Dlaczego warto o to zadbać?
Strona internetowa jest dziś jednym z głównych punktów kontaktu z klientem, użytkownikiem czy partnerem biznesowym. To właśnie tam nierzadko przekazywane są dane osobowe, informacje kontaktowe, dane logowania, a często również dane płatnicze. Brak odpowiednich zabezpieczeń może prowadzić do poważnych konsekwencji — zarówno technicznych, finansowych, jak i wizerunkowych. Wśród nich jest np. utrata dostępów i danych, ransomware, wykorzystywanie witryny do produkcji i rozsyłania spamu, a także zablokowanie domeny.
Tylko w kwietniu 2024 r. zanotowano ponad 5,3 miliarda naruszonych rekordów danych. Na skutek tego nawet 60% małych firm upada w ciągu 6 miesięcy. W 2025 r. CERT Polska odnotował ponad 600 tys. zgłoszonych incydentów bezpieczeństwa. Co ciekawe w 2024 r. było ich znacznie mniej.
| theprotocol.it Gdybyśmy mieli stworzyć listę must have rzeczy, na które powinna zwrócić uwagę każda firma, która ma swoją stronę WWW, aby się trochę uchronić - co byś w niej umieścił?
Kamil Porembiński Strona stronie nierówna… i to jest ten problem. Ciężko więc konkretnie wskazać co zrobić. Tak jak nie da się jednoznacznie powiedzieć, jak należy sprzedawać mieszkanie. No bo jakie mieszkanie? Komunalne, spółdzielcze, dom, z dostępem do gazu, czy nie? Jaki metraż? Takie pytanie często zadają mi osoby mało techniczne, które myślą, że wszystko da się załatwić poprzez wtyczkę.
theprotocol.it A są jakieś takie punkty, które się niemal zawsze powielają? Czy absolutnie wszystko podlega słynnemu “to zależy”?
Kamil Porembiński Zrobiłem aplikację, nazywa się zabezpieczsie.pl. Według niej, aby się zabezpieczyć musisz zrealizować 257 punktów. To jest prosta apka - wchodzisz sobie i zaznaczasz, co zrobiłeś. “Używaj silnego hasła” - zrobiłem. “Stosuj wszędzie różne hasła” - zrobiłem. Zobacz, ile jest porad. Jest naprawdę dużo rzeczy do zrobienia.
|
#1 Uwierzytelnianie
| Kamil Porembiński Zdecydowana większość naruszeń bezpieczeństwa wynika po prostu ze zbyt słabych haseł — i to jest coś, o czym wciąż za mało się mówi. Dlatego zawsze podkreślam, jak ważne jest używanie długich, silnych i unikalnych haseł do każdego serwisu, a następnie zarządzanie nimi za pomocą sprawdzonego menedżera haseł. Równie istotne jest włączenie uwierzytelniania dwuskładnikowego — dodatkowa warstwa zabezpieczenia często decyduje o tym, czy atak zakończy się powodzeniem. I wreszcie coś, co wydaje się oczywiste, ale w praktyce bywa pomijane: ostrożność przy logowaniu i zwykłe, zdroworozsądkowe, krytyczne myślenie. |
Podstawowym filarem bezpieczeństwa strony WWW oraz systemu kont użytkowników jest właściwie zaprojektowane i konsekwentnie stosowane uwierzytelnianie. W praktyce zdecydowana większość naruszeń danych wynika nie z zaawansowanych ataków, lecz z prostych do przewidzenia, słabych haseł. Hasła oparte na pojedynczych słowach ze słownika, imionach, nazwach miejsc czy prostych sekwencjach znaków mogą zostać stosunkowo łatwo złamane — m.in. przy użyciu ataków słownikowych lub metodą brute force. Dlatego kluczowe jest stosowanie długich, unikalnych haseł dla każdego serwisu oraz zarządzanie nimi za pomocą dedykowanego menedżera haseł, tj. Bitwarden, który pozwala bezpiecznie generować i przechowywać złożone kombinacje znaków.
Równie istotne jest nie współdzielenie haseł oraz włączenie uwierzytelniania dwuskładnikowego (2FA/MFA). Dodanie drugiego elementu weryfikacji — np. jednorazowego kodu z aplikacji mobilnej — znacząco podnosi poziom ochrony, nawet w sytuacji, gdy hasło zostanie przechwycone. Dobrą praktyką jest także bezpieczne przechowywanie kodów zapasowych, stosowanie unikalnych nazw użytkowników oraz unikanie logowania się do paneli administracyjnych i kont na urządzeniach publicznych lub współdzielonych.
Dodatkowo, aby jeszcze lepiej wzmocnić swoje bezpieczeństwo, warto:
- włączyć powiadomienia o wyciekach, np. za pomocą Firefox Monitor;
- aktualizować ważne hasła, aby zawsze były długie, silne i unikalne;
- nie zapisywać haseł w przeglądarce;
- unikać logowania na urządzeniach, które do nas nie należą;
- unikać podpowiedzi dotyczących haseł;
- nie odpowiadać zgodnie z prawdą na pytania dot. bezpieczeństwa online;
- uważać na keyloggery;
- unikać odblokowywania twarzą.

