Uważaj na strony, które oferują sprawdzenie hasła

Fundacja Bezpieczna Cyberprzestrzeń

Po szeroko nagłośnionych włamaniach lub naruszeniach danych, możesz natknąć się na witrynę typu „password check” sprawdzającą hasła, które mogły być przejęte przez przestępców. Niektóre z nich rzeczywiście działają. Takie zazwyczaj proszą tylko o adres email i wtedy dokonują sprawdzenia, często w wielu dostępnych repozytoriach danych zawierających informacje o przejętych hasłach do kont pocztowych i innych serwisów.

Ale są też niestety serwisy fałszywe, które również proszą o podanie danych do logowania, ale de facto są często tylko serwisami podszywającymi się pod inne strony tego typu. Bywa też, że dane te mają być wykorzystane do sprawdzenia czy podane hasło jest odpowiednio silne.

Opis przypomina phishing?  I to jest dobre skojarzenie.

Dlatego jako punkt wyjściowy warto zastosować zasadę ograniczonego zaufania i traktować wszystkie serwisy tego typu jako oszustwa. Dopiero dokładna weryfikacja powinna być związana z zielonym światłem na sprawdzenie naszego statusu bezpieczeństwa.

Przykładem serwisu, który dobrze wyjaśnia, że należy uważać na oszukańcze strony jest ten, który powstał w następstwie niedawnego włamania do sieci społecznościowej Twitter. Chodzi o serwis o nazwie ismytwitterpasswordsecure(dot)com. Strona została stworzona przez Alastaira Coote i wygląda dość prosto:

Na stronie jesteśmy proszeni o wpisanie nazwy użytkownika i hasła do serwisu Twitter, w celu sprawdzenia czy korzysta się z dostatecznie dobrego hasła. Zawiera również „funkcję” zapamiętania użytkownika i zapomnienia podanego przez niego hasła, co jest dość dobrym żartem autora strony.

W każdym bądź razie próba wpisywania nazwy użytkownika lub hasła kończy się „wściekłym” komunikatem o następującej treści: NIE BĄDŹ IDIOTĄ! Autor dość brutalnie wyjaśnia, że jeśli nie jesteś w autentycznym serwisie Twittera, Facebooka czy LinkedIna to po prostu nie podawaj swoich danych do logowania.

Na koniec warto sobie samemu zadać pytanie i szczerze na nie odpowiedzieć. Czy gdybym sam natknął się na taką stronę, to skorzystałbym z oferowanej „usługi”?

 

Źródło: http://nakedsecurity.sophos.com

Share Button