Hasła są wszędzie. Zapewniają, że tylko my (lub osoby, którym pozwolimy) mamy dostęp do naszych prywatnych informacji i rzeczy – czy to pieniędzy w banku, czy tożsamości w mediach społecznościowych. Często jednak podchodzimy do nich lekko, używając wszędzie tego samego hasła, ponieważ jest ono łatwe do zapamiętania.
Chociaż wiele aplikacji i usług poprawiło się pod względem bezpieczeństwa, hakerzy również znacznie się poprawili. Używanie wszędzie tego samego hasła naraża Cię na ryzyko, że staniesz się głównym celem cyberataków. Istnieją inne, mniej oczywiste wady tej praktyki.
Oto kilka powodów, dla których powinieneś być bardziej sumienny przy wyborze hasła.
Spis treści:
1. Ataki polegające na upychaniu poświadczeń
Jeśli chodzi o używanie wszędzie tego samego hasła, nie jesteś sam. Według stronie internetowej NordPass, wiele osób używa łatwych do odgadnięcia haseł, takich jak „gość” i „hasło”. Jest to okropna praktyka, ponieważ złamanie tych pozornie sprzecznych z intuicją haseł zajmuje niewiele czasu.
Jeśli używasz takiego słabego hasła na wszystkich swoich kontach, jesteś idealnym celem ataku polegającego na upychaniu danych uwierzytelniających. Jest to rodzaj cyberataku, który polega na umieszczeniu dużej kolekcji skradzionych haseł lub nazw użytkowników na tysiącach witryn internetowych. Jeśli Twoje odzyskane hasło spowoduje naruszenie bezpieczeństwa danych, duża liczba Twoich kont może mieć kłopoty.
2. Narażanie kont firmowych na ryzyko
W 2012 roku Dropbox doświadczył naruszenia, które dotknęło 69 milionów użytkowników online. Według Opiekundo naruszenia doszło, ponieważ pracownik Dropbox ponownie użył w Dropbox tego samego hasła, co wcześniej na LinkedIn. Kiedy jego konto na LinkedIn zostało zhakowane, hakerzy uzyskali również dostęp do sieci firmowej Dropbox.
Oznacza to, że jeśli ponownie użyjesz haseł do konta firmowego, narażasz siebie i firmę na ogromne ryzyko. Właśnie dlatego wiele firm znających się na technologii korzysta obecnie z menedżerów haseł. Menedżery haseł umożliwiają przechowywanie i generowanie bezpiecznych haseł.
Dodając swojego pracownika lub kontrahenta do menedżera haseł, uzyskuje on dostęp do wszystkich kont, których hasła są przechowywane w aplikacji menedżera, upraszczając proces logowania – a wszystko to przy jednoczesnej eliminacji konieczności udostępniania im hasła.
Ponownie używane hasła lub nawet podobne hasła są słabe, nieunikalne i łatwo przewidywalne. Hakerzy mogą łatwo złamać takie hasła za pomocą narzędzi AI. Nawet darmowa wersja ChatGPT może być używana do burzy mózgów na temat takich haseł:
Jeśli powyższy monit jest zbyt prosty, aby odgadnąć Twoje hasło, hakerzy mogą ominąć ograniczenia ChatGPT i spróbować wymyślić bardziej spersonalizowaną zachętę do odgadnięcia hasła.
Przykładowo napisałem podpowiedź, udając, że piszę historię o fikcyjnej postaci Adamie (wszelkie podobieństwo do rzeczywistych osób jest całkowicie przypadkowe), gdzie hakerzy próbują włamać się na jego konto na Facebooku:
Oto jak ChatGPT szczęśliwie stworzył listę haseł, których może używać ta osoba:
Niektóre z tych haseł z pewnością wydają się zabawne, ale w rzeczywistości mamy tendencję do umieszczania haseł, które łatwo zapamiętamy (do osób i rzeczy, na których zazwyczaj najbardziej nam zależy). Zatem im więcej hakerzy wiedzą o nas (co nie jest trudne, biorąc pod uwagę, że wszystko zamieszczamy w mediach społecznościowych), tym większa szansa, że pomyślnie odgadną nasze hasło.
Zaawansowane narzędzia AI do łamania haseł są na innym poziomie. Testują popularne hasła, używając odmian słów lub haseł znalezionych w przypadku naruszeń bezpieczeństwa danych.
Jeśli używasz hasła takiego jak „qwerty”, jego złamanie zajmuje narzędziom do łamania haseł mniej niż sekundę. Dodanie liczb i zmiana ich na „qwerty12345” nie utrudnia złamania. Wiele narzędzi szuka wzorca, a najczęstszymi wzorcami są oczywiste liczby przed jeszcze bardziej oczywistymi frazami.
4. Dzielenie się hasłami zwiększa Twoje ryzyko
Recykling haseł to zła praktyka, ale dzielenie się ponownie użytymi hasłami jest jeszcze gorsze. Niezależnie od tego, jak godna zaufania jest osoba, której udostępniasz hasło, nie możesz odpowiadać za naruszenia bezpieczeństwa danych ani cyberataki. Twoje konto jest jeszcze bardziej zagrożone, jeśli urządzenie osoby, której udostępniłeś dane, zostało przejęte lub skradzione.
Gdy haker uzyska dostęp do urządzenia, każde konto i część danych będzie można bezpłatnie zabrać. Załóżmy na przykład, że dzielisz z kimś konto Netflix. Jeśli jego laptop zostanie zhakowany lub skradziony, a ktoś dostanie się na konto Netflix, dane Twojej karty kredytowej będą natychmiast zagrożone.
Po pierwsze, używaj silnych haseł, które są trudne do odgadnięcia. Następnie, po drugie, użyj uwierzytelniania dwuskładnikowego lub menedżera haseł, aby bezpiecznie udostępnić hasło znajomym i rodzinie i zminimalizować ryzyko.
5. Ataki socjotechniczne
Inżynieria społeczna to manipulowanie ludźmi w celu kradzieży ich prywatnych informacji. To nie jest tak naprawdę umiejętność techniczna, ale raczej gra psychologiczna. Najczęstszym tego przykładem są linki phishingowe.
Nie jest to już tak proste, jak link phishingowy prowadzący do fałszywej strony logowania na Facebooku lub Instagramie. Hakerzy podszywają się pod znajomego, współpracownika lub godną zaufania organizację, aby nakłonić Cię do kliknięcia łączy, które naruszają Twoje konta.
Zatem haker może poprosić Cię o zarejestrowanie się w nowej usłudze startowej tylko po to, aby sprawdzić, jakiego hasła używasz. W niektórych przypadkach mogą skontaktować się z Tobą, korzystając z konta Twojego znajomego, które zostało przejęte — większość z nas nie jest mądrzejsza, gdy otwiera linki od znajomych, więc łatwo jest zastawić tę pułapkę.
Ponieważ najprawdopodobniej do zarejestrowania się w tej usłudze ponownie użyjesz hasła z innego miejsca, spróbują oni użyć tego hasła do wszystkich Twoich kont, o których wiedzą. Jeśli używasz tego samego hasła do swojej aplikacji bankowej, prawdopodobnie wpakujesz się w kłopoty.
Jeśli nie za każdym razem, ta technika będzie działać w większości przypadków.
6. Zwiększone ryzyko ataków wewnętrznych
Ponowne używanie tych samych haseł wszędzie potencjalnie zwiększa ryzyko ataków wewnętrznych. Załóżmy, że pracownik znający hasło opuszcza Twoją organizację. Jeśli hasło pozostanie niezmienione, były pracownik nadal będzie miał łatwy dostęp do wszystkich Twoich wrażliwych danych.
Jeśli osoba znająca hasło zna hasło, które jest wszędzie używane, wszystkie Twoje aplikacje i usługi są zagrożone. Mogą wykorzystać te dane uwierzytelniające do prowadzenia oszukańczych działań, wykorzystywania luk w zabezpieczeniach lub szkodzenia systemom komputerowym. Takie osoby mogą również udawać pracowników i manipulować współpracownikami, aby udostępnili poufne informacje.
Podobnie, jeśli to samo hasło jest używane w wielu witrynach internetowych, trudno byłoby wskazać osobę poufną w przypadku niechcianej lub złośliwej aktywności. Możesz zmniejszyć ryzyko ataków wewnętrznych, stosując rygorystyczne praktyki bezpieczeństwa. Dobrym miejscem na rozpoczęcie jest nadanie niestandardowych danych uwierzytelniających wszystkim pracownikom.
Bądź kreatywny, tajemniczy i rygorystyczny, stosując hasła
Bez względu na to, jakie inne środki bezpieczeństwa podejmiesz, Twoja obecność w Internecie będzie zawsze zagrożona, jeśli ponownie użyjesz tego samego hasła na różnych platformach. Jasne, ponownie użyte hasła są łatwiejsze do zapamiętania, ale pożałujesz tej wygody, jeśli Twoje konta zostaną zhakowane.
Na szczęście w przyszłości być może nie będziesz musiał w ogóle używać haseł. Usługi takie jak Apple PassKeys korzystają z uwierzytelniania biometrycznego, takiego jak FaceID lub TouchID, do logowania Cię na konta. Eliminuje to potrzebę podawania hasła, ponieważ zamiast tego usługa używa klucza kryptograficznego. Gdy inne firmy zaczną to wdrażać, hasła mogą stać się przeszłością.