Długie, łatwe do zapamiętania frazy mogą być znacznie skuteczniejsze niż wymyślne kombinacje znaków, które często kończą zapisane na karteczkach lub zapomniane. Sprawdź, na jakie elementy warto zwrócić uwagę, kiedy tworzysz nowe hasło.
Stosuj frazy
Frazy, które mają dla nas znaczenie, ale są trudne do odgadnięcia dla innych, to doskonały wybór. Na przykład: „ZimąPtakiNieLatająLiniowo”. Hasło oparte na takiej frazie jest wystarczająco długie, aby stawić opór atakom brute force (czyli odgadywaniu loginu lub hasła metodą prób i błędów), a jednocześnie łatwe do zapamiętania.
Dodaj element złożoności
Aby zwiększyć poziom bezpieczeństwa, frazę można zmodyfikować za pomocą tzw. leet speak, czyli zamiany liter na cyfry lub symbole. Na przykład hasło „ZimąPtakiNieLatająLiniowo” po modyfikacji leet speak będzie brzmiało: „Z!m@Pt@kiNi3L@tająL!n!owo”. Taka modyfikacja sprawia, że hasło staje się znacznie trudniejsze do złamania, ale pozostaje nadal intuicyjne dla użytkownika.
Najpopularniejsze podmiany w leet speaku:
- A → @, 4
- E → 3
- I → 1, !
- O → 0
- S → $, 5
- T → 7
- B → 8
- G → 6
- Z → 2
Nie trzeba zmieniać każdej litery. Już subtelna modyfikacja może znacząco zwiększyć trudność złamania hasła, np. tylko na początku frazy. Ważne, by zmiany były łatwe do zapamiętania, ale nie były niestandardowe.
Unikaj schematów
Hasło powinno mieć co najmniej 12 znaków i w idealnym świecie – powinno być unikalne dla każdej usługi. Korzystanie z różnorodnych haseł minimalizuje ryzyko ataków tzw. credential stuffing (czyli podstawiania jednego zestawu loginu i hasła do różnych usług lub kont). Ważne, by unikać oczywistych schematów, takich jak np. „P@ssw0rd123!”.
Działaj, jeśli podejrzewasz oszustwo
Nawet przy zachowaniu najwyższej ostrożności może się zdarzyć, że padniesz ofiarą oszustwa. Ważne jest, aby działać szybko i zdecydowanie.
Jeśli podejrzewasz, że twoje dane dostały się w niepowołane ręce:
- Zablokuj dostęp do konta - zmień hasło do zaatakowanego konta. Jeśli podejrzewasz, że przestępca uzyskał dostęp do większej liczby serwisów, zmień hasła również w tych miejscach.
- Zablokuj kartę płatniczą – w przypadku, gdy oszustwo dotyczyło płatności, natychmiast skontaktuj się z bankiem i zablokować kartę, by uniemożliwić dalsze transakcje.
- Skorzystaj z procedury chargeback – w przypadku nieautoryzowanej transakcji ta procedura może pozwolić na odzyskanie środków.
- Zgłoś incydent:
• CERT Polska (cert.pl) – tu zgłosisz phishing czy fałszywe strony,
• Policja – w przypadku, gdy sprawa dotyczy utraty pieniędzy. - Monitoruj swoje konta - regularnie sprawdzaj swoje konta bankowe i inne usługi pod kątem podejrzanych aktywności. Korzystaj z monitoringu kredytowego, aby upewnić się, że nikt nie próbuje wziąć kredytu na Twoje dane.
Dowiedz się więcej: Jak chronić dane osobowe w sieci?
--------------
Maciej Michałowski, ekspert cyberbezpieczeństwa w firmie Hollow Point Cybersecurity. Ukończył kierunek Kryptologia i Cyberbezpieczeństwo na Wojskowej Akademii Technicznej w Warszawie. Wieloletni reprezentant Polski w najbardziej złożonych i technicznych ćwiczeniach cyberbezpieczeństwa na świecie – Locked Shields, organizowanych przez NATO CCDCOE. Specjalizuje się w operacjach Red Team, testach penetracyjnych oraz inżynierii społecznej, posiadając wieloletnie doświadczenie w branży, zdobywane podczas realizacji projektów na wielu kontynentach.
