Wyciekło Twoje hasło – co zrobić?

Loginy i hasła to chodliwy towar na czarnym rynku. Co i rusz w sieci pojawią się informacje o kolejnych bazach danych w rękach przestępców. Niektórzy mawiają, że to tylko kwestia czasu, gdy dowiesz się, że wyciekło Twoje hasło lub inne, nierzadko bardziej wrażliwsze dane. Co wtedy robić?

Przede wszystkim: nie wpadać w panikę. Sprawa może być poważna, jednak przesadny pośpiech jest złym doradcą. Zanim cokolwiek zrobimy, warto wziąć głęboki oddech. I zacząć od szybkiej analizy potencjalnych strat.

Skąd wyciekło Twoje hasło (albo dane Twojego konta)?

O wycieku najprawdopodobniej dowiesz się z maila od firmy, którą okradziono z m.in. Twoich danych. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (znana szerzej jako RODO/GDPR) zobowiązuje firmę do bezzwłocznego poinformowania ofiar wycieku, przekazania informacji o wszystkich potencjalnych ryzykach (może się okazać np., że wyciekły loginy i fizyczne adresy, numery telefonów, ale hasła nie). RODO/GDPR obowiązuje jednak tylko na terenie Unii Europejskiej. Jeśli oszuści wykradną dane firmie spoza UE – możesz dowiedzieć się o tym w inny sposób, np. z mediów, czy to zwykłych, czy społecznościowych.

No i jeszcze jedna istotna sprawa. Jeśli przyjdzie do Ciebie mail z ostrzeżeniem o wycieku, sprawdź adres nadawcy, upewnij się, czy to nie oszustwo! Szczególnie, jeśli zawiera linki i/lub załączniki.

Nawet jeśli w ręce kryminalistów wpadną hasła, to z dużym prawdopodobieństwem będą to tzw. hashe, czyli hasła w postaci niejawnej, zamienionej na unikalny skrót (tzw. hash) za pomocą specjalnych algorytmów.

W serwisach nie przechowuje się haseł otwartym tekstem. Gdy zakładasz konto, hasło przechodzi wielostopniowy proces kodowania i w takiej formie znajduje się w bazie danych. W momencie logowania wpisane przez użytkownika hasło jest ponownie kodowane dokładnie w taki sam sposób i dopiero tzw. hash tego co wpiszemy porównywany jest z tym, co serwis trzyma w swojej bazie.

Pierwsze pytanie, które należy sobie zadać, brzmi zatem: jak mocne było Twoje hasło? Jeśli było tworzone zgodnie z dobrymi praktykami, które znajdziesz tutaj, jest szansa, że oszuści go nie złamią.

Równie ważna kwestia, to serwis, z którego wyciekło Twoje hasło. Czy przechowuje Twoje wrażliwe dane, bądź jakiekolwiek informacje, których utrata może narazić Cię na ryzyko/straty wizerunkowe/finansowe? Warto mieć tę świadomość, tym niemniej niezależnie od serwisu i siły hasła – zmień je czym prędzej.

Choć w tym artykule piszemy o hasłach, pamiętaj, że nie tylko one mogą paść łupem przestępców. Adres pocztowy czy numer telefonu to informacje niemniej ważne, a w niewłaściwych rękach mogące nieść poważniejsze konsekwencje.

To samo hasło używane w wielu miejscach

Niestety to wciąż częsta praktyka. W przypadku dziesiątek stron, w rodzaju np. tematycznych forów, gdzie nie da się znaleźć o nas niczego, można jeszcze przymknąć oko. Dla każdej innej witryny powinniśmy jednak stanowczo mieć odrębne hasła.

Zastanów się, czy hasło, które padło łupem przestępców, używasz gdziekolwiek indziej? Jeśli tak – zmień je natychmiast! Oczywiście nie tylko w serwisie z którego wyciekło, ale także we wszystkich pozostałych. Nie zaszkodzi zrobić szybkiego przeglądu haseł i jeśli korzystasz w kilku serwisach z innego hasła, które akurat nie trafiło w niepowołane ręce – zmień je zawczasu. Skoro jest okazja, to czemu nie być mądrym przed szkodą? Jeśli używasz jakiegokolwiek menedżera haseł – on ten proces znacząco ułatwi i przyspieszy.

Nieważne skąd wyciekło Twoje hasło, warto zastanowić się nad bezpieczeństwem Twojego konta e-mail. Poczta elektroniczna to często brama do naszego cyfrowego świata. Jeśli zapomnisz hasła do jakiegoś serwisu, procedura jego odzyskania zaczyna się zazwyczaj od wpisania adresu e-mail. Oznacza to, że jeśli ktoś przejmie kontrolę nad Twoim kontem pocztowym, może przejąć wszystkie konta, które są powiązane z tym adresem! Jeśli uważasz, że hasło jest zbyt proste i mogłoby paść łupem przestępców – zmień je. Najlepiej wg. zasad, które znajdziesz tutaj.

No i pamiętaj o kontach w mediach społecznościowych. To serwisy o równie dużej wadze, a przejęcie Twojej tożsamości może nieść za sobą wiele poważnych konsekwencji.

Uwierzytelnianie dwuskładnikowe to konieczność!

Coraz więcej serwisów umożliwia korzystanie z uwierzytelniania dwuskładnikowego (2 Factor Authentication, 2FA). Kiedyś uważane za fanaberię bezpieczniaków, dziś powinno być traktowane jako obowiązek. Więcej o 2FA znajdziesz tutaj, a w skrócie – to dodatkowy element uwierzytelniający. Może mieć formę ciągu cyfr (w przeznaczonej do tego aplikacji lub w SMS-ie), wiadomości push, czy monitu o użycie biometrii (odcisku palca/Face ID). 2FA w tym przypadku określane jest jako coś-co-masz lub coś-czym-jesteś. W odróżnieniu od hasła, które jest czymś-co-znasz. W efekcie złodziej nie będzie miał dostępu do Twojego drugiego składnika uwierzytelnienia (czegoś co masz, lub czegoś, czym jesteś) nawet, gdyby wyciekło Twoje hasło.

Sprawdź, czy w serwisach, z których korzystasz, można włączyć 2FA. W tym gronie znajduje się również Mój Orange. Poświęć kilka chwil i uruchom uwierzytelnianie dwuskładnikowe. W każdym serwisie, nie tylko tym, z którego wyciekło Twoje hasło. Potraktuj to jako kolejny element bycia mądrym przed szkodą. I obowiązkowo włącz 2FA na koncie poczty e-mail.

Co robić, gdy wyciekło Twoje hasło – podsumowanie

• przeczytaj dokładnie e-maila o wycieku
• upewnij się, czy wśród wykradzionych danych znajdują się hasła
• zmień hasło, które wyciekło
• zmień hasła we wszystkich serwisach, które korzystały z przejętego hasła
• uruchom uwierzytelnianie dwuskładnikowe wszędzie, gdzie możesz
• zastrzeż PESEL; wycieknięte bazy mogą krążyć po sieci latami, nie wiadomo kiedyś ktoś wpadnie na pomysł wzięcia na Ciebie pożyczki