123456 – to nie wyliczanka, to najpopularniejsze hasło używane w ubiegłym roku na świecie. W Polsce było podobnie, wynika z analiz. Hasło krótkie, proste i łatwe do zapamiętania jest najlepsze dla hakerów. I potrzebują oni zaledwie 37 sekund, aby złamać 8-znakowe hasło złożone z cyfr. Tymczasem 81 proc. naruszeń związanych z hakowaniem jest wynikiem kradzieży lub stosowania słabego hasła.
Przypomnijmy, że w 2012 roku LinkedIn padł ofiarą jednego z największych wycieków danych w historii – ujawniono ponad 117 mln haseł. Wiele z nich brzmiało banalnie: „linkedin”, „password”, „123456”. Hakerzy bez trudu je złamali i wystawili na sprzedaż w dark webie. Co ciekawe – od tamtej pory niewiele się zmieniło.
Nasze złe nawyki
Teoretycznie wszyscy wiemy, że hasła trzeba chronić. W praktyce – wciąż popełniamy te same błędy. Główny to używanie zbyt łatwych haseł, typu „123456” i „password”. Zgodnie z analizą NordPass, to pierwsze było w 2024 roku użyte ponad 3 mln razy (w Polsce 13 470). Według specjalistów, złamanie 161 wśród 200 najczęściej używanych haseł jest możliwe w zaledwie sekundę.
Kolejnym błędem jest używanie tych samych haseł do logowania w wielu miejscach. Pomysł, żeby wszędzie mieć takie samo hasło jest zły – wystarczy ujawnienie hasła w jednym miejscu, aby umożliwić hakerowi przejęcie całej prywatnej i służbowej aktywności. Równie złą opcją jest zapisywanie haseł w łatwo dostępnych miejscach, takich jak notesy czy pliki tekstowe. Jeśli ktoś uzyska taki notes lub dostęp do dokumentu na komputerze, może przejąć hasła.
Spektakularnym przykładem ataku ransomware, który powiódł się dzięki złamaniu osobistego hasła pracownika, jest przypadek Colonial Pipeline z 2021 roku. Atak spowodował wówczas kilkudniowe zawieszenie pracy rurociągów naftowych zasilających południowo-wschodnie Stany Zjednoczone i kosztował firmę okup w wysokości 4,4 mln USD.
Jak łamane są hasła?
Aby dokonać ataku ransomware na organizację, cyberprzestępcy stosują różne sposoby: brute force, phishing, wyłudzanie danych czy wykorzystywanie wycieków haseł z ataków, które miały miejsce wcześniej. Brute force polega na automatycznym testowaniu ogromnej liczby kombinacji znaków w celu odgadnięcia hasła.
Hakerzy używają programów, które w krótkim czasie mogą sprawdzić miliony możliwych haseł. Hasła typu „123456” czy „password”, mogą zostać złamane poniżej sekundy. Cyberprzestępcy korzystają również z tzw. ataków słownikowych, w których testowane są najczęściej używane hasła oraz ich różne warianty.
Fot. pixabay.com
Phishing i wyłudzanie danych to metody wykorzystujące manipulację użytkownikami, aby sami ujawnili swoje dane logowania. Hakerzy podszywają się pod zaufane instytucje, wysyłając e-maile lub wiadomości SMS z linkami do fałszywych stron logowania. Gdy ofiara wpisze swoje hasło, trafia ono bezpośrednio w ręce przestępców. Coraz częściej hakerzy wykorzystują zaawansowane techniki, takie jak deep fake czy bardziej skuteczne, bo personalizowane, ataki spear phishingowe.
Wykorzystanie wycieków haseł to jedna z najprostszych i najczęściej stosowanych metod. Gdy użytkownicy stosują te same hasła w wielu serwisach, hakerzy mogą użyć baz danych z poprzednich ataków, aby sprawdzić, czy dane logowania pasują do innych kont. Dzięki specjalnym narzędziom mogą automatycznie testować te hasła na różnych platformach, uzyskując dostęp do firmowych systemów, skrzynek e-mail czy kont bankowych – – tłumaczy Paweł Kulpa, Cybersecurity Architect z Safesqr.
Długość i zmiana haseł
Jednym z kluczowych aspektów ochrony przed cyberatakami jest stosowanie silnych, trudnych do złamania haseł. Długość ma znaczenie – im więcej znaków, tym trudniej je złamać. Silne hasło powinno zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Kombinacja różnych typów znaków zwiększa jego odporność. Poza tym należy unikać łatwych do odgadnięcia fraz – nie należy używać imion, dat urodzenia, numerów telefonów czy popularnych fraz.
Aby minimalizować ryzyko przejęcia konta, warto też regularnie zmieniać hasła, szczególnie do kluczowych usług, takich jak bankowość internetowa czy e-mail. Warto także monitorować, czy nasze dane nie wyciekły do sieci, korzystając z narzędzi takich jak Have I Been Pwned czy bezpiecznedane.gov.pl. W tym pierwszym przypadku wystarczy wprowadzić swój adres e-mail, aby sprawdzić, czy pojawił się w znanych wyciekach danych, w drugim należy użyć profilu zaufanego.
Cyberprzestępcy stale rozwijają swoje metody ataków, dlatego stosowanie silnych haseł, menedżerów haseł, uwierzytelnianie dwuskładnikowe oraz monitorowanie wycieków to istotne działania, które pomagają zabezpieczyć nasze dane.