Rekomendacje
Sekcja rekomendacji zawiera praktyczne wskazówki dotyczące poprawy bezpieczeństwa w internecie.
Kliknij wybrany temat, aby zobaczyć szczegółowe zalecenia.
Jak wygląda dobre hasło?
ala123 słabe — do złamania w <1 sekundę
Marzena2001! średnie — do złamania w kilka minut
Kawa&Rower#Słońce9 silne — dziesiątki lat
wX7$mPq!2Lz#eNr& bardzo silne — niemożliwe
Zasady tworzenia bezpiecznego hasła
Minimum 12 znaków — im dłuższe, tym trudniejsze do złamania. 16+ znaków to standard.
Wielkie + małe litery, cyfry, znaki specjalne — nie tylko na końcu. Np. K@wa&Rower#9.
Bez imion, dat urodzin, słów ze słownika — to pierwsze co sprawdzają atakujący. Unikaj też „password”, „qwerty”, „123456″.
Inne hasło do każdego serwisu — jeśli jeden serwis wycieknie, reszta Twoich kont pozostaje bezpieczna.
Metoda zdania — weź zdanie które pamiętasz i użyj pierwszych liter: „Mój kot ma 3 łapy i śpi!” → MkM3łiŚ! Łatwe do zapamiętania, trudne do złamania.
Menedżery haseł — co to i dlaczego warto?
Menedżer haseł to aplikacja która zapamiętuje wszystkie Twoje hasła za Ciebie. Ty pamiętasz tylko jedno — główne hasło do menedżera. Reszta jest szyfrowana i bezpieczna.
Bitwarden
Darmowy, open-source, działa na wszystkich urządzeniach. Polecany dla początkujących.
KeePass
Hasła przechowywane lokalnie na Twoim urządzeniu. Pełna kontrola nad danymi.
iCloud Keychain
Wbudowany w urządzenia Apple. Wystarczający dla użytkowników iPhone i Mac.
Google Password Manager
Wbudowany w Chrome i Android. Dobry start dla użytkowników Google.
Uwierzytelnianie dwuskładnikowe (2FA)
2FA = hasło + drugi element. Nawet jeśli ktoś pozna Twoje hasło, bez drugiego elementu nie zaloguje się na Twoje konto.
Jak włączyć 2FA? — Krok po kroku
1
Wejdź w ustawienia bezpieczeństwa konta
Szukaj opcji „Dwuetapowa weryfikacja”, „2FA” lub „MFA”
2
Wybierz aplikację autoryzacyjną
Google Authenticator, Microsoft Authenticator lub Authy — wszystkie są darmowe
3
Zeskanuj kod QR aplikacją
Strona pokaże Ci kod QR — zeskanuj go kamerą telefonu przez aplikację
4
Wpisz 6-cyfrowy kod weryfikacyjny
Aplikacja generuje nowy kod co 30 sekund — wpisz go żeby potwierdzić
5
Zapisz kody zapasowe!
Strona wygeneruje jednorazowe kody na wypadek utraty telefonu — wydrukuj je lub zapisz w bezpiecznym miejscu
SMS jako 2FA to słabsza opcja — atakujący mogą przejąć Twój numer przez atak SIM swapping. Jeśli możesz — używaj aplikacji zamiast SMS.
Sprawdź czy Twoje dane wyciekły
Wejdź na haveibeenpwned.com i wpisz swój adres email. Dowiesz się czy Twoje dane były częścią wycieku. Jeśli tak — zmień hasła do tych serwisów natychmiast.
Czym jest phishing?
Phishing to metoda ataku polegająca na podszywaniu się pod zaufaną osobę lub instytucję (bank, kuriera, policję, znajomego) w celu wyłudzenia danych lub pieniędzy. To najczęstszy rodzaj cyberataku.
Jak wygląda phishing? — Przykłady
🚩 Przykład phishingowego SMS-a
„Twoja przesyłka została wstrzymana z powodu niedopłaty 1,49 zł. Opłać tutaj: bit.ly/xxx-paczka”
Fałszywe domeny — adres wygląda podobnie do prawdziwego: allegro-platnosc.pl zamiast allegro.pl
Presja czasowa — „Konto zostanie zablokowane w ciągu 24 godzin!”, „Działaj teraz!”
Prośba o dane logowania, PESEL, numer karty lub kody BLIK
Błędy językowe, dziwna czcionka lub logo które nie wygląda profesjonalnie
Link skrócony (bit.ly, tinyurl) lub adres z losowymi znakami
Nieoczekiwany załącznik w emailu — nawet jeśli nadawca wygląda znajomo
Jak się chronić?
Sprawdzaj adres URL przed kliknięciem — najedź kursorem na link (bez klikania) i sprawdź jaki adres się wyświetla u dołu ekranu.
Szukaj kłódki HTTPS — ale pamiętaj: HTTPS nie oznacza że strona jest bezpieczna, tylko że połączenie jest szyfrowane. Oszuści też używają HTTPS.
Zadzwoń i zweryfikuj — jeśli bank lub firma prosi Cię o dane, rozłącz się i sam zadzwoń na oficjalny numer ze strony www.
Zatrzymaj się i pomyśl — phishing gra na emocjach (strach, pilność, ciekawość). Jeśli coś wydaje się podejrzane — poczekaj chwilę zanim klikniesz.
Nie otwieraj załączników z nieznanych źródeł — szczególnie pliki .exe, .zip, .doc z makrami.
Przekaż dalej — jeśli dostaniesz podejrzaną wiadomość, ostrzeż rodzinę i znajomych. Phishing często rozsyłany jest masowo.
Co zrobić gdy kliknąłeś/aś w link?
1
Nie podawaj żadnych danych
Zamknij stronę natychmiast
2
Zmień hasła
Do kont które mógł/aś odwiedzać na tym urządzeniu
3
Sprawdź urządzenie
Uruchom skanowanie antywirusowe
4
Zgłoś incydent
CERT Polska: incydent.cert.pl — możesz zgłosić podejrzaną stronę
Aktualizacje — dlaczego są kluczowe?
Aktualizacje systemu i aplikacji łatają luki bezpieczeństwa które atakujący wykorzystują do przejęcia urządzeń. Stary system = otwarte drzwi.
Włącz automatyczne aktualizacje systemu operacyjnego i aplikacji — nie odkładaj ich na później.
Aktualizuj też aplikacje na telefonie — szczególnie przeglądarkę i aplikacje bankowe.
Smartfon bez wsparcia producenta (np. stary Android) nie będzie już otrzymywał łatek bezpieczeństwa — rozważ wymianę.
Bezpieczna sieć Wi-Fi
Publiczne Wi-Fi to ryzyko — nie loguj się do banku, nie rób zakupów i nie podawaj haseł gdy jesteś na publicznej sieci (kawiarnia, lotnisko, hotel).
Jeśli musisz korzystać z publicznego Wi-Fi — używaj VPN (np. ProtonVPN w wersji darmowej).
W domu: zmień domyślne hasło do routera. Ustaw szyfrowanie WPA3 (lub WPA2 jeśli WPA3 niedostępne). Regularnie sprawdzaj listę urządzeń podłączonych do sieci.
Rozważ oddzielną sieć gościnną dla odwiedzających — bez dostępu do Twoich urządzeń domowych.
Zabezpieczenia fizyczne urządzenia
Ustaw PIN, hasło lub odcisk palca jako blokadę ekranu na każdym urządzeniu.
Skróć czas do automatycznego zablokowania ekranu — 1–2 minuty wystarczą.
Rób regularne kopie zapasowe — na zewnętrznym dysku lub w chmurze. Chroni to przed ransomware i awarią sprzętu.
Przed sprzedażą lub oddaniem urządzenia — wykonaj pełny reset fabryczny i usuń konto.
Uprawnienia aplikacji
Wiele aplikacji prosi o dostęp do mikrofonu, kamery, lokalizacji i kontaktów — często bez realnej potrzeby.
Regularnie sprawdzaj uprawnienia: Ustawienia → Aplikacje → Uprawnienia. Latarka bez dostępu do mikrofonu? Odmów.
Lokalizację udostępniaj tylko podczas używania aplikacji — nie „zawsze”.
Usuń aplikacje których nie używasz — mniej aplikacji = mniejsza powierzchnia ataku.
Dane osobowe w sieci
Twoje dane to towar. Firmy zbierają informacje o tym co robisz online, żeby wyświetlać reklamy i sprzedawać profile innym. Możesz to kontrolować.
Klikaj „Niezbędne tylko” przy ciasteczkach zamiast „Akceptuję wszystko”. Ograniczasz śledzenie przez reklamodawców.
Używaj trybu incognito na wspólnych komputerach — Twoje wyszukiwania i hasła nie są zapisywane.
Nie podawaj głównego adresu email wszędzie. Rozważ drugi adres do rejestracji w serwisach.
Wyszukuj przez DuckDuckGo zamiast Google — nie śledzą Twojej historii wyszukiwania.
Media społecznościowe
Quizy i aplikacje na Facebooku często kradną dane — „Jakim jesteś zwierzęciem?” to nie zabawa, to phishing na dane.
Ustaw profil jako prywatny — tylko znajomi widzą Twoje posty i zdjęcia.
Sprawdź aplikacje podłączone do konta — Ustawienia → Prywatność → Aplikacje. Usuń te których nie używasz.
Nie publikuj zdjęć dokumentów, biletów lotniczych, kluczy ani widoku z okna kiedy jesteś na wakacjach. To informacje dla złodziei.
RODO i Twoje prawa
Masz prawo do:
- ✓ Dostępu — możesz poprosić każdą firmę o listę Twoich danych które posiada
- ✓ Sprostowania — poprawienia błędnych danych na Twój temat
- ✓ Usunięcia — „prawo do bycia zapomnianym” — możesz żądać usunięcia Twoich danych
- ✓ Przeniesienia — otrzymania danych w formacie nadającym się do odczytu maszynowego
- ✓ Skargi — do UODO (Urzędu Ochrony Danych Osobowych) jeśli firma narusza RODO
Darmowe narzędzia bezpieczeństwa
Bitwarden — menedżer haseł
Najlepszy darmowy menedżer haseł. Działa na wszystkich platformach. Open-source — kod jest publicznie sprawdzalny.
DARMOWYHave I Been Pwned (haveibeenpwned.com)
Sprawdź czy Twój email był w wycieku danych. Wystarczy wpisać adres email.
DARMOWYProtonVPN
VPN od twórców ProtonMail. Darmowa wersja bez limitu danych. Chroni połączenie na publicznym Wi-Fi.
DARMOWY (plan podstawowy)uBlock Origin — blokada reklam i trackerów
Rozszerzenie do przeglądarki blokujące śledzące reklamy i złośliwe strony. Instalacja w Firefox lub Chrome — bezpłatna.
DARMOWYGoogle Authenticator / Microsoft Authenticator
Aplikacje do generowania kodów 2FA. Niezbędne do włączenia uwierzytelniania dwuskładnikowego.
DARMOWYVirusTotal (virustotal.com)
Sprawdź czy plik lub link jest bezpieczny — analizuje go ponad 70 silnikami antywirusowymi jednocześnie.
DARMOWYSimpleLogin / AnonAddy
Generuj aliasy emailowe — używaj innego adresu do każdej rejestracji. Prawdziwy email pozostaje ukryty.
DARMOWY (plan podstawowy)Gdzie zgłaszać incydenty?
CERT Polska — incydent.cert.pl — zgłaszanie podejrzanych stron, phishingu i incydentów
Bank — jeśli podałeś/aś dane karty lub zrobiłeś/aś przelew na fałszywe konto — dzwoń natychmiast na infolinię i blokuj kartę
Policja — jeśli doszło do wyłudzenia pieniędzy lub kradzieży tożsamości — złóż zawiadomienie
UODO — uodo.gov.pl — jeśli firma naruszyła Twoje prawa do danych osobowych
Szybka checklista bezpieczeństwa
- ✓Używam innego hasła do każdego serwisu
- ✓Mam włączone 2FA na emailu i banku
- ✓Mam aktualny system operacyjny i aplikacje
- ✓Nie klikam podejrzanych linków w SMS i emailach
- ✓Mam zablokowany ekran na telefonie i komputerze
- ✓Robiłem/am kopię zapasową danych w ciągu ostatnich 30 dni
- ✓Sprawdziłem/am czy mój email był w wycieku na haveibeenpwned.com
- ✓Nie używam publicznego Wi-Fi bez VPN