedać dane które łatwo zmonetyzować.
Popularne sa dane osobowe, numery kart, piny, hasła, konta bankowe.
Ważny numer karty, można sprzedać za 0,5 USD, gdy mamy nazwisko i PIN i to może już kosztować 4-5 x więcej – 2-2,5 USD.
Dane dostępowe do kont bankowych sprzedaje się w zależności od ilości środków dostępnych na koncie. Za 10 USD można kupić konto ze 100-500 USD. Za konto 20000+ USD, zapłacimy 70 USD.
Jednak można sprzedać znacznie więcej.
Pamiętaj, że dane łatwo można łączyć. Jesli w zhakowanym serwisie nie podałeś prawdziwych danych, to w innym serwisie z tym samym loginem/hasłem takie dane mogłeś już podać!
Poza atakami na konkretne usługi, wiele ataków odbywa się w pełni automatycznie.
Istnieją systemy które 'pukają’ do serwerów i sprawdzają co da się zrobić. Czy serwery są podatne, czy uda się włamać wykorzystując znany błąd.
Czy to tylko teoria?
Gdy brałeś kredyt, lub kupiłeś coś na raty?
Co było potrzebne?
Jakie dane?
Czy te dane w jakiejś formie znajdują się w usługach z których korzystasz?
Czy dane, które podałeś w serwisie wystarczą do rejestracji usługi, czynności prawnych?
Czy mogą być wykorzystane przeciwko tobie? Na przykład próby wyłudzenia pięniedzy, gdzie zdobyte dane mogą być użyte do zwiększenia wiarygodności.
Słup – osoba fizyczna użyta przez przestępców podczas dokonywania oszustw gospodarczych.
Słup posiada pełną zdolność do czynności prawnych, … prawa założycielem, kupcem lub prezesem spółki prowadzącej działalność przestępczą.
Słupy narażają się nie tylko na odpowiedzialność prawną, ale także na groźbę utraty życia.
Skradzone dane? Zdarza się.
Duże firmy przeznaczają dużo pieniędzy by zapewnić odpowiednie bezpieczeństwo, jednak i tak co chwilę słychać o nowym włamaniu!
Czy 3 miliardy kont to dużo?
Na marginesie: 3 miliardy to 3 000 000 000.
Tak się składa, że tyle kont wyciekło w 2013 roku z Yahoo.
Adult Friend Finder (Adult Friend Finder, Penthouse.com, Cams.com, iCams.com, Stripshow.com)? W 2016 wyciekło: 412.2 miliony kont.
eBay? W 2014 roku wyciekło 145 milionów kont.
Uber? W 2016 wyciekło 57 milionów kont
Sony’s PlayStation Network? W 2011 zhakowane zostało 77 milionów kont.
Według GUSu w Polsce mamy 38 milionów ludzi.
To znaczy w przytoczonych przykładach wyciekło więcej danych użytkowników niż w Polsce mamy ludzi!
Czy moje dane wyciekły?
Moje dane, dosłownie moje dane do logowania zostały przechwycone m.in przez widoczne wyżej usługi.
Według (haveibeenpwned.com).
Warto wiedzieć, że z pewnością lista jest znacznie dłuższa!
On the afternoon of Tuesday, September 25, our engineering team discovered a security issue affecting almost 50 million accounts. We’re taking this incredibly seriously and wanted to let everyone know what’s happened and the immediate action we’ve taken to protect people’s security.
https://newsroom.fb.com/news/2018/09/security-update/
Nawet jeśli twoje konto nie znalazło się na liście, to nie znaczy, że twoje dane gdzieś nie krążą w sieci!
Wspomniany serwis zawiera jedynie upublicznione dane z wycieków.
Wiele serwisów nie przyznaje się do włamań/wycieków, czasem administrator nawet nie wie, że taki incydent miał miejsce!
Czasem trudno określić, jakie dane napastnik mógł pozyskać.
Jak serwisy przechowują twoje hasło?
Serwisy nie przechowują twojego hasła, w taki sposób w jak je wpisujesz.
Każde hasło jest „szyfrowane”. A przynajmniej powinno.
Hasło mogą być „szyfrowane” na różne sposoby.
Co ciekawsze nawet hasła w ramach tego samego serwisu mogą być „mocno zabezpieczone” a inne prawie nie.
Stare zabezpieczenia można dość szybko złamać! Dla przykładu, mając kartę: „Nvidia GTX 1080 Ti” – może obliczać 30 963 500 000 skrótów MD5 na sekundę! 😀
Więcej dowiesz się z poniższego artykułu.
Serwisy nie przechowują twojego hasła, w taki sposób w jak je wpisujesz. Każde hasło jest „szyfrowane”. A przynajmniej powinno. Hasło mogą być „szyfrowane” na różne sposoby. Co ciekawsze nawet hasła w ramach tego samego serwisu mogą być „mocno zabezpieczone” a inne prawie nie. Stare zabezpieczenia można dość szybko złamać! Dla przykładu, mając kartę: „Nvidia GTX 1080 Ti” – może obliczać 30 963 500 000 skrótów MD5 na sekundę! 😀
Warto pamiętać, że nawet serwisy kojarzące się z bezpieczeństwem mogą być zagrożeniem!
Być może nie potrzebujesz VPNa. W czym pomoże a w czym nie. Nie wszystko działa jak w reklamie! Poznasz polecane VPNy darmowe i płatne oraz inne substytuty.
Dla przykładu w wycieku z 2020 aplikacji VPN: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN (tak pod spodem to ten sam system), wyciekło 1.207 TB danych dotyczących ponad 20 milionów osób.
A znalazły się tam m.in hasła w czystej formie gotowe do użycia tzw „clear text” – niczym nie zabezpieczone!!
Raport na VPNMentor.
Jak się zabezpieczyć?
- Używaj RÓŻNYCH haseł w różnych serwisach, DŁUGIE i skomplikowane.
Absolutnie musisz mieć inne hasło do swojej poczty email, ponieważ gdy ktoś zdobędzie dostęp do twojego emaila, to będzie mógł zresetować hasła do wielu serwisów! - Używaj menadżerów haseł, z odpowiednim hasłem głównym.
- Używaj dwuskładnikowego uwierzytelniania (jeśli to możliwe).
- Dbaj o bezpiczeństwo twojego komputera (aktualizacje, nie instaluj aplikacji jeśli nie musisz 🙂 Jeśli musisz, to tylko zaufane)
Używaj menadżera haseł!! – Dlaczego?
Bardzo popularne są ataki phishingowe, ktore polegają na tym, że ktoś nakłania cię np. do dopłacenia np złotówki do kuriera, … wchodzisz na stronę kuriera, aukcji, ogłoszeń, płatności, stronę banku… Mimo iż wygląda podobnie, to nie jest to prawdziwa strona.
Gdy wprowadzisz dane – możesz stracić pieniadze, cenne informacje itd.
Menadżery poza zapamiętywaniem haseł, umożliwiają autouzupełnianie – wpisują za ciebie login i hasło. I na takiej 'udawanej stronie’ – nie wpisze twoich danych, bo zauważą że adres to nie np. 'facebook.com’, tylko 'facebook.com.groups.3578999.pl’ (a taka strona mogła by być kontrolowana przez przestępcę)!
Oczwiście gdy każesz wpisać, to wpisze. Ale gdy nie wpisze sam, to masz dodatkowy sygnał, że coś może być nie tak (chwila by się zastanowić). A z psychologi wiemy, że ma to znaczenie!
Jeśli jest taka możliwość – używaj dwuskładnikowej autoryzacji (2FA)!
Pamiętaj by zrobić kopię zapasową w przypadku TOTP, FIDO2…
Ponieważ uszkodzenie/utrata urządzenia może uniemożliwić dostęp do konta!
Twoje dane zostały skradzione! Mogę się założyć. Co chwilę doczhodzi do jakiegoś wycieku. Jeśli używasz tego samego/prostego hasła – przegrałeś. Mają już dostęp do wielu innych twoich usług. Gdybyś używał menadzera haseł…
Dostęp bez hasła
Pamiętaj, że czasem nawet silne hasło nie chroni cię przed dostępem innych do danych na twoim koncie.
Hasło nie zawsze chroni twoje dane.
Wystarczy, że w danej aplikacji zabraknie sprawdzenia, czy dana osoba ma uprawnienia i twoje dane mogą pojawić się w np. wyszukiwarce Google.
Takie rzeczy zdarzają się każdego dnia!
Jeśli zależy Ci na prywatności, nie wgrywaj swoich danych.
Internet nie zapomina!