Tag: hasło

Wielki wyciek danych – czy skorzysta na nim firma, która go odkryła?

Wczoraj poinformowaliśmy Was o wielkim wycieku danych, na ślad którego natrafiła firma Hold Security. Bliżej niezidentyfikowana grupa hackerów weszła w posiadanie bazy danych, w której znajduje się ponad miliard wpisów zawierających adresy e-mail oraz hasła. Ponieważ dane zostały zebrane z różnych stron internetowych na całym świecie, całkiem  możliwe, że ofiarami padli też polscy użytkownicy. Jednak prędko się tego nie dowiemy, bo Hold Security chce zarobić na całej aferze.

Na pewno cieszy, że firma ta poinformowała publicznie o ataku hackerów i o tym, że mogą być oni w posiadaniu dużej bazy ważnych danych. Niestety, informacje, jakie ujawnili, są bardzo skąpe. Wciąż nie wiemy, z jakich stron internetowych dane wyciekły. Liczba dotkniętych atakiem serwisów wynosi aż 420 tysięcy, ale nie wiemy, czy są wśród nich np. Facebook, Gmail lub popularne fora internetowe. Hold Security zapewnia jedynie, że będzie się kontaktował z ofiarami ataku.

Ciekawe jest to, że firma ta umożliwia użytkownikom sprawdzenie, czy ich adres e-mail oraz hasło znajdują się w bazie danych, którą posiadają przestępcy. Można to zweryfikować na ich stronie, wypełniając formularz, w którym podać trzeba m.in. swoje hasła dostępu do portali, z których korzystamy. Nie jest to jednak najlepsze rozwiązanie, bo nie wiemy, co się z wpisanymi przez nas hasłami może stać i w jaki sposób będą przechowywane.

Wątpliwości budzi tez sposób, w jaki do całej sytuacji podchodzi Hold Security. Firma bardzo nachalnie reklamuje przy okazji swoje produkty, które mają nas ochronić w przyszłości przed podobnymi wyciekami. To wprawdzie naturalne, w końcu jest to ich główny biznes. Portal Niebezpiecznik.pl zwraca jednak uwagę na to, że Hold Security mógł ujawnić listę skradzionych haseł. To dobry sposób na to, by samemu sprawdzić, czy używane przez nas kody dostały się w ręce przestępców.

Nie wiemy też, czy lista haseł, które dostały się w ręce hackerów, jest zaszyfrowana, czy nie. To bardzo istotne, bo jeśli są one chronione w ten sposób, to przestępcy raczej z niej nie skorzystają. Niestety, informacji tej nie podano do wiadomości. Można się jedynie domyślać, że skoro Hold Security oferuje możliwość sprawdzenia tego, to nie były one zabezpieczone.

Cała ta sytuacja jest więc niejednoznaczna. Z jednej strony dobrze się stało, że firma ta ujawniła informacje o wycieku. Z drugiej jednak strona z pewnością chce na tym zarobić i skąpi informacji, które można byłoby swobodnie udostępnić i pomóc użytkownikom w rozeznaniu się w sytuacji. Niezbyt profesjonalne podejście do tego tematu na pewno rzutuje na reputację Hold Security.

Źródło: The Guardian, Niebezpiecznik.pl

Zobacz także:

Gigantyczny wyciek danych. Rosyjscy hackerzy w posiadaniu ponad miliarda haseł i adresów e-mail

Czy antywirus może być niebezpieczny? Specjaliści twierdzą, że tak!

Obserwuj @PawelKanski na Twitterze


Najgorsze hasła 2013 roku – zobacz jakich kombinacji NIE wybierać

Firma Splashdata wydała ciekawy raport na temat najgorszych haseł roku 2013. Początek roku to dobry okres, by podzielić się z Wami spisem najmniej bezpiecznych i rozsądnych haseł ubiegłego roku. Szczególnie, że w okresie ostatnich 12 miesięcy nie obyło się bez spektakularnych wpadek i włamań, których ofiarami stały się takie firmy jak Adobe czy Snapchat.

Oto jak przedstawia się lista najgorszych, bo najczęściej używanych, haseł roku 2013. W prawej kolumnie widzimy też pozycję hasła w rankingu za 2012 rok.

Najgorsze hasła roku

Na podstawie tej listy można przypuszczać, że hakerzy i złodzieje danych często mają bardzo ułatwione zadanie. Szczególnie, jeśli korzystamy z hasła “12345” lub “hasło“.

O tym jak zabezpieczyć się przed kradzieżą hasła pisaliśmy w tym artykule. O innych rodzajach zabezpieczeń możecie przeczytać też tutaj.

Firma Splashdata zajmuje się tworzeniem programów do zarządzania hasłami.

Zobacz także:

Źródło

Praktyczny poradnik: Jak bronić się przed kradzieżą haseł

Bez względu na to, jak silne byłoby Twoje hasło, to w momencie gdy zostanie skradzione, jesteś bezradny. Dlatego potrzebujesz inteligentnej ochrony przed kradzieżą.

Czasem używanie długiego, silnego hasła jest całkowicie bezużyteczne. Hakerzy nie odgadują już haseł, po prostu kradną je bezpośrednio z komputera użytkownika lub masowo z serwerów usług internetowych. Wykorzystują do tego, na przykład keyloggery. Są to programy sczytujące używane klawisze. Dla przykładu, Wirus Pony Botnet Controler zdobył ponad dwa miliony haseł od użytkowników komputerów. Są to dane do logowana na takich serwisach, jak Facebook, Gmail, czy Twitter. Wirus ten przechwytuje hasła w momencie, gdy logujemy się do internetowych usług.

Oto efekty wykorzystania wirusa Pony Botnet  (źródło)

Hasła mogą być skradzione nie tylko z naszego komputera, ale też z serwera firmy. Jednym z najlepszych przykładów jest włamanie do bazy danych Adobe. W 2013 roku hakerzy zyskali dostęp do milionów loginów, haseł i informacji o płatnościach z serwerów autorów popularnych programów Photoshop i Acrobat.

Zrzut z listy haseł skradzionych 130 milionom użytkowników Adobe (źródło)

Oba przykłady pokazują, że silne hasło nie jest w stanie powstrzymać oszustów. To jednak nie znaczy, że nie warto takowego posiadać. W dzisiejszych czasach nie jest to jednak wystarczający sposób na zabezpieczenie danych. Potrzebujemy innych metod do walki z hakerami. Poniżej prezentujemy praktyczne porady, zarówno przed takim atakiem, jak i w momencie, gdy ktoś ukradł nam już hasła.

Co robić, gdy dowiedzieliśmy się o kradzieży haseł

  1. Nie panikuj: jeśli kradzież została przeprowadzona na popularnych serwerach firm, takich jak Facebook, Twitter, czy LinkedIn, a nie przez wirusa na Twoim komputerze, to bądź spokojny. Sprzedaż takich danych przez hakerów wymaga czasu, a bezpieczeństwem na stronie zajmą się profesjonaliści.
  2. Uruchom komputer w sposób bezpieczny z antywirusem: jeśli hasło zostało skradzione z powodu wirusa lub masz takie podejrzenia. Uruchom komputer bez podłączenia do internetu korzystając z antywirusa na płycie CD/DVD lub pendrivie. Przeskanuj komputer i dokonaj odpowiedniej dezynfekcji. Upewnij się, że Twój sprzęt jest bezpieczny.
  3. Zmień hasła na innych stronach internetowych, jeśli są takie same. Zamiast martwić się stroną, która została zaatakowana, zajmij się zmianą haseł na stronach, na których korzystasz z tego samego hasła. Używanie identycznego hasła dla wielu usług jest jednym z najczęstszych błędów bezpieczeństwa i znacząco ułatwia życie internetowym złodziejom.

Co zrobić aby zapobiec kradzieży haseł

Bezpieczeństwo komputerowe ewoluuje, a wraz z nim środki, jakie można wdrożyć w celu ochrony naszych danych. Era silnych haseł i programów antywirusowych jest za nami, teraz czas na nową strategię i bardziej inteligentne zabezpieczenia. Dla bezpieczeństwa naszych danych warto podjąć poniższe kroki:

  1. Aktywuj dwuetapową weryfikację. Warto włączyć na stronach internetowych dodatkowe etapy weryfikacji. W większości przypadków musimy potwierdzić naszą tożsamość, gdy wchodzimy z nieznanej lokalizacji. Wtedy otrzymujemy kod na telefon komórkowy, lub musimy wykazać się znajomością naszych kontaktów. Takie rozwiązania stosują już największe usługi, na przykład Google oraz Facebook.
  2. Używaj menadżera haseł: aby tworzyć długie, silne, a przede wszystkim różne hasła. Takie programy pozwalają je bezpiecznie przechowywać i z łatwością wykorzystywać, bez konieczności ich zapamiętywania. Polecamy LastPass i DashLane.
  3. Blokuj dostęp do telefonu. Smartfon, to nie tylko telefon, ale też komputer pełen naszych cennych danych. W dodatku łatwo można nam go ukraść. Na szczęście, zarówno Android, jak iOS zawierają bardzo solidne systemy bezpieczeństwa. W przypadku Androida warto też chronić się przed złośliwymi aplikacjami.
  4. Zachowaj szczególną ostrożność korzystając z przeglądarki. Dziś przeglądarka internetowa jest naszym centrum komputera. To nasze okno na świat, ale też brama do naszych danych. Warto więc uważać na wszelkie podejrzane adresy i pilnować, aby mieć zawsze zaktualizowaną wersję przeglądarki, wszystkie wtyczki i inne dodatki.

Staraj się nie używać tych samych haseł

Jeszcze raz warto powtórzyć: nie używaj tego samego hasła do wszystkiego. To największe ryzyko dla Ciebie i Twoich danych. Możesz korzystać z najlepszych programów internetowych i posiadać skomplikowane hasło, ale nie będziesz bezpieczny, gdy masz jednakowe hasła. Takie zachowanie znacząco zwiększa ryzyko kradzieży danych. Korzystaj z menadżerów i generuj różne hasła, a będziesz pod ochroną.

W jaki sposób Wy zarządzacie hasłami?

Jak ustawić hasło, które zablokuje dostęp do przeglądarki osobom niepowołanym?

Przeglądarka internetowa to nasze okno na świat. Jeśli korzystamy z Firefoksa lub Chrome na komputerze, do którego mają dostęp inni domownicy, to możemy nie życzyć sobie, aby mieli dostęp do naszej poczty lub serwisów społecznościowych poprzez zapamiętane hasło. Opcja zapamiętywania haseł do często odwiedzanych witryn nie jest obowiązkowa, ale to  bardzo wygodne rozwiązanie, dlatego tak często z niego korzystamy. Co zrobić, aby zachować wygodę i chronić prywatność? Wystarczy ustawić hasło główne! W poniższym poradniku pokazujemy, jak zrobić to w dwóch najpopularniejszych przeglądarkach: Mozilla Firefox, Google Chrome.

Mozilla Firefox – hasło główne

Przeglądarka Mozilla Firefox ma wbudowaną możliwość ustawienia hasła. Wystarczy tę funkcję aktywować. Klikamy w pomarańczowy przycisk Firefox w lewym górnym rogu ekranu, następnie otwieramy Opcje i przechodzimy do karty Bezpieczeństwo.

hasło główne Mozilla FirefoxKlikamy teraz w Używaj hasła głównego i ustawiamy odpowiednio skomplikowane hasło.

hasłow główne w Mozilla FirefoxOd teraz, kiedy wejdziemy na stronę z zapamiętanym hasłem, będziemy poproszeni o wprowadzenie hasła głównego. Jeśli tego nie zrobimy, możemy nadal korzystać z przeglądarki, ale nie pokażą się nam zapamiętane hasła.

Google Chrome – dodatek

Google Chrome nie ma wbudowanej możliwości ustawienia hasła głównego, ale w Chrome Store możemy znaleźć bardzo dobry dodatek, który nam w tym pomoże. Wystarczy pobrać ChromePW i postępować wedle wyświetlanych na ekranie poleceń.

W pierwszym kroku przechodzimy do chrome://extensions/ i w opcjach dodatku klikamy w Zezwól w trybie incognito. Robimy to po to, aby ktoś nie mógł obejść hasła włączając Tryb Incognito (Ctrl + N).

ChromePW - hasło główne w Google Chrome

Następnie otwieramy chrome://settings-frame/, lub ręcznie wchodzimy w Ustawienia przeglądarki Chrome, przewijamy na sam dół i klikamy w Pokaż ustawienia zaawansowane, i znów przewijamy do samego dołu, do działu System, w którym odznaczamy kliknięciem Kontynuuj działanie aplikacji w tle po zamknięciu przeglądarki Google Chrome. Teraz pojawi się ekran ustawień, w którym ustanawiamy hasło i włączamy działanie dodatku, zmieniając Security mode z Off na On.

Dodatek ChromePW ma tę wadę (lub zaletę, zależy czego oczekujemy), że kiedy nie podamy hasła wyłącza on Google Chrome. Blokuje on więc dostęp do przeglądarki kompletnie. Jeśli więc chcemy pozwolić komuś na korzystanie z internetu na naszym komputerze, musimy mieć zainstalowaną inną przeglądarkę, taką jak Internet Explorer czy Mozilla Firefox.

Rozwiązania alternatywne

Komputery PC z Windows jak i Maki z OS X mają możliwość utworzenia profilu gościa w systemie. Wadą takiego rozwiązania jest konieczność wylogowania się z naszego profilu i logowanie się na profil gościa. Zaletą jest możliwość większego ograniczenia tego, co gość na naszym komputerze może robić, a czego nie może robić. Jest to bardzo przydatne rozwiązanie, gdy dostęp do komputera dajemy małym dzieciom.

Istnieje jeszcze jedna możliwość rozwiązania naszego problemu. Instalacja jednego z programów – managerów haseł. Pozwalają one ustawić jedno hasło, które będziemy wprowadzać za każdym razem, kiedy otwieramy przeglądarkę i wtedy uzyskamy dostęp do naszych zapamiętanych haseł. Ich zaletą jest również możliwość synchronizacji zapamiętanych haseł między komputerami i urządzeniami mobilnymi, możliwość tworzenia profili – takich jak dom czy praca. Dwa najpopularniejsze rozwiązania to:

Jakie rozwiązanie jest dla Ciebie najwygodniejsze?

Powiązane programy:

Jak odzyskać hasło w Google Play?

Założyliście konto w Google Play aby pobierać gry i aplikacje na Android. Może nawet skorzystaliście z naszego poradnika? Co jednak zrobić, kiedy zapomnieliście hasło i nie możecie się teraz zalogować żeby pobierać gry i aplikacje? Oto kolejna część naszego cyklu, w którym odpowiadamy na najczęściej zadawane pytania dotyczące Google Play.

1. Nie mogę się zalogować do Sklepu Google Play

Widzisz komunikat taki jak poniżej. Co robić? Próba zapisania ręcznie adresu URL podanej strony i przepisanie go do przeglądarki jest zbyt męcząca. Jest na to jednak prostszy sposób.

google play jak odzyskać hasło

2. Wróć do strony logowania

Klikamy przycisk Wstecz (strzałka w lewym dolnym rogu). Na stronie, gdzie wpisujemy email i hasło, klikamy w ikonkę z trzema kropkami w prawym górnym rogu. Pojawi się nam jedna opcja – Logowanie w przeglądarce. Klikamy ją.

google play jak odzyskać hasło

3. Odzyskujemy hasło w tradycyjny sposób

Otwiera nam się okno, które przypomina tradycyjne logowanie się do poczty Gmail czy innej usługi Google. Klikamy w link “Nie możesz zalogować się na konto?”. Z listy powodów, dla których nie możemy zalogować się do Google Play wybieramy jeden i następnie postępujemy według wskazówek wyświetlanych na ekranie.

google play jak odzyskać hasło

Mamy nadzieję, że udało się Wam odzyskać hasło i zalogować na Wasze konto Google Play

Poradnik Google Play:

Centrum deweloperów Apple ofiarą ataku

Aktualizacja: Znalazł się winny całego zamieszania – to Ibrahim Balic, który co prawda włamał się na serwery Apple, ale nie po ty by coś ukraść. Chciał po prostu zwrócić uwagę firmy na zbyt słabe, jego zdaniem, zabezpieczenia z których korzystają. Ibrahim twierdzi też, że poinformował Apple o planowanym włamaniu, zanim go wykonał. Na pewno osiągnął swój cel, bo dziś to jedna z najważniejszych informacji jakie przewijają się w serwisach informacyjnych.

YouTube - Ibrahim Balic

Nie tylko UbuntuForums.org miało w poprzednim tygodniu kłopoty z cyberprzestępcami. Apple przyznało się, że ich serwis dla developerów – Apple Developer Center także stało się ofiarą ataku. Jak informują na swojej stronie, w ostatni czwartek, ktoś próbował dostać się do informacji przechowywanych na serwerach Apple Developer.

Apple Developer

Wszystkie dane były zabezpieczone w najlepszy z możliwych sposobów, jednak Apple nie może zagwarantować, że ich cześć nie została wykradziona. Strona Apple Developer jest wyłączona, a zamiast niej znajduje się krótka informacja o ataku i lakoniczne przeprosiny. Gdy ukończona zostanie aktualizacja niezbędnego oprogramowania, a baza danych odbudowana, strona ponownie zostanie udostępniona.

Jak można zminimalizować szansę utraty danych po ataku na stronę lub forum, gdzie mieliśmy konto? Gdy zakładamy konto, starajmy się tworzyć unikalną nazwę użytkownika i hasło. W idealnej sytuacji, na każdym forum czy stronie powinniśmy mieć różne hasła. Wtedy nawet gdy wycieknie ono z jednego portalu, przestępcy nie będą mieli z niego wielu korzyści. Jeśli jednak już nasze dane wyciekły, to warto zastanowić się nad zmianą haseł i danych dostępu do wszystkich naszych ulubionych miejsc w sieci. Szczególnie, jeśli korzystamy z tego samego nickname’a oraz hasła, co w okradzionym serwisie.

Powiązane artykuły:

Android przechowuje hasła do Wi-Fi w zwykłym tekście?

Ciekawa informacja dla użytkowników Androida. Jeśli korzystacie z Wi-Fi w swoim domu lub pracy, to jest całkiem duże prawdopodobieństwo, że Google przechowuje je na swoich serwerach bez wymaganej ochrony. Problem nie jest tak ważny w przypadku domowych sieci Wi-Fi, ale jeśli pracujecie w dużych firmach lub ważnych instytucjach państwowych, to robi się ciekawie.

W większości telefonów z Androidem, opcja “Utwórz kopię zapasową“, która pozwala na wysłanie danych na serwery Google, jest włączona domyślnie. Co więcej, kopie zapasowe hasła Wi-Fi wysyłane są jako zwykły tekst. Oznacza to, że jeśli osoba niepowołana dostanie się do tych danych, może wyciągnąć z nich wrażliwe informacje. Na forum społeczności Android, code.google.com jeden z użytkowników wytknął ten błąd i zgłosił go do poprawienia. Wystarczy, że przesyłane dane będą zaszyfrowane, a problem zniknie – twierdzi.

Problem pojawia się w niezbyt dobrym dla dużych firm okresie. Od czasu wywołania afery PRISM, wiele firm musi się tłumaczyć z udostępniania prywatnych danych użytkowników agencjom wywiadowczym. Czy drobne przewinienie Google jak to, ma jakiś wpływ na bezpieczeństwo kogokolwiek? Tak, jeśli zdamy sobie sprawę jak wiele osób na świecie korzysta z Androida w pracy. Jeśli używamy sieci Wi-Fi udostępnionej przez pracodawcę, to jednocześnie wysyłamy kopię tych danych na serwery Google. Tam na pewno, może ktoś je śledzić. Może to zrobić też jakaś agencja rządowa na wyraźne żądanie. Wniosek? Google posiada gigantyczną bazę danych haseł do Wi-Fi wielu potężnych i ważnych korporacji na całym świecie. Nie jest to na pewno coś z czego tak duża firma powinna być dumna.

Powiązane artykuły:

Źródło

Dostałeś maila od Allegro? Dobrze się mu przyjrzyj, to może być oszustwo

Jeśli dostaliście w ostatnim czasie maila od Allegro zatytułowanego “Twoje Konto w Allegro.pl Zostało Zablokowane“, możecie być pewni, że to próba oszustwa. W jego treści znajduje się informacja o rzekomej próbie włamania się na Wasze konto, w związku z którą zostało ono prewencyjnie zablokowane. To kłamstwo, które ma Was przekonać do kliknięcia w podany w treści maila link. Pod żadnym pozorem tego nie róbcie! Uruchomi to złośliwą aplikację Java, która może Wam poważnie zaszkodzić.

Oto cała treść wiadomości:

*Drogi Użytkowniku!*
Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie allegro.pl
Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
Należy udać się pod Adres http://www.odblokuj-alIegro.xn.pl
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Grupa Allegro

Link, który znajduje się w treści wiadomości to: http://www.odblokuj-alIegro.xn.pl. Tak dziwnie skonstruowany odnośnik i sposób jego zapisu (drugie “l” w słowie allegro, to po prostu litera “i” napisana wielką literą) powinien wzbudzić Waszą czujność. W rzeczywistości firmy dbają o to, by link był możliwie najprostszy by uniknąć wątpliwości i nieporozumień.

Jeśli jednak już klikniecie w taki link, możecie stracić swoje dane przechowywane w przeglądarce. Mogą to być hasła i dane dostępu do różnego rodzaju serwisów.

Jak nie dać się wrobić w takie oszustwo? Najważniejsze, to dokładnie i uważnie przeczytać taką wiadomość. Jeśli coś wzbudziło Waszą wątpliwość, to prawdopodobnie nie bez przyczyny. Wszystkie prośby o zmianę hasła, podawanie danych logowania oraz kont bankowych to prawdopodobnie oszustwo. Na wszelki wypadek możecie zadzwonić do firmy, która rzekomo wysyła maila (czyli do banku, serwisu aukcyjnego itp.) i spytać się, czy faktycznie jest ona autorem wiadomości. W przypadku Allegro, próbę oszustwa można zgłosić też na adres “phishing@allegro.pl“.

Co ciekawe – odbiorcy tego maila mogą być pewni, że ich adres e-mail wyciekł z jednego z polskich serwisów internetowych, gdzie mają konto. W gronie podejrzanych wymieniany jest m. in. Klid.pl.

Powiązane artykuły:

Źródło