hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
21 października 2024

Wyciekło Twoje hasło – co zrobić?

Dostajesz e-maila, że Twoje hasło znalazło się w wycieku danych? Co trzeba zrobić, by ograniczyć ryzyka?

Loginy i hasła to chodliwy towar na czarnym rynku. Co i rusz w sieci pojawią się informacje o kolejnych bazach danych w rękach przestępców. Niektórzy mawiają, że to tylko kwestia czasu, gdy dowiesz się, że wyciekło Twoje hasło lub inne, nierzadko bardziej wrażliwsze dane. Co wtedy robić?

Przede wszystkim: nie wpadać w panikę. Sprawa może być poważna, jednak przesadny pośpiech jest złym doradcą. Zanim cokolwiek zrobimy, warto wziąć głęboki oddech. I zacząć od szybkiej analizy potencjalnych strat.

Skąd wyciekło Twoje hasło (albo dane Twojego konta)?

O wycieku najprawdopodobniej dowiesz się z maila od firmy, którą okradziono z m.in. Twoich danych. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (znana szerzej jako RODO/GDPR) zobowiązuje firmę do bezzwłocznego poinformowania ofiar wycieku, przekazania informacji o wszystkich potencjalnych ryzykach (może się okazać np., że wyciekły loginy i fizyczne adresy, numery telefonów, ale hasła nie). RODO/GDPR obowiązuje jednak tylko na terenie Unii Europejskiej. Jeśli oszuści wykradną dane firmie spoza UE – możesz dowiedzieć się o tym w inny sposób, np. z mediów, czy to zwykłych, czy społecznościowych.

No i jeszcze jedna istotna sprawa. Jeśli przyjdzie do Ciebie mail z ostrzeżeniem o wycieku, sprawdź adres nadawcy, upewnij się, czy to nie oszustwo! Szczególnie, jeśli zawiera linki i/lub załączniki.

Nawet jeśli w ręce kryminalistów wpadną hasła, to z dużym prawdopodobieństwem będą to tzw. hashe, czyli hasła w postaci niejawnej, zamienionej na unikalny skrót (tzw. hash) za pomocą specjalnych algorytmów.

W serwisach nie przechowuje się haseł otwartym tekstem. Gdy zakładasz konto, hasło przechodzi wielostopniowy proces kodowania i w takiej formie znajduje się w bazie danych. W momencie logowania wpisane przez użytkownika hasło jest ponownie kodowane dokładnie w taki sam sposób i dopiero tzw. hash tego co wpiszemy porównywany jest z tym, co serwis trzyma w swojej bazie.

Pierwsze pytanie, które należy sobie zadać, brzmi zatem: jak mocne było Twoje hasło? Jeśli było tworzone zgodnie z dobrymi praktykami, które znajdziesz tutaj, jest szansa, że oszuści go nie złamią.

Równie ważna kwestia, to serwis, z którego wyciekło Twoje hasło. Czy przechowuje Twoje wrażliwe dane, bądź jakiekolwiek informacje, których utrata może narazić Cię na ryzyko/straty wizerunkowe/finansowe? Warto mieć tę świadomość, tym niemniej niezależnie od serwisu i siły hasła – zmień je czym prędzej.

Choć w tym artykule piszemy o hasłach, pamiętaj, że nie tylko one mogą paść łupem przestępców. Adres pocztowy czy numer telefonu to informacje niemniej ważne, a w niewłaściwych rękach mogące nieść poważniejsze konsekwencje.

To samo hasło używane w wielu miejscach

Niestety to wciąż częsta praktyka. W przypadku dziesiątek stron, w rodzaju np. tematycznych forów, gdzie nie da się znaleźć o nas niczego, można jeszcze przymknąć oko. Dla każdej innej witryny powinniśmy jednak stanowczo mieć odrębne hasła.

Zastanów się, czy hasło, które padło łupem przestępców, używasz gdziekolwiek indziej? Jeśli tak – zmień je natychmiast! Oczywiście nie tylko w serwisie z którego wyciekło, ale także we wszystkich pozostałych. Nie zaszkodzi zrobić szybkiego przeglądu haseł i jeśli korzystasz w kilku serwisach z innego hasła, które akurat nie trafiło w niepowołane ręce – zmień je zawczasu. Skoro jest okazja, to czemu nie być mądrym przed szkodą? Jeśli używasz jakiegokolwiek menedżera haseł – on ten proces znacząco ułatwi i przyspieszy.

Nieważne skąd wyciekło Twoje hasło, warto zastanowić się nad bezpieczeństwem Twojego konta e-mail. Poczta elektroniczna to często brama do naszego cyfrowego świata. Jeśli zapomnisz hasła do jakiegoś serwisu, procedura jego odzyskania zaczyna się zazwyczaj od wpisania adresu e-mail. Oznacza to, że jeśli ktoś przejmie kontrolę nad Twoim kontem pocztowym, może przejąć wszystkie konta, które są powiązane z tym adresem! Jeśli uważasz, że hasło jest zbyt proste i mogłoby paść łupem przestępców – zmień je. Najlepiej wg. zasad, które znajdziesz tutaj.

No i pamiętaj o kontach w mediach społecznościowych. To serwisy o równie dużej wadze, a przejęcie Twojej tożsamości może nieść za sobą wiele poważnych konsekwencji.

Uwierzytelnianie dwuskładnikowe to konieczność!

Coraz więcej serwisów umożliwia korzystanie z uwierzytelniania dwuskładnikowego (2 Factor Authentication, 2FA). Kiedyś uważane za fanaberię bezpieczniaków, dziś powinno być traktowane jako obowiązek. Więcej o 2FA znajdziesz tutaj, a w skrócie – to dodatkowy element uwierzytelniający. Może mieć formę ciągu cyfr (w przeznaczonej do tego aplikacji lub w SMS-ie), wiadomości push, czy monitu o użycie biometrii (odcisku palca/Face ID). 2FA w tym przypadku określane jest jako coś-co-masz lub coś-czym-jesteś. W odróżnieniu od hasła, które jest czymś-co-znasz. W efekcie złodziej nie będzie miał dostępu do Twojego drugiego składnika uwierzytelnienia (czegoś co masz, lub czegoś, czym jesteś) nawet, gdyby wyciekło Twoje hasło.

Sprawdź, czy w serwisach, z których korzystasz, można włączyć 2FA. W tym gronie znajduje się również Mój Orange. Poświęć kilka chwil i uruchom uwierzytelnianie dwuskładnikowe. W każdym serwisie, nie tylko tym, z którego wyciekło Twoje hasło. Potraktuj to jako kolejny element bycia mądrym przed szkodą. I obowiązkowo włącz 2FA na koncie poczty e-mail.

Co robić, gdy wyciekło Twoje hasło – podsumowanie

  • przeczytaj dokładnie e-maila o wycieku
  • upewnij się, czy wśród wykradzionych danych znajdują się hasła
  • zmień hasło, które wyciekło
  • zmień hasła we wszystkich serwisach, które korzystały z przejętego hasła
  • uruchom uwierzytelnianie dwuskładnikowe wszędzie, gdzie możesz
  • zastrzeż PESEL; wycieknięte bazy mogą krążyć po sieci latami, nie wiadomo kiedyś ktoś wpadnie na pomysł wzięcia na Ciebie pożyczki
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance