Ponad dwie trzecie z nas nie zmienia hasła do konta bankowego - tak wynika z najnowszego raportu Komisji Nadzoru Finansowego. Michał Kurek, ekspert do spraw ryzyka informatycznego w EY radzi, jak bezpiecznie korzystać z konta w internecie i jakie hasło będzie najlepiej chronić nasze pieniądze.

Czy jesteś bezpieczny w sieci? /Michał Dukaczewski /RMF FM

Michał Dobrołowicz: Czy jest coś takiego, jak bezpieczne hasło?

Michał Kurek, ekspert ds. ryzyka informatycznego: Na pewno bezpieczeństwo hasła jest proporcjonalne do jego długości i złożoności - im bardziej długie hasło, tym bezpieczniej. Oczywiście pod warunkiem, że nie jest później zapisane na karteczce. Standardy długości hasła też się czasem zmieniają, bo jakiś czas temu hasła powinny być dłuższe niż 7 znaków, obecnie mówi się o kilkunastu znakach. Rosną moce obliczeniowe naszych komputerów, stąd narzędzia hakerskie są coraz bardziej skuteczne w łamaniu haseł. Taką dobrą praktyką jest zamiast wymyślanie hasła, które później trudno zapamiętać, wpisywanie całych fraz, czyli np. jakiegoś wierszyka, gdzie jest tych znaków kilkanaście lub kilkadziesiąt, a wciąż łatwo to zapamiętać. Wówczas takie hasło jest naprawdę trudne do złamania.

Trzeba je też urozmaicać np. cyframi?

Można - np. w miejsce "o" modyfikować na "0". To jest jakiś sposób, żeby wprowadzić te znaki specjalne do hasła, co znacznie utrudnia łamanie, bo wtedy haker musi uwzględnić przy takim łamaniu siłowym również znaki specjalne, nie tylko litery. Natomiast hakerzy idą w ślad za tymi pomysłami po stronie bezpieczeństwa i są programy, które w pierwszej kolejności modyfikują litery ze znakami czy cyframi, które przypominają te litery - wciąż jest to atak słownikowy, tylko wzbogacony.

Jak często to hasło powinniśmy zmienić?

Są wymagania - nawet ustawy o ochronie danych osobliwych - które w przypadku systemów podłączonych do internetu wymagają zmiany co 30 dni, więc bardzo często. Jeżeli są to bardzo wrażliwe konta i możemy podejrzewać, że doszło do wycieku haseł, to w zależności od jego długości (jeśli ma jakieś 7-8 znaków) to są okolice miesiąca, kiedy hakerom powinno się udać je złamać. Wtedy rzeczywiście, jeżeli bardzo nam zależy na danym koncie, to takie hasło powinno być zmieniane z częstotliwością miesięczną.

Im dłuższe, bardziej złożone hasło, tym rzadziej możemy je zmieniać?

Tak, natomiast najważniejsze przy kształtowaniu tzw. polityki zarządzania hasłami, w której kluczowym elementem jest ta częstotliwość zmiany hasła, powinna być wrażliwość tych zasobów, które dane hasło chroni. Jeśli jest to nasze konto bankowe, to oczywiście tam są dodatkowe zabezpieczenia, ale przykładowo jeśli dla nas bardzo cenna zawartość jest chroniona tym hasłem, wówczas na pewno powinniśmy zmieniać to hasło częściej niż jak jest to po prostu jakieś konto w sklepie internetowym. Tutaj zaznaczę, że bardzo częstą sytuacją jest to, że mamy mało pojemną głowę jeśli chodzi o hasła i najczęściej ustawiamy te same hasła w wielu serwisach. Na pewno dobrą praktyką jako takie minimum, jest mieć różne hasła do różnej kategorii dla nas wrażliwości systemów i serwisów. Jeśli jest to niska wrażliwość to może być proste hasło, które zawsze pamiętamy, jeśli to jest już bankowość elektroniczna czy nasza poczta, wówczas powinny być to hasła innej złożoności i najlepiej różniące się między sobą.

Wciąż to najpopularniejsze hasło to "123456", jakoś pan tłumaczy tę popularność?

Myślę, że jeszcze "qwerty" - to po prostu wygoda. To są jedne z pierwszych haseł, które są w takich "słownikach hakerskich" wykorzystywane. W przypadku takich haseł "123456" bardzo skuteczną techniką jest próba logowania się na każde konto w danym serwisie właśnie z tym jednym hasłem. Statystycznie znajdzie się kilka kont, które akurat to hasło będą miały zapisane.

Czy gdy jesteśmy połączeni przez wifi, to każdy "widzi" to, co robimy?

W zależności od sposobu zabezpieczenia wifi. Niestety te otwarte sieci bezprzewodowe nie zapewniają szyfrowania, więc trzeba mieć świadomość, że cały ruch, który wysyłamy do internetu może być obserwowany prze potencjalnego hakera, który jest również podłączony do sieci. Oczywiście szyfrowanie może nastąpić w innych warstwach niż protokół wifi, czyli przykładowo - jeżeli logujemy się do bankowości elektronicznej, to powinna się w przeglądarce pojawić kłódeczka i jeśli sprawdzimy certyfikat banku i wszystko się zgadza, to mamy szyfrowane połączenie z bankiem i wówczas wpisywane przez nas hasło nie jest widoczne dla hakera. Jeżeli haker zrobi tzw. atak "men in the middle", czyli uda mu się przekierować nas na swój komputer, tak żeby był "pośrednikiem" w tej transakcji, a my jeszcze zaakceptujemy niezaufany certyfikat, to cały ruch będzie przechodził przez komputer hakera, a wówczas pozna nasze hasło i będzie mógł manipulować całą transakcją.

Czy logowanie się do konta, gdy jesteśmy podłączeni przez wifi, jest bezpieczne?

Wtedy trzeba działać z bardzo dużym poczuciem ostrożności. Jeśli mamy niezaufane połączenie, bo taka sama sytuacja może być, jeśli podłączymy się np. do sieci w bloku, na pewno trzeba bardzo dokładnie sprawdzić chociażby takie podstawowe rzeczy jak certyfikat, którym bank się uwierzytelnił, trzeba zobaczyć, czy adres URL odpowiada temu adresowi banku, bo bardzo często jeśli są drobne przekłamania np. zmiana litery "l" jest "i", to coś co można nie zauważyć, możemy wejść na stronę fishingową, czyli stronę, która łudząco przypomina bank, i na tej stronie zdradzimy nasze hasło, a jeśli będzie dalej sprytnie napisana strona, to może wyłudzić dane do autoryzacji transakcji i stracimy pieniądze.

Czyli patrzymy na adres przede wszystkim?

Patrzymy na adres, na certyfikat i uważajmy na to, żeby logować się z zaufanego komputera - np. w kafejkach internetowych, czy jeżeli ktoś poprosi o zalogowanie się na swoim komputerze, np. w sklepie. Najważniejsze, żebyśmy byli bardzo ostrożni, przewidujący i świadomi różnych zagrożeń, które z coraz większą intensywnością w nas uderzają, są coraz bardziej złożone i nawet ataki fishingowe, coraz bardziej zlokalizowane na Polskę. Kiedyś to były nieudolne tłumaczenia translatorem, gdzie widać było na pierwszy rzut oka, że coś jest nie tak, obecne kampanie są napisane bardzo dobrą polszczyzną są dużo bardziej skuteczne.

Jeżeli robiłbym przelew online, często ten formularz z danymi wypełnia się automatycznie - czy to jest bezpieczne?

Tak, choć to wszystko zależy, jak wrażliwe są to nasze dane i jest to pewien kompromis między wygodą, a bezpieczeństwem, bo w większości przeglądarek mamy możliwość zgodzenia się, żeby zapisywać te dane lub nie i trzeba mieć świadomość, że w momencie, w którym przeglądarka zapisze takie dane osobowe, a my stracimy kontrolę i ktoś włamie się na naszą stację roboczą, wówczas te dane jest w stanie odtworzyć. W szczególności, jeśli zapamiętujemy hasła do serwisów.

Jakieś rady na koniec?

Dzisiejsze złośliwe oprogramowanie nie jest wykrywane przez antywirusy. Bardzo łatwo jest tak opakować złośliwy kod, żeby nie był widziany przez programy antywirusowe. Zdecydowanie zamiast polegać na programach do zabezpieczeń, bardziej powinniśmy się skupić na rozważnym wykorzystywaniu komputera, czyli przede wszystkim nie wchodzeniu na każdą stronę, którą gdzieś znajdziemy w internecie.