Przestrzeń internetowa z roku na rok rodzi coraz więcej zagrożeń dla użytkowników, przez co kwestia bezpieczeństwa w sieci okazuje się dziś wręcz priorytetowa. Strony internetowe niemal każdego dnia padają ofiarą niechcianych ataków hakerskich, które trudno w pełni wyeliminować, jednak stosując dobre praktyki, można znacząco zredukować to ryzyko. Sprawdź, jak wzmocnić bezpieczeństwo strony i skutecznie zadbać o swoje dane w Internecie.
Sprawdzaj domenę strony, zanim zostawisz na niej swoje dane
Wielu użytkowników Internetu ogranicza swoją czujność względem strony internetowej jedynie do pobieżnego sprawdzenia, czy serwis, który odwiedzają, posiada charakterystyczną, szarą lub zieloną kłódkę w pasku adresowym.
Gros internautów nadal ulega bowiem błędnemu przekonaniu, że jeśli strony mają kłódki, oznacza to jednocześnie, że są w pełni bezpieczne. W rzeczywistości okazuje się jednak, że nie stanowią one gwarancji stuprocentowej ochrony przed niepożądanym wyciekiem danych lub ich kradzieżą.
Świadczą o tym m.in. statystyki opublikowane przez organizację APWG (Anti-Phishing Working Group), z których jednoznacznie wynika, że w samym 2021 roku ponad 80% złośliwych serwisów posiadało kłódkę, mylnie sugerującą, że są to bezpieczne witryny. Dodatkowo strony te miały również protokoły szyfrowania https, które w większości przypadków okazywały się darmowymi certyfikatami DV (Domain Validated), zapewniającymi najsłabszą formę walidacji certyfikatu i niewymagającymi uwierzytelniania użytkownika.
Źródło: dane z raportu APWG
Przeciętny użytkownik Internetu słusznie może się teraz zastanawiać, czemu właściwie służą owe kłódki. Mechanizm ten oznacza przede wszystkim to, że ruch do danej strony jest szyfrowany, jednak mimo wszystko okazuje się on istotny, ponieważ zabezpiecza przed dwoma głównymi problemami związanymi z bezpieczeństwem. Po pierwsze, widząc kłódkę przy adresie URL strony, mamy pewność, że łączymy się z witryną, która znajduje się w pasku adresu i nie doszło do przechwycenia połączenia przez niepożądaną stronę trzecią. Po drugie zaś – kłódka stanowi gwarancję tego, że nikt nie podsłucha naszej komunikacji z odwiedzanym serwisem.
Przed sprawdzeniem, czy odwiedzana strona posiada kłódkę, najrozsądniejszym postępowaniem jest zatem uprzednie zweryfikowanie jej domeny, czyli podświetlanej przez przeglądarkę części adresu strony w pasku adresowym. Domena okazuje się bowiem często znacznie ważniejsza. Dlaczego?
Duża część ataków phishingowych, o których można usłyszeć często nawet w odniesieniu do dużych firm i rozbudowanych platform internetowych, opiera się na nieprawidłowościach w nazwie domeny. Niekiedy są one stosunkowo łatwe do zauważenia i uważne przeczytanie nazwy może uchronić użytkownika przed niemiłymi konsekwencjami pochopnego działania. Innym razem nieprawidłowości bazują na łudząco podobnych wersjach domeny, wykorzystując do tego trudne do wychwycenia gołym okiem homografy. Ochroną przed atakiem homograficznym może być korzystanie z managera haseł, o którym opowiemy w dalszej części tekstu, jednak ogólna rada dla wszystkich internautów powinna brzmieć:
Przed wpisaniem hasła lub wprowadzeniem swoich danych osobowych na jakiejkolwiek stronie, najpierw sprawdź jej domenę, zwracając uwagę na wszelkie błędy w pisowni czy inne nieprawidłowości w linkach. Dopiero po zweryfikowaniu poprawności domeny upewnij się, że po lewej stronie paska adresowego znajduje się kłódka, którą współcześnie powinna mieć każda strona internetowa.
Twórz unikalne hasła
Jednym z największych przewinień internautów okazuje się tworzenie jednego hasła do wszystkich kont i platform lub posługiwanie się zbyt prostym hasłem, często ściśle powiązanym z nazwą serwisu. Praktyką niezbyt odporną na niepożądane ataki jest również tworzenie jednego silnego hasła i generowanie na jego podstawie kolejnych do pozostałych serwisów. Takie działanie sprawia bowiem, że wyciek jednego hasła może skutkować ujawnieniem pewnego wzoru ich tworzenia i przejęciem w rezultacie wszystkich passwordów użytkownika. Wobec tego najskuteczniejszą metodą ochrony jest bez wątpienia posługiwanie się unikalnymi hasłami, czyli różnymi dla każdej platformy, na której mamy konto.
Manager haseł
Posiadanie osobnego hasła do różnych platform może wydawać się dość karkołomnym zadaniem, dlatego warto korzystać z managera haseł. Jest to pomocne narzędzie bezpiecznie przechowujące hasła, które wpisuje je w panel logowania do danego serwisu na żądanie użytkownika. Wszystkie hasła są unikalne, przechowywane w szyfrowanej bazie i automatycznie wprowadzane na poszczególnych stronach internetowych. Manager haseł dostępny jest zarówno w formie osobnej aplikacji, jak i modułu wbudowanego w przeglądarkę internetową. Polecanym, darmowym narzędziem tego typu jest np. Keepass dedykowany na systemy Windows, Linux, jak i Mac.
Weryfikacja dwuskładnikowa
Kolejną istotną kwestią związaną z ochroną haseł jest uruchomienie uwierzytelniania dwuskładnikowego (2FA) w każdej usłudze, która je obsługuje. Weryfikacja dwuskładnikowa zapewnia bowiem znacznie lepszą ochronę danych osobowych użytkownika, ponieważ w celu zweryfikowania swojej tożsamości i uzyskania pełnego dostępu do swojego konta muszą oni podać dwa różne czynniki uwierzytelniające. Konieczność potwierdzenia chęci uzyskania dostępu do konta pozwala więc na dodatkową kontrolę nad kontem i szybkie identyfikowanie wszelkich nieautoryzowanych prób logowania.
Można spotkać kilka typów 2FA, np. metody biometryczne takie jak skan odcisku palca lub twarzy czy rozpoznawanie głosu. Większość nowoczesnych smartfonów bazuje właśnie na funkcji rozpoznawania twarzy lub czytnikach linii papilarnych, które zapewniają większe bezpieczeństwo niż znane dotychczas hasła czy osobiste numery identyfikacyjne PIN (właśnie dlatego, że wielu użytkowników wciąż używa wszędzie jednego hasła).
Dobrą praktyką jest uruchomienie uwierzytelniania dwuskładnikowego na wszystkich posiadanych kontach internetowych, komputerach oraz urządzeniach mobilnych.
Wykonuj aktualizacje
Regularne wykonywanie dostępnych aktualizacji oprogramowania to również coś, o co powinien zadbać każdy użytkownik Internetu. Kluczowym zadaniem aktualizacji jest bowiem – obok rozbudowywania aplikacji o nowe komponenty – likwidowanie występujących bugów, błędów i luk w systemie, które mogą stanowić potencjalne zagrożenie. Za reprezentatywny przykład może posłużyć niedawno wydana przez Mozillę aktualizacja do przeglądarki Firefox, której celem było zlikwidowanie dwóch luk w zabezpieczeniach.
Warto pamiętać, że przestarzała wersja oprogramowania jest o wiele bardziej podatna na ataki, a brak aktualizacji znacząco ułatwia przejęcie witryny przez osoby nieuprawnione i może powodować liczne problemy z bezpieczeństwem witryny. Dlatego widząc propozycję przeprowadzenia aktualizacji, lepiej nie odkładać tego na później, ale działać tak szybko, jak to możliwe. Dotyczy to wszystkiem elementów CMS-a, oprogramowania serwerowego, jak i wszelkich wtyczek czy rozszerzeń.
Sprawdź certyfikat SSL
Aby wstępnie zweryfikować, czy dana witryna jest bezpieczna, warto zwrócić uwagę na to, czy posiada ona certyfikat SSL, który zapewnia poufność transmisji przesyłanych danych. Protokół SSL jest istotny, ponieważ w przypadku stron internetowych, które z niego nie korzystają, formularze i inne informacje są przesyłane do serwera otwartym tekstem, co sprawia, że relatywnie łatwo je przechwycić (zwłaszcza w sieci lokalnej). Jeśli natomiast witryna ma zaimplementowany SSL do komunikacji z przeglądarką, wówczas informacja przesyłana jest między serwerem a przeglądarką internetową w sposób zaszyfrowany.
Jak przeciętny użytkownik Internetu może szybko sprawdzić, czy odwiedzana strona jest bezpieczna? W tym celu warto podczas połączenia z wywoływaną stroną www sprawdzić, czy w jej adresie znajduje się przedrostek https://, np.:
Jak widać, jeśli strona posiada certyfikat SSL, w przeglądarce powinna pojawić się dodatkowo informacja o tym, że przeglądana strona internetowa jest wiarygodna i bezpieczna.
Bezpieczeństwo strony www a SEO
Warto zaznaczyć, że wszelkie luki w bezpieczeństwie, wystawianie witryny na potencjalne zagrożenie czy odnotowane ataki hakerskie w przeszłości jednocześnie zmniejszają wiarygodność serwisu, co przekłada się na słabnące zaufanie użytkowników do odwiedzania go. To może z kolei skutkować wyłączeniem takiej strony z indeksu Google i w konsekwencji brakiem widoczności w organicznych wynikach wyszukiwania oraz ruchu w serwisie. Poziom bezpieczeństwa strony internetowej ma bowiem znaczący wpływ na efekty pozycjonowania od momentu, gdy certyfikat SSL dołączył do listy ponad 200 czynników rankingowych SEO.
Jak zwykły użytkownik może podnieść swoje bezpieczeństwo w sieci?
W kwestii bezpieczeństwa w Internecie bezsprzecznie najważniejszy okazuje się zdrowy rozsądek i świadomość możliwych zagrożeń. Aby dodatkowo uchronić się przed niepożądanym atakiem hakerskim i wyciekiem danych, które mogą mieć daleko idące skutki, warto pamiętać o kilku podstawowych i zarazem kluczowych zasadach, jakich powinien przestrzegać każdy internauta chcący realnie podnieść stopień swego bezpieczeństwa w sieci:
- posługiwać się unikalnymi hasłami i korzystać z managera haseł;
- regularnie wgrywać dostępne aktualizacje;
- robić kopie bezpieczeństwa danych, które stanowią ochronę przed atakami szyfrowania plików;
- zablokować funkcję premium SMS (WAP Billing);
- płacić kartą w Internecie (ze względu na dogodną dla konsumenta procedurę chargeback);
- używać bezpiecznej skrzynki pocztowej;
- dokładnie weryfikować domenę (zanim klikniesz link – upewnij się, że wiesz, dokąd Cię przeniesie).
Karolina Lipińska
Content Marketing Specialist
W Strategiczni.pl zajmuje się pisaniem rozmaitych treści – z takim samym zaangażowaniem stworzy wyczerpujący wpis o tematyce IT, jak i krótki i przyjemny tekst lifestylowy. Z wykształcenia polonistka, która swoimi wyborami chce udowodnić, że polonistyka nie produkuje wyłącznie nauczycieli. Z czasów studiów pozostało jej jednak zamiłowanie do gramatyki historycznej (słusznie zwanej w kuluarach histeryczną) i wszelkiej maści książek – z zapartym tchem przeczyta nawet zapomnianą Placówkę Prusa. Lubi dobrą kuchnię, ma słabość do czekolady i wciąż wydaje horrendalne sumy na rower miejski.
Autor
Komentarze (0)