Bezpieczeństwo

Utwórz silne hasło do swojego konta

Silne hasło jest szczególnie ważne, jeśli używasz adresu e-mail firmy Microsoft lub Google. Wiele usług wykorzystuje adres e-mail jako wehikuł resetowania haseł, dlatego przejęcie jednego konta może prowadzić do przejęcia innych usług, takich jak bankowość, zakupy online czy media społecznościowe.

• spraw, aby nowe hasło znacząco różniło się od poprzednich,
• stosuj długie hasła lub frazy (minimum 12 znaków) – najlepiej abstrakcyjne zdania które jednocześnie są łatwe do zapamiętania,
• unikaj łatwych skojarzeń i informacji dostępnych w internecie — np. imion, dat urodzenia, ulubionych zespołów, prostych wzorców, numeru PESEL itp.,
• stosuj unikalne hasło do każdej usługi – zmiana paru znaków nie jest wystarczającym zabezpieczeniem; w przypadku wycieku przestępcy mogą wykorzystać metodę burte-force ze zmianą pojedynczych znaków licząc na wygodnictwo Użytkownika
• korzystaj z menedżera haseł, np. Bitwarden, KeePass Password Safe lub 1Password — ułatwia to zarządzanie dużą liczbą haseł i znacząco zwiększa bezpieczeństwo.

Stosuj uwierzytelnianie wielopoziomowe

Uwierzytelnianie wieloskładnikowe (MFA/2FA) pozwala zabezpieczyć konto nawet wtedy, gdy hasło zostanie wykradzione. Bankowość, media społecznościowe, usługi uczelniane i większość portali oferują dodatkową weryfikację.

Najbezpieczniejsze metody to aplikacja uwierzytelniająca lub klucz sprzętowy zgodny z FIDO2/WebAuthn. Warto unikać SMS-ów jako metody 2FA, ponieważ mogą zostać przechwycone lub wykorzystane w atakach SIM-swap.

Używaj aplikacji telefonicznej Authenticator (Microsoft – jedyny akceptowalny dla pracowników UWr/Google)

Aplikacje Microsoft Authenticator i Google Authenticator umożliwiają generowanie jednorazowych kodów i zatwierdzanie logowania bez hasła (passkeys). Dodanie konta do Authenticatora znacząco poprawia bezpieczeństwo logowania w usługach internetowych.

Zapewnij sobie możliwość odzyskania konta

Uzupełnij numer telefonu, alternatywny adres e-mail oraz metody odzyskiwania hasła. Regularnie aktualizuj te dane, aby uniknąć sytuacji, w której utrata dostępu do urządzenia uniemożliwi odzyskanie konta.

Upewnij się, że Twój system operacyjny posiada zainstalowane aktualne poprawki

Aktualizacje systemu i oprogramowania poprawiają bezpieczeństwo i chronią przed najnowszymi zagrożeniami. Zalecamy włączenie automatycznych aktualizacji. W systemie Windows ochrona Microsoft Defender jest wystarczająca dla użytkowników prywatnych i powinna pozostać aktywna.

Nigdy nie odpowiadaj na e-maile z prośbą o podanie hasła lub zalogowanie się do usługi

Zespoły IT UWr ani dostawcy usług (Microsoft, Google, banki) nigdy nie proszą o podanie hasła w wiadomości e-mail. Jeśli otrzymasz prośbę o kliknięcie linku z formularzem do wpisania danych lub podanie ich w odpowiedzi na maila — traktuj to jako próbę phishingu.

Sprawdzaj swoją ostatnią aktywność

Wiele usług pozwala na przeglądanie historii logowań i alertów bezpieczeństwa. Jeśli otrzymasz powiadomienie o nietypowej aktywności, sprawdź, z jakiego urządzenia i lokalizacji nastąpiło logowanie, a w razie wątpliwości zmień hasło. Jeżeli jesteś pracownikiem UWr postępuj zgodnie z zarządzeniem 143/2024 „W sprawie wprowadzenia Procedury zarządzania incydentami cyberbezpieczeństwa w Uniwersytecie Wrocławskim”

Zarządzaj zaufanymi urządzeniami

Regularnie sprawdzaj urządzenia przypisane do Twojego konta i usuwaj te, których już nie używasz lub których nie rozpoznajesz. Pozwala to ograniczyć ryzyko nieautoryzowanego dostępu.

Naucz się rozpoznawać próby wyłudzenia informacji

Phishing jest jednym z najczęstszych rodzajów ataków. Oszuści podszywają się pod instytucje, współpracowników lub serwisy internetowe. Zwracaj uwagę na błędy językowe, nietypowe prośby, presję czasu oraz linki prowadzące do nieznanych stron.

Używaj najnowszej wersji przeglądarki

Aktualna przeglądarka internetowa zapewnia ochronę przed złośliwymi witrynami, phishingiem i podejrzanymi pobraniami. Ogranicz liczbę zainstalowanych dodatków — instaluj tylko te, które są konieczne.

Twórz kopie zapasowe danych

Regularnie twórz kopie zapasowe najważniejszych plików i przechowuj je w miejscu innym niż urządzenie główne (np. w chmurze lub na zewnętrznym dysku). Chroni to przed skutkami awarii, utraty urządzenia lub ataku ransomware.

Szyfruj komputer i urządzenia mobilne

Włączenie szyfrowania dysku (BitLocker w Windows, FileVault na macOS) chroni dane w przypadku kradzieży lub zgubienia urządzenia.

Uważaj podczas korzystania z sieci publicznych

Publiczne sieci Wi-Fi mogą być podatne na podsłuch. Unikaj logowania się do ważnych usług i podawania danych osobowych podczas korzystania z takich sieci. VPN jest formą ochrony przed podsłuchem, szyfruje on połączenie. Należy pamiętać, iż przede wszystkim „darmowe” produkty mogą zarabiać poprzez zbieranie danych telemetrycznych bądź wręcz wykradanie danych z komputera. Warto również pamietać, że produkty takie jak NordVPN nie zapewniają, wbrew zapewnieniom marketingowym, anonimowości w sieci. VPN nie służy anonimizacji. W przypadku pracowników UWr jedynym zatwierdzonym VPNem jest GlobalProtect.

Sprawdź aktywność logowań i urządzenia – Google

Aby upewnić się, że tylko Ty korzystasz ze swojego konta Google, wykonaj następujące kroki:

• Przejdź na stronę: https://myaccount.google.com
• Zaloguj się, a następnie wybierz zakładkę Zabezpieczenia.
• W sekcji Twoje urządzenia wybierz Zarządzaj wszystkimi urządzeniami.
• Ostatnią aktywność i alerty bezpieczeństwa znajdziesz w sekcji Aktywność zabezpieczeń.

Sprawdź aktywność logowań i urządzenia – Microsoft

Microsoft udostępnia funkcje bezpieczeństwa poprzez główny panel konta. Aby sprawdzić logowania i urządzenia:

• Przejdź na stronę: https://account.microsoft.com/account
• Zaloguj się do konta Microsoft.
• Wybierz zakładkę Zabezpieczenia (Security).
• Wybierz moduł Aktywność logowania, aby sprawdzić ostatnie logowania.
• Wybierz moduł Urządzenia, aby zobaczyć listę urządzeń powiązanych z kontem.