Skocz do głównej treści strony
Pomorski Ośrodek Doskonalenia Nauczycieli w Słupsku
  1. Strona główna
  2. Inspiracje i praktyka
  3. Cyfrowy nauczyciel
  4. Nie daj się zhakować!

Nie daj się zhakować!

Utworzono: 02-10-2025

Dzień Bezpiecznego Internetu obchodzimy co roku, w pierwszej połowie lutego.  Święto zostało ustanowione z inicjatywy Komisji Europejskiej, a ma na celu zwrócenie uwagi na bezpieczeństwo młodych internautów. To dobra okazja, aby przyjrzeć się naszemu cyberbezpieczeństwu.

Sprawdź czy twoje dane logowania są bezpieczne.

Często słyszymy o „wyciekach” danych logowania użytkowników portali, forów, sklepów internetowych. Zjawisko jest na tyle powszechne, że każdy rozsądny użytkownik sieci musi zakładać, że jego login i hasło, prędzej czy później, zostaną gdzieś ujawnione w wyniku włamania cyberprzestępcy. Dzieje się tak zazwyczaj z powodu niedbalstwa administratorów, którzy nie aktualizują zabezpieczeń baz danych. Historia udanych ataków hakerskich obejmuje wiele portali, nie wyłączając edukacyjnych (Edumodo, Canva …). Na forach hakerskich można kupić bazy danych zawierające setki milionów loginów i haseł powiązanych z mailami. Warto sprawdzić czy nasz adres email lub telefon nie widnieje w jednej z takich kolekcji. Nie musimy w tym celu wędrować po ciemnych zakamarkach Internetu. Wystarczy odwiedzić stronę haveibeenpwned.com.  Kto stoi za tym serwisem i czy można mu zaufać? Twórca HIBP, Troy Hunt, jest jednym z dyrektorów Microsoft i specjalistą w zakresie bezpieczeństwa stron internetowych.  „Stworzyłem HIBP jako darmowy zasób dla każdego, kto chce szybko ocenić, czy może być zagrożony z powodu włamania lub zawłaszczenia jego konta internetowego, w wyniku naruszenia bezpieczeństwa danych. Chciałem, aby był prosty w użyciu i całkowicie darmowy, aby mógł przynosić maksymalne korzyści społeczności.” (źródło: Troy Hunt haveibeenpwned.com/About)

Najgłośniejszy w Polsce „wyciek” jest związany z popularnym sklepem morele.net (2018). W tym incydencie ujawniono blisko 2,5 mln rekordów danych zawierających: imię, nazwisko, adres email, zaszyfrowane hasło i numer telefonu. Powyższe dane zostały użyte przez hakera do ataków na ich właścicieli. Cyberprzestępca wysyłał do klientów sklepu prośbę o dopłatę 1zł do przesyłki. Dołączony do wiadomości link przekierowywał do strony, która wyłudzała dane logowania do kont bankowych. O skali strat jakie musieli ponieść zaatakowani, może świadczyć hojność przestępcy, który rozdał ulubionym streamerom 50 tys zł. Wiele z haseł  klientów sklepu zostało odszyfrowanych. Jak to możliwe? Sklep używał przestarzałej metody szyfrowania haseł.  Ich ujawnienie było tym łatwiejsze, że wiele z nich nie spełniało wymogów, których powinniśmy przestrzegać tworząc bezpieczne hasła.

Jakich haseł nie używać?

W Polsce podobnie jak na świecie, najpopularniejsze hasła są zbudowane w oparciu o schemat użycia sąsiadujących na klawiaturze znaków, popularne imiona czy nazwy. 20 najczęściej używanych haseł z Polskich domen, które można znaleźć w hakerskich kolekcjach to (pisownia oryginalna) :

123456, qwerty, 12345,  123456789, zaq12wsx,  1234, 12345678, polska, 111111, misiek, monika,  marcin, Mateusz, agnieszka, 123qwe, 1234567890, 1qaz2wsx, 1234567, qwerty123, qwerty1.  

Skompromitowane hasła używane są do budowy słowników,  wykorzystywanych do włamań na konta metodą poprzez podstawianie. Algorytmy wykorzystywane przez programy do łamania haseł wykorzystują to, że zazwyczaj dodajemy cyfry i znaki specjalne na końcu. Tworzą wiele możliwych modyfikacji kolejnych słów ze słownika.  Złamanie hasła monika1 tą metodą, zajmie zaledwie kilka minut. Jeżeli użyjemy hasła 8 znakowego (zalecana do niedawna długość), z użyciem dużych, małych liter, cyfr i znaków specjalnych np. wxp2@jkQ,  jego złamanie zajmie kilka godzin. Wydłużenie hasła do 12 znaków np. wxp2@jkQSc#R  wydłuża czas potrzebny do jego złamania przy współczesnej mocy obliczeniowej komputerów do wielu tysięcy lat.  Takie hasło jest jednak trudne do zapamiętania.

Jak tworzyć bezpieczne i łatwe do zapamiętania hasła?

Kluczem do stworzenia mocnego hasła jest jego długość i łatwość zapamiętania. Najlepsza do tego celu jest fraza np. samobsługowyHotelDla5puchatychMisiakow. To hasło jest łatwe do zapamiętania i byłoby praktycznie nie do złamania, gdyby nie znalazło się w tej publikacji. Hakerskie słowniki bazują zazwyczaj na jednym języku. Zamiana jednego słowa we frazie na inny język poważnie utrudnia jego odszyfrowanie np. self-serviceHotelDla5puchatychMisiakow.  Tworząc hasło powinniśmy unikać popularnych fraz takich jak WlazłKotekNaPłotek.  Pomijamy słowa piosenek czy wierszy, ale możemy je uczynić bazą do stworzenia mocnego i łatwego do zapamiętania hasła.

Litwo! Ojczyzno moja! Ty jesteś jak zdrowie,
Ile cię trzeba cenić, ten tylko się dowie,

Kto nie zna tego fragmentu inwokacji Adama Mickiewicza na pamięć? Hasło stworzone z pierwszych liter i znaków interpunkcyjnych mogło by wyglądać tak:  L!Om!Tjjz,Ictc,ttsd, Nie zaszkodzi je jeszcze uzupełnić o kilka znaków specjalnych „|” i zamienić literę O na cyfrę 0. W efekcie powstanie trudne do złamania hasło: L!0m!|Tjjz|Ictc|ttsd| .

 Każda strona wymagająca logowania powinna mieć swoje niepowtarzalne hasło. Jak je wszystkie zapamiętać? Dla większości z nas to trudne. Zdecydowanie złym pomysłem jest notowanie haseł na karteczkach.

Jak przechowywać hasła?

Przeglądarki internetowe mają wbudowaną funkcję menadżera haseł. Dzięki niej,  umożliwiają zapamiętywanie loginów i haseł. Pamiętajmy aby zalogować się na konto w przeglądarce, ponieważ wtedy dane z menadżera będą przechowywane w chmurze i synchronizowane pomiędzy urządzeniami, na których się zalogujemy. Ryzykowne jest przechowywanie haseł jedynie lokalnie, bo niewiele osób dba o backup danych z dysku, a jego awarie są statystycznie jednymi z najczęstszych usterek komputerów. Menager haseł wbudowany w przeglądarkę to dobre rozwiązanie dla osób używających jednej przeglądarki.  Jednak wiele sytuacji sprawia, że używamy kilku przeglądarek do  różnych zadań.  
Najwygodniejszym, uniwersalnym i bezpiecznym rozwiązaniem jest korzystanie z  samodzielnego menedżera haseł. Jest wiele tego typu rozwiązań. Warto wybrać te oparte na otwartym kodzie, ponieważ umożliwiają niezależnym audytorom ocenę bezpieczeństwa programu. Na szkoleniach w ODN polecamy program Bitwarden. Po utworzeniu konta na stronie bitwarden.com (pamiętamy o zastosowaniu mocnego hasła ) otrzymujemy sejf online, w którym możemy bezpiecznie przechowywać dane logowania. Dane w sejfie będą zaszyfrowane nowoczesnymi metodami. Pełną funkcjonalność korzystania z menadżera, podczas korzystania z Internetu, otrzymujemy instalując bezpłatne  dodatki Bitwardena do przeglądarek. Dzięki nim możemy korzystać z tego samego sejfu z hasłami, we wszystkich  przeglądarkach, na wszystkich urządzeniach, w tym na smartfonach. Dodatek może automatycznie wypełniać danymi formularze logowania i pomagać w generowaniu bezpiecznych haseł. Dodatkowo, poprzez używanie menedżera do logowania się na stronach internetowych, wzmacniamy nasze bezpieczeństwo, bo mamy pewność, że nie wchodzimy na podszywającą się stronę, łudząco podobną do prawdziwej. Menadżer wypełni dane logowania tylko na stronie o prawidłowym, zapisanym w sejfie adresie.

Bezpłatna wersja Bitwardena, jest prawdopodobnie wystarczająco funkcjonalna dla większości. Odpłatna wersja Premium,  umożliwia dodatkowo uwierzytelnianie dwuskładnikowe dostępu do sejfu, 1GB szyfrowanej powierzchni i powiadomienia o ewentualnych wyciekach dotyczących naszych kont.

Warto podnieść poziom bezpieczeństwa logowania, poprzez włączenie weryfikacji dwuetapowej (two-factor authentication). Mamy wtedy dwie linie obrony, mocne hasło do konta i dodatkowo wymagane potwierdzenie w smartfonie lub za pomocą klucza sprzętowego. Niestety przestarzałe protokoły komunikacyjne, stosowane wciąż powszechnie przez dostawców usług telefonicznych, umożliwiają nie tylko podszywanie się pod inny numer telefonu (spoofing), ale również przechwycenie wiadomości tekstowych. Uwierzytelnianie za pomocą kodu wysłanego SMS, można zastąpić bezpłatną aplikacją do uwierzytelniania dwuetapowego np. Google Authenticator lub Microsoft Authenticator. W aplikacji generowany jest kod, który trzeba wprowadzić podczas logowania na stronie, z uruchomionym uwierzytelnianiem dwuetapowym.  Nawet podwójna weryfikacja za pomocą SMS jest lepsza niż jej całkowity brak. Używajmy uwierzytelnienia dwuskładnikowego wszędzie gdzie to jest możliwe (Google, Facebook).

Mam nadzieję, że zastosowanie powyższych rad  sprawi, że będziecie państwo  lepiej przygotowani na nieuchronne zderzenie z zagrożeniami związanymi próbami zhakowania waszych kont. Przekażcie koniecznie swoją wiedzę młodym internautom, bo ich powierzchowna biegłość w stosowaniu technologii często idzie w parze z niedbałym stosunkiem do zasad bezpieczeństwa w Internecie.

Zapraszam na szkolenia podnoszące wiedzę i umiejętności zakresie bezpieczeństwa w sieci, które prowadzimy w Ośrodku Doskonalenia Nauczycieli w Słupsku.

Życzę bezpiecznego Intenetu nie tylko w dniu święta DBI.

Marek Wróblewski

Przejdź do góry strony