Hasła to, obok numerów kart kredytowych, najbardziej łakome kąski dla hakerów i cyberprzestępców. Pozwalają one na dostęp do innych wrażliwych danych takich jak adres, nr konta w PayPalu czy telefon. W jaki sposób czarne charaktery wchodzą w posiadanie naszych kodów?
Pierwsza metoda to tzw. password recycling. Zasada działania jest prosta: hasła najpierw są hurtowo wykradane z określonego serwisu (np. Dropboksa). Następnie w sieci pojawia się dokument zawierający listę kodów oraz nazw użytkowników.
Inni hakerzy pobierają taką listę i próbują ją we własnym zakresie wykorzystać. Najczęściej szukają po prostu w innych wirtynach (np. na Facebooku czy w Gmailu) takich samych nazw użytkownika (internauci często je powielają), a następnie sprawdzają, czy powiązane hasła działają.
Druga metoda to Wi-Fi sniffing, czyli podsłuchiwanie ruchu w niezabezpieczonych domowych oraz publicznych sieciach Wi-Fi. Jest to bardzo łatwy w zastosowaniu sposób - wystarczy, że haker zainstaluje w urządzeniu program do przechwytywania pakietów danych.
W celu ochrony haseł należy zawsze korzystać z zabezpieczonych hotspotów, używać wirtualnej sieci prywatnej (VPN-a), albo po prostu nie korzystać z serwisów wymagających logowania będąc na publicznym Wi-Fi.
Trzecia furtka to pytania zabezpieczające czy przypominające. Cyberprzestępca próbuje zalogować się na nasze konto w danym serwisie (znając już login). Aktywuje opcję przypominania hasła i korzysta z pytania. Mając dostęp do informacji np. z Facebooka może łatwo odgadnąć odpowiedź.
Czwarty sposób to ataki słownikowe. Działają one tam, gdzie nie ma automatycznej blokady konta po kilkukrotnym podaniu błędnego hasła. Haker uruchamia wtedy skrypt, który atakuje stronę logowania tysiącami kombinacji na sekundę. Zaczyna od najpopularniejszych słów.
Dlatego warto mieć długie i skomplikowane hasło. Kod w rodzaju 12345 da się złamać w kilka sekund, 845kft wytrzyma może kilka godzin, a jdkrk74jf*&jfy5 zajmie skryptowi nawet kilkanaście lat.
Piąty sposób to infekowanie komputerów złośliwym oprogramowaniem. Najskuteczniejsze w wyławianiu kodów są keyloggery, czyli aplikacje zapisujące uderzenia w klawisze. Z keyloggerami walczą chociażby e-banki, które wymagają od użytkowników podawania jedynie wybranych znaków z haseł.