Jak zabezpieczyć swoje konta i urządzenia w 2022 r.

Poradnik dla Ciebie, twoich rodziców, dzieci i bliskich.
Pamiętaj, że Twoje bezpieczeńtwo zależy w dużej mierze również od osób z twojego otoczenia.

Spis treści Hide
  1. Hasła
  2. Backup danych
  3. Komputer
  4. Konta internetowe
  5. Telefon
  6. Ty i ja jako najsłabsze ogniwo w łańcuchu bezpieczeństwa
  7. Podsumowanie i checklista

Całość została napisana wedle zasady: wykonajmy najprostsze kroki, które zwiększą naszą ochronę przed atakami stanowiącymi najwyższy odsetek. I w takiej kolejności zostały też opisane.

Jeśli dany krok Cię przerasta, trudno, najzwyczajniej pomiń go – zrób na początek te, które wydają Ci się najłatwiejsze. Każdy z nich doda wiele do ogólnego bezpieczeństwa.

Hasła

💡Hasła to pierwszy front. Jeśli do wszystkich kont używamy tego samego lub zbyt prostego hasła i loginu, w skrócie mamy przechlapane i działać należy szybko.

Większość stron z których korzystamy, w którymś momencie miała lub będzie miała wyciek danych – naszych danych, które są później sprzedawane lub upubliczniane. Co to dla nas znaczy? Wystarczy, że dane jednego z takich kont zostaną skradzione, a następnie przestępcy próbują logować się nimi do pozostałych znanych stron. Mogą wtedy takie konta najzwyczajniej nam zablokować, lub użyć w celu podszywania się i kolejnych wyłudzeń.

Druga sprawa to hasła łatwe. Podczas gdy żyjemy w błogim przekonaniu, że nikt nie wymyślił jeszcze naszego hasła w stylu 123456 lub dupadupa, a są to nawiasem mówiąc w Polsce jedne z częściej używanych haseł, to przestępcy od dawna dysponują listami tysięcy takich fraz lub wzorów na klawiaturze. W ciągu chwili są wypróbowywane na naszych kontach i nie potrzeba do tego żadnych wycieków danych.

Reasumując jeśli każde z kont będzie miało inne hasło – przestępca nie będzie w stanie użyć go do zalogowania się w pozostałych.

Lista kroków:

  1. Pierwsza zasada: każde konto/strona w ogóle posiada hasło. Twój komputer także nie powinien uruchamiać się automatycznie bez logowania. Tak samo telefon.
  2. Każde konto lub urządzenie ma inne hasło lub pin – bezwględnie.
  3. Przyzwoite hasło składa się z minimum kilkunastu znaków – a najlepiej z tylu ile pozwala dane pole. Obecnie najlepsza porada,to używanie generowanych losowo długich haseł z różnymi znakami, lub abstrakcyjnych zdań z cyframi żeby było nam łatwiej je zapamiętać np. KiedyśJadłemBudyńADzis3Jogobelle.
  4. Zapisuj hasła w zwyczajnym zeszycie, który będzie następnie ukryty – jest to najbezpieczniejsza metoda dla osób nietechnicznych – wyśmiewana, ale skuteczna. Ma natomiast jeden spory minus – za każdym razem potrzebujesz zeszytu, albo musisz spamiętać wszystkie hasła.
  5. Jeśli potrafisz spokojnie obsługiwać komputer, zamiast zeszytu użyj menadżera haseł. Pozwoli Ci on łatwo generować nowe hasła, zapisywać je i wypełniać automatycznie w formularzach z loginem i hasłem.
    Najprostszym i darmowym wyjściem jest użycie menadżera haseł z przeglądarki, której używasz. Obecnie w roku 2022, jest to poprawne rozwiązanie – pod warunkiem, że tylko ty masz dostęp do tego komputera. W przeciwnym wypadku trzeba użyć dodatkowego programu np. darmowy KeePass – wtedy hasła chronione są jednym głównym hasłem, które musisz zapamiętać.

Backup danych

💡Jeśli posiadasz wrażliwe dane czy dokumenty innych osób (np. z pracy), lub po prostu nie chcesz stracić swoich bezcennych zdjęć czy plików, wykonaj ich kopie zapasową (tzw. backup).

Dlaczego? – Najważniejszy aspekt to niespodziewana awaria sprzętu. Komputer może leżeć nieprzenoszony i kolejnego dnia okazać się niezdolnym do działania. W ciągu ostatnich 10 lat, mnie i mojej rodzinie w taki sposób uległy niespodziewanej awarii aż 3 dyski w różnego rodzaju urządzeniach (zarówno mac jak i windows).

Kolejna sprawa to złośliwe oprogramowanie – a dokładniej tzw. ransomware. Łatwiejsze (i częstsze) ataki to nie te, które dane kradną, a te, które je szyfrują hasłem na naszym dysku (blokują dla nas dostęp do nich). To hasło zna wtedy tylko przestępca i poprzez okup i szantaż może to hasło odda, a może nie.

Zamiast niewiadomo jak się chronić, uznajmy, że najzwyczajniej w świecie nie mamy szans przed takim atakiem. To co jednak możemy zrobić to posiadać kopie swoich danych w innych miejscach jak pendrive, czy dysk zewnętrzny. Wtedy co najwyżej stracimy dane, które powstały od momentu ostatniej kopii (dlatego polecam robić je w miarę regularnie). Kupujemy dysk, który pomieści nasze pliki i zapisujemy w kalendarzu co kilka dni zrobienie backupu. Pamiętajmy jedynie, aby podczas zgrywania nasze komputery nie były podłączone do internetu – możemy wtedy dodatkowo zniwelować szansę na to, że i nasz dysk zostanie zainfekowany.

Lista kroków:

  1. zbierz dokumenty/zdjęcia, których utrata będzie dla Ciebie najbardziej bolesna
  2. zgraj je na zewnętrzny dysk
  3. dyski, jak to fizyczne urządzenia, ulegają uszkodzeniom, dlatego jeśli nie chcesz stracić swoich danych np. w trakcie pożaru, zgraj je dodatkowo na chmurę (Google Drive, OneDrive) → najważniejsze jednak, aby przynajmniej te najwrażliwsze dane były spakowane i zabezpieczone hasłem. np. do szyfrowanego pliku .zip programem 7-Zip (Windows) lub Keka (macOS)). Bez tego kroku, jeśli ktoś niepowołany dostanie się na Twoje konto, będzie mógł je swobodnie oglądać.

Także pamiętajmy → jeśli posiadamy dane bardzo wrażliwe np. skany dowodów osobistych, dokumentów, aktów, umów, najlepiej skompresować je do paczki archiwum zabezpieczonej hasłem. A hasło , jak już mówiliśmy zapisujemy na kartce lub w menadżerze haseł. Wtedy nawet jeśli taki plik trafi w niepowołane ręce, złamanie długiego losowego hasła, uniemożliwi przestępcy dostęp do nich.

Komputer

💡Tak jak samochód należy serwisować aby nie rozklekotał się nam w trakcie jazdy, tak komputer musimy aktualizować aby nie sprawił nam kłopotów zarówno prywatnych (np. utrata zdjęć, dorobku w postaci stworzonych dokumentów) jak i cywilno-prawnych (np. utrata cudzych danych przechowywanych na naszym dysku z jakiegokolwiek powodu).

Lista kroków:

  1. Jakikolwiek system posiadasz – zawsze go aktualizuj. Nadrzędną funkcją aktualizacji, zaraz po dodawaniu nowych funkcji są usprawnienia w zabezpieczeniach; a te łamane są bezustannie. Najprościej włączyć opcję aktualizacji automatycznych – trochę są upierdliwe, ale lepsze to niż zostać okradzionym.
  2. Jeśli korzystasz z windowsa – użyj windows defender i / lub dowolny program antywirusowy – jakikolwiek darmowy wystarczy. Następnie jeśli z jakiegoś powodu Ci nie odpowiada, zmień go na jakikolwiek inny darmowy. Tylko i aż tyle. Zasada jest prosta – lepiej używać niż nie używać – ochroni przed tymi najbardziej oczywistymi atakami.
  3. Jeśli korzystasz z maca lub linuxa, to w zasadzie olej sprawę – antywirus wiele nie pomoże, a dodawanie dodatkowych zabezpieczeń nie stanowi tych 20% minimalnych kroków i 80% korzyści w bezpieczeństwie. Generalna zasada to unikać instalowania programów spoza oficjalnych sklepów – w tym przypadku App Store (sklepu z programami od apple) i nie klikać w podejrzane linki (tu akurat zasada dla wszystkich).

Konta internetowe

  1. Pierwszy krok już znamy → hasło, każde inne i długie.
  2. Dodatkowe potwierdzenie / uwierzytelnienie dwuskładnikowe lub wieloskładnikowe – nazywamy to 2FA (two factor authentication) lub MFA (multi factor authentication).
    W skrócie chodzi o to, że podczas logowania do serwisu oprócz wpisania loginu i hasła, musimy dodatkowo potwierdzić swoją tożsamość np. smsem. To nie chroni w pełni, ale odsiewa bardzo wysoki procent szans na łatwiejsze przejęcie twojego konta.
  3. Minimalny krok, to zabezpieczenie w ten sposób swojej poczty – to najbardziej wrażliwe miejsce, ponieważ dostęp do niej pozwala na resetowanie haseł w pozostałych miejscach.
  4. W każdym serwisie (np. Google, Facebook, Outlook etc.) jeśli istnieje opcja dodatkowego uwierzytelniania, włączmy ją w ustawieniach danej strony.

Telefon

  1. Używaj kodu PIN – przestępca niekoniecznie musi od razu zabierać twój telefon – wystarczy, że wyjmie kartę SIM i użyje niezabezpieczonej w dowolnym telefonie. I tutaj znów unikamy prostych pinów jak 1234 lub wzorków.
  2. Używaj blokady ekranu – najbezpieczniej hasła i to maskowanego – czyli takiego aby wpisywane znaki nie pojawiały się w trakcie wpisywania, co utrudnia osobie postronnej ich przeczytanie.
  3. Nie widzę sensu w stosowaniu aplikacji antywirusowych na telefon lub tablet. Z prostego względu – aplikacje mobilne z oficjalnych źródeł mają ograniczony dostęp do telefonu (o ile nie są wirusami, które łamią zabezpieczenia). Dzieje się tak właśnie ze względów bezpieczeństwa, co sprawia, że te aplikacje nie wykryją złośliwego oprogramowania. Bardziej podejrzewałbym iż nim będą lub spowolnią twój telefon. W najlepszym wypadku będą zestawem instrukcji jakie funkcje w telefonie można dodatkowo włączyć dla większego bezpieczeństwa.
  4. Telefon działa Ci wolno, albo podejrzewasz, że masz wirusa? Poświęć trochę swoje czasu i:
    • zrób kopię zapasową danych z telefonu
    • przywróć telefon do ustawień fabrycznych. To da Ci dużo więcej niż antywirus.

Ty i ja jako najsłabsze ogniwo w łańcuchu bezpieczeństwa

Zarówno na codzień jak i w pracy, to my jesteśmy najbardziej nieodporni na ataki i manipulacje.

  1. Nie-Klikanie w podejrzane linki
    • Zasadniczo klikanie w jakiekolwiek linki z maila czy wiadomości to już jest czerwona lampka (może poza resetowaniem hasła, bo to najczęściej wymaga od nas niestety takiego kroku) – taki link chociażby może mieć napisane co innego i prowadzić do zupełnie innego miejsca niż widać w tekście.
  2. Najnowsze wyłudzenia przybierają formę smsów – takie, które udają pilne sytuacje – np. niezapłacone rachunki, odbiór lub przekierowanie paczek i tym podobne, które tak na prawdę tylko podszywają się pod daną instytucję. Aby być na bieżąco z wiedzą, czy dana wiadomość jest takim atakiem warto czytać https://niebezpiecznik.pl/ lub śledzić ich social media. Bardzo często szybko informują o najnowszych technikach, których używają przestępcy.
  3. Weryfikowanie dezinformacji w mediach (aby nie powielać tych szkodliwych i nieprawdziwych). Tutaj odsyłam do zewnętrznych źródeł, bo temat nie jest niestety ani prosty ani oczywisty, trzeba się tego nauczyć.
  4. Jeśli prośba osoby po drugiej stronie konwersacji (np. na WhatsApp czy Facebook) dotyczy pobrania czegoś, lub przelania takiej osobie pieniędzy – najbezpieczniej zadzwonić do niej i zapytać krótko czy to na pewno ta osoba nas o to prosi. Po prostu ktoś mógł przejąć konto i podszywać się pod tę osobę.
  5. Gdy ktoś dzwoni do Ciebie i chce weryfikować twoje dane – odmów. To ty zadzwoń na oficjalne numery telefonu danej instytucji. Podszycie się pod czyjś numer telefonu, nawet ten z listy kontaktów to obecnie niestety nie tak trudna rzecz.

Podsumowanie i checklista

  • hasła – każde inne, długie, zapisywane w menadżerze haseł lub schowanym zeszycie
    • zacznij od najważniejszych kont, które mają dużo informacji na Twój temat, na przykład:
      • email
      • internetowe konto w banku
      • facebook
  • backup cennych danych na fizycznym nośniku (np. pendrive)
  • dodatkowy backup cennych danych w chmurze (w zależności od ilości danych, będziemy pewnie potrzebować płatnych rozwiązań np. google drive, iCloud)
    • opcjonalnie zabezpieczenie hasłem pliku z naszymi danymi (np. .zip programem 7-Zip (Windows) lub Keka (macOS)) przed wysłaniem ich na serwery
  • dodatkowa warstwa zabezpieczeń w mailu i kontach (np. potwierdzenia sms)
  • instalacja darmowego oprogramowania antywirusowego (tylko na komputerach – tylko Windows)
  • aktualizacja systemu oraz używanych programów (komputer i telefon)
  • włącz pin dla karty sim
  • hasło maskowane do telefonu lub biometria (odcisk palca)

Ten tekst ma sprawić, że odsiejemy część najczęstszych i najbardziej rażących braków w zabezpieczeniach. Nie staniemy się natomiast ekspertami bezpieczeństwa z mocniejszymi zabezpieczeniami typu FIDO, VPN itp. – są to tematy, które powinny zostać zgłębiane dopiero w następnej kolejności i specjalnie nie zostały tu przedstawiane. Wszystkie zamieszczone tutaj informacje to wyłącznie opis działań, które osobiście wdrażam dla poprawy bezpieczeństwa – żadne z nich nie zagwarantują 100% ochrony przed atakami, ale mogą się przyczynić do jego znacznego poprawienia.

© 2024 by Krzysztof Marczewski