Michał Rosiak 
Żyjemy w czasach, gdy rozmawiając o tym, czy moje wrażliwe informacje mogą trafić w niepowołane ręce, powinniśmy raczej pytać: "kiedy", a nie "czy". W takim razie rozważaliście, co zrobić, gdy tak się stanie? Macie awaryjny scenariusz działania na okoliczność, gdy powiecie: "wyciekły moje dane"? No to już macie.
"Moje hasło wpadło w ręce wroga!". Dobra, z tym wrogiem to trochę dramatyzuję, ale wiecie o co chodzi. Jakiś czas temu rozważaliśmy z kolegami z CERT Orange Polska potencjalne konsekwencje trafienia bazy jakiegoś dostawcy z naszymi danymi w ręce oszusta. I wiecie co? To, że do złych ludzi trafi zahashowane hasło, to wcale nie największy problem.
Hasło w rękach przestępcy
Co zły człowiek może zrobić z moim hasłem? A w zasadzie z jego hashem, bo w dzisiejszych czasach serwisy nie trzymają już haseł w otwartym tekście a ewentualne wyjątki potwierdzają regułę. Co to jest ten hash? To wpisane przez Was hasło przepuszczone wielokrotnie przez tzw. algorytmy hashujące. To czynność nieodwracalna, dlatego, gdy logujemy się do serwisu, ten ponawia cykl hashowania, by na koniec porównać efekt z tym, co ma zapisane w bazie. Dlatego fakt, iż wyciekło hasło po pierwsze oznacza, że wyciekł hash, po drugie nie musi oznaczać, że przestępca je złamie. Jeśli wyciekły moje dane, ale hasło jest długie, mocne i niepowtarzalne - pozostanie moją tajemnicą. A jak stworzyć hasło długie, mocne i niepowtarzalne? Zerknijcie w przygotowany przez CERT Orange Polska poradnik.
Utrata jakich danych jest bardziej niebezpieczna, niż hasła? Adres pocztowy. Numer telefonu. Trasy moich aktywności fizycznych, które często zaczynają się i kończą w miejscu zamieszkania. Dane medyczne. Informacje, dotyczące moich finansów, czy rodziny. Intymne zdjęcia. Sami przyznacie, jest tego sporo.
Jak zapobiec temu, by wyciekły moje dane
Nie da się tego zrobić. W momencie podania naszych danych w serwisie zewnętrznym nie mamy nad nimi kontroli. Ale można ograniczyć potencjalne ryzyko i do tego Was namawiam.
Jak?
- Hasło. Mocne i niepowtarzalne. Takie, które łatwo zapamiętasz, ale nikt inny na nie nie wpadnie. Imię dziecka, partnera/ki, kota/psa - odpadają.
- Nie zapamiętasz wszystkich haseł? Używaj menedżera haseł. Wtedy musisz zapamiętać jedno. Choć akurat hasło do banku, maila, czy konta służbowego warto trzymać po prostu w głowie.
- Uruchom uwierzytelnianie dwuskładnikowe wszędzie, gdzie się da.
- Jeśli już coś wyciekło, patrz na konsekwencje wielowymiarowo. Jeśli trafi do Ciebie informacja, że w ręce oszustów trafiły dane ze sklepu X, trzeba być wyczulonym na maile, sugerujące np., że musimy dopłacić do wysyłki, czy np. gdzieś utknęła nasza paczka.
A co robić, gdy wyciekły moje dane i mleko już się wylało?
Przygotowaliśmy na taką okoliczność zwięzły i konkretny poradnik. Znajdziesz go tutaj, a także na dole głównej strony https://cert.orange.pl, w rubryce "Poradniki". Warto zapamiętać to miejsce i obyście nigdy nie musieli z niego korzystać.