W tych polskich serwisach lepiej nie podawaj hasła
Zdarzyło ci się kiedyś zapomnieć hasła? W tych serwisach lepiej go sobie nie przypominać!
Na stronie zaufanatrzeciastrona.pl autorzy publikują listę polskich serwisów internetowych, które wysyłają swoim użytkownikom hasła mailem. W tej chwili znajdziemy tam 15 serwisów, ale sami autorzy sugerują, że czekają na zgłoszenia kolejnych. Do witryn wymienionych obecnie należą m.in.: intercity.pl, pizzadominium.pl, wiadomości24.pl, ticketpro.pl czy epuls.pl.
O co tyle szumu?
Każdemu może zdarzyć się zapomnieć hasła do konta w serwisie internetowym. Dla zapominalskich istnieje zazwyczaj opcja "Przypomnij hasło" lub podobna - wystarczy jedno kliknięcie, by uruchomić mechanizm, który pozwoli zalogować się na konto. Zazwyczaj realizuje się to przez zadanie użytkownikowi kilku wybranych podczas rejestracji pytań, które pozwolą potwierdzić jego tożsamość np. "Jaka jest twoja ulubiona książka?" lub "Jak miała na imię twoja pierwsza miłość?" itp. Inną metodą jest wysłanie do "zapominalskiego" wiadomości na podany przy rejestracji adres e-mail, która zawiera wygenerowane przez system hasło jednorazowe - po zalogowaniu za jego pomocą będziemy zmuszeni ustawić nowe hasło do serwisu. Można również stosować połączenie obu metod przypominania hasła lub, tak jak wymieniane na zaufanatrzeciastrona.pl serwisy, wysyłać zapomniane hasło mailem.
Laikowi może się wydawać, że problem jest błahy i zupełnie niegroźny, w rzeczywistości jednak jest to spory błąd i to z kilku powodów. Największe zagrożenie związane jest z naszym lenistwem i zupełnie naturalnym dążeniem do upraszczania sobie życia. W czasach kiedy każdy z nas ma konto na wielu portalach, zazwyczaj logujemy się do nich wszystkich tym samym hasłem. Co więcej, to samo hasło stosujemy również w poczcie internetowej, na stronach banków czy w Allegro. W momencie, gdy jakaś strona wysyła nam hasło jawnym tekstem, wystarczy, że potencjalny złodziej podejrzy je na naszym monitorze albo po prostu przejrzy pocztę, gdy zapomnimy się z niej wylogować (co dzieje się nader często).
Drugim problemem, na który wskazują eksperci jest fakt, że wysyłanie hasła jawnym tekstem może z dużym prawdopodobieństwem wskazywać na fakt, że w takiej samej, niezaszyfrowanej formie, jest ono przechowywane na serwerze. W tej sytuacji wystarczy, że przestępcy ukradną bazę danych, a uzyskają dostęp do naszego hasła bez najmniejszego wysiłku. Ofiarami takich ataków padły już tak znane firmy jak choćby Allegro.pl czy gadu-gadu.pl. Zawsze istnieje oczywiście możliwość, że firma przechowuje nasze hasła w formie zaszyfrowanej, a jawnym tekstem wysyłane są tylko w momencie, gdy o to poprosimy. Jednak również to rozwiązanie nie jest zbyt bezpieczne. Zazwyczaj oznacza ono, że klucz używany do szyfrowania haseł użytkowników przechowywany jest razem z nimi. W przypadku kradzieży bazy, będzie to stanowić niewiele większą przeszkodę dla przestępców niż podanie im danych na tacy, bez szyfrowania. Generalnie, jeśli serwis może nam wysłać nasze hasło, cyberprzestępca, który zdobędzie bazę danych, może je poznać.
Co można zrobić by być bezpiecznym?
Możemy oczywiście nie korzystać z serwisów, które nie potrafią zadbać o bezpieczeństwo naszych danych, a przynajmniej nie dokładają wszelkich starań, by nie dało się ich wykraść. Jest to jednak równoznaczne z pozbawieniem się możliwości korzystania z usług niektórych firm. Skuteczniejsze może być posiadanie kilku haseł do różnych rodzajów usług - zależnie od tego, jak duże niebezpieczeństwo wiązałoby się z utratą takiego hasła. Całkowitym minimum jest posiadanie trudnego do złamania hasła, którym logujemy się na stronach banku. Warto również zadbać o bezpieczeństwo kont pocztowych i w portalach społecznościowych – nie ma nic gorszego niż żartowniś, który zacznie wysyłać obelżywe wiadomości do naszych znajomych i współpracowników. Jak stworzyć mocne hasło pisaliśmy już kilkukrotnie, ale najprostszą metodą będzie zapewne skorzystanie z serwisu fabrykahasel.pl, który pomoże stworzyć łatwo do zapamiętania i bezpieczne hasło.
Na koniec pozostaje tylko wysłać maila do firmy, która wysyła hasła w formie jawnej z prośbą o zmianę polityki bezpieczeństwa użytkowników - być może jeśli dostatecznie dużo użytkowników tak uczyni, właściciele serwisu wreszcie zareagują. Jeśli nasze apele nic nie dadzą, pozostanie tylko czekać na wykradzenie całej bazy danych - praktyka pokazuje, że po takich wpadkach firmy reagują błyskawicznym wdrażaniem zmian.
Źródło: niebezpiecznik.pl / zaufanatrzeciastrona.pl
_ GB/SW/GB _