Na przeczytanie potrzebujesz 3 minut(y).
Zawsze ustawiasz inne hasło do różnych serwisów internetowych? Brawo! Ten zabieg może jednak nie wystarczyć, żeby zabezpieczyć Twoje konto przed przejęciem. Jeżeli Twoje hasło do serwisu internetowego to popularny zwrot, fraza lub ciąg znaków to możesz mieć poważny problem.
Na pewno słyszałeś już o dobrych praktykach związanych z zabezpieczeniem procesu logowania do serwisów internetowych oraz zarządzaniem hasłami. Warto je stosować, aby uchronić swoje konto przed włamaniem.
Do tych dobrych praktyk należą m.in.:
- Posiadanie różnych haseł do różnych serwisów internetowych.
- Posiadanie trudnych do odgadnięcia haseł dostępowych do konta.
- Włączenie dwuskładnikowego uwierzytelniania do konta.
- Ustawienie powiadomienia (mailowe, smsowe lub PUSH) o udanych i nieudanych próbach logowania na Twoje konto w serwisie internetowym.
- Korzystanie z managerów haseł.
Na naszym blogu znajdziesz artykuł Łukasza Dlaczego warto mieć różne hasła do różnych stron internetowych?, który omawia pierwszy punkt z listy, natomiast tekst Marcina Jak zwiększyć bezpieczeństwo swojego konta w internecie, czyli co to jest dwuskładnikowe uwierzytelnianie? wyjaśnia, jak wdrożyć w życie punkt trzeci.
Dzisiaj zajmiemy się punktem drugim z powyższej listy, pokazując, jak przestępcy mogą wykorzystać fakt, że wielu użytkowników ignoruje zalecenie o niestosowaniu popularnych haseł dostępowych.
Jak przestępcy włamują się do kont użytkowników?
Postaram się w prostych słowach opisać dwie popularne metody ataków mające na celu uzyskanie przez przestępców dostępu do konta ofiary.
Pierwsza z nich to atak siłowy (ang. Brute Force) lub słownikowy (ang. Dictionary). Przestępca posiadając e-mail ofiary spróbuje kilkukrotnie zalogować się na jego konto (np. skrzynki pocztowej) wielokrotnie próbując podać w oknie logowania serwisu popularne hasło (w każdym podejściu inne).
W przypadku tego ataku przestępca próbuje uzyskać nieautoryzowany dostępu do konta konkretnego użytkownika, wielokrotnie zgadując hasło. Warto dodać, że obecnie stosowane mechanizmy bezpieczeństwa wykorzystywane w serwisach internetowych, po kilku (najczęściej trzech) nieudanych logowaniach blokują konto użytkownika, przez co uniemożliwiają przestępcom kolejne próby zgadywania haseł.
Drugim rodzajem ataku jest atak "password spraying". W odróżnieniu do ataku siłowego lub słownikowego atakujący próbuje zalogować się tylko jednym hasłem do kont wielu użytkowników.
O ile taki atak w świecie fizycznym trwałby bardzo długo, to wykonanie podobnej operacji w świecie cyfrowym (próba zalogowania się jednym hasłem do kont wielu użytkowników) jest kwestią kilku minut. Ten rodzaj ataków tak przybrał na popularności, że ostrzeżenie przed nim wydało samo FBI.
Skąd przestępcy mają bazę adresów e-mail do przeprowadzania ataków?
Żeby skutecznie przeprowadzić atak, przestępcy muszą najpierw zebrać listę loginów do kont (którymi w większości przypadków są adresy e-mail), do których będą chcieli się dostać. Skąd je biorą? Wyciekają z serwisów, w których je podaliśmy.
Tak jak pisał Łukasz w swoim artykule wycieki danych zdarzały się w przeszłości i będą powtarzały się również w przyszłości. Mogą być spowodowane wykorzystaniem błędu programistycznego na stronie serwisu internetowego, nieuwagą pracownika wysyłającego maila lub umieszczeniem dokumentu z danymi wrażliwymi w miejscu publicznie dostępnym z internetu.
Dane użytkowników (w tym adresy e-mail) wyciekają m.in. ze strony Giełdy Papierów Wartościowych, Bukmachera STS, sklepu internetowego Morele.net, sklepu militaria.pl oraz wielu innych.
Czy moje hasło jest popularne?
Serwis haveibeenpwned.com założony przez Troya Hunta zbiera informacje o wyciekach danych i haseł w internecie. Korzystając z tej darmowej usługi , każdy internauta może sprawdzić czy jego adres e-mail, hasło lub dane osobowe zostały wykradzione przez przestępców, ze stron internetowych, na których posiada konto. Serwis jest bezpłatny i bezpieczny, wystarczy wpisać w nim swój adres e-mail, a zaprezentowane zostaną informację o tym, jakie dane oraz w ramach jakich wycieków zostały upublicznione.
Serwis ten pozwala również sprawdzić pod tym linkiem, jak popularne są różne hasła używane w serwisach internetowych i ile razy występuje w bazie wycieków. Dla zabawy zachęcam do sprawdzenia jak często jako hasła wykorzystywane były różne, popularne polskie przekleństwa np. dup*dup* czy k****mac.
Jak działają przestępcy?
Istnieje grupa przestępców, którym nie zależy na przejęciu konta konkretnej osoby, lecz jak największej grupie losowych osób. Zbierają upublicznione adresy e-mail, następie próbują uzyskać dostęp do konta z wykorzystaniem opisanych wyżej ataków. Uzyskując dostęp np. do konta ofiary w serwisie facebook nakłaniają na czacie znajomych ofiary do pobrania i otworzenia złośliwego pliku lub pożyczenia pieniędzy. Mogą również z wykorzystaniem przejętego konta dzielić się z innymi użytkownikami nielegalnymi treściami.
Największymi poszkodowanymi w tej całej historii nie są osoby, którym przejęto konto, lecz ich bliscy oraz znajomi, do których przestępcy wysyłają wiadomości podszywając się pod ofiary.
Jak się bronić?
Przypomnijmy punkty, od których zaczęliśmy artykuł:
- Twórz różne hasła do różnych serwisów internetowych.
- Posiadaj trudne do odgadnięcia hasła dostępowe do kont w internecie.
- Włącz dwuskładnikowe uwierzytelnianie do kont w internecie.
- Ustaw powiadomienia (mailowe, smsowe lub aplikacyjne PUSH) o udanych i nieudanych próbach logowania na Twoje konto w serwisach internetowych.
- Korzystaj z managerów haseł – dzięki temu nie będziesz musiał pamiętać wszystkich swoich haseł, a sama aplikacja zadba o to by były one nietrywialne i różne od siebie.
Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.