Bezpieczeństwo, po raz kolejny

Ilekroć z początkującymi rozmawiam o bezpieczeństwie haseł i kont w internecie, zawsze sprowadza się to do machnięcia ręką z ich strony. Idzie przywyknąć – wszak nie uczą tego na lekcjach informatyki (przecież obsługa Microsoft Paint jest o wiele ważniejsza!), a że internet służy głównie to przeglądania Facebooka, to po co się przejmować…

Do czasu, aż stanie się coś, co sprawi że taki internauta diametralnie zmieni zdanie. I nie chodzi mi tutaj o włamania na konta rodem z seriali CSI. Szczerze mówiąc takie włamania praktycznie nie występują – w zdecydowanej większości są tzw. script kiddies, które za pomocą programów i poradników znalezionych w internecie przejmują kontrolę nad czyimś kontem. A jak to robią? Jest kilka bardzo prostych sposobów. Nie będę wymieniał jak przy ich pomocy wykraść bardzo tajne hasła zbuntowanej nastolatki, a tylko jak się przed tym zabezpieczyć.

Banalne hasła

Odkąd hasłem roku 2013 zostało owiane niesławą 123456 można dojść do wniosku, że trudne hasła są jedynie trudne do zapamiętania i zdecydowana większość nie chce sobie takimi problemami zawracać głowy (w jednym z komputerów, który naprawiałem hasłem dostępowym było a…). Do celów tego wpisu pozwoliłem sobie przetłumaczyć jeden z komiksów XKCD, który świetnie trafia w sedno sprawy:

https://xkcd.com/936/

https://xkcd.com/936/

A przecież proste hasło można odgadnąć, bo jeśli jest nim np. Twoja data urodzenia czy też imię psa, to przy kilku próbach każdy z grona Twoich bliskich znajomych (bądź nie, zależy od ustawień prywatności profili społecznościowych i jak bardzo dzielisz się ze światem informacjami) będzie mógł dostać się na Twoje konto…

Do tego dochodzą słabo zabezpieczone serwisy internetowe, które pozwalają na dowolną ilość prób wpisania haseł… Istny raj dla wszelkich maści narzędzi przeznaczonych do brute force. A przecież najprostszym sposobem jest nakazanie przepisywanie kodu bezpieczeństwa po n-tej próbie nieudanego logowania, czy też – bardziej rygorystycznie – blokowaniu konta.

Jeśli chodzi o trudność zapamiętywania haseł… Z tym bywa różnie. Niektórzy nauczą się jednego, dwóch haseł i używają ich wszędzie. Co jest katastroficznym błędem, bo gdy ktoś pozna jedno, ma dostęp do wszystkich kont. Jackpot… Metoda na zmianę hasła co miesiąc (w niektórych firmach jest to wymagane) ze wzorem MojeHasłoMarzec, MojeHasłoKwiecień itd. nie jest również specjalnie wysublimowanym sposobem.

Najlepiej więc – zgodnie z komiksem – stosować różnorakie, losowe słowa. Proste do zapamiętania, długie i trudne do przeprowadzenia ataku brute force. Nie wspominając już o tym, że można używać dziesiątek takich haseł na różnych witrynach. Dobrze jest też używać polskich znaków (skutecznie utrudnia odgadnięcie przez tego typu skrypty) – trzeba jakoś w końcu wykorzystać te kilka dodatkowych literek naszego alfabetu.

Jeżeli jednak strona wymaga podania wielkiej litery, cyfry, dwóch znaków specjalnych i poświadczenia złożenia ofiary z chomika bengalskiego, można używać kilku stałych końcówek, które również są proste do zapamiętania, np. #L33T.

Nieupoważniony dostęp

Google Chrome (i parę innych przeglądarek też) ma tą wątpliwie przydatną funkcję zapamiętywania haseł. Co gorsza, hasła te można odczytać w postaci czystego tekstu (nie gwiazdek) w ustawieniach przeglądarki.

haslo

Bywa to przydatne, zwłaszcza, gdy zapomnimy hasło, jednak obrazuje ze jeżeli ktoś ma dostęp do naszego komputera, może nam bardzo zaszkodzić. Ba, nie musi mieć nawet dostępu. Wystarczy, że pożyczy nam spreparowanego pendrive, wyśle wiadomość z niebezpiecznym załącznikiem i może uzyskać dostęp do naszych danych i sporo namieszać w systemie. W internecie pełno jest takich gotowców, więc trzeba się wystrzegać, od kogo i co otwieramy. W końcu ktoś może podrzucić nam amatorskiego keyloggera 😛

Skrzynka pocztowa jest najważniejsza

Jak najczęściej przywracamy zapomniane hasło? Poprzez zresetowanie go na stronie, to oczywiste. Dostajemy wtedy maila z nowym, losowym hasłem bądź też linkiem, pod którym można ustawić sobie nowe… I tu jest pies pogrzebany. Rozumiecie już?

Jeżeli ktoś przejmie kontrolę nad naszą skrzynką pocztową, może zresetować nam hasło wszędzie tam, gdzie przy jego pomocy się rejestrowaliśmy. Jak się przed tym zabezpieczyć? Cóż, istnieje kilka sposobów, choć wymienię tylko dwa z nich:

  1. Włączenie dwuetapowego uwierzytelniania – w dużym skrócie, jeżeli ktoś próbuje się logować z nie-naszego komputera (albo wcześniej nie byliśmy na tym komputerze zalogowani), dostaniemy na nasz telefon kod SMS, który musimy przepisać celem potwierdzenia. Jest to jeden z najbezpieczniejszych sposobów i duża część poważnych skrzynek pocztowych (m.in. Gmail) posiada możliwość włączenia tej funkcji. Zdecydowanie polecam.
  2. Założenie skrzynki mailowej wyłącznie na rejestracje – (jeśli nie mamy możliwości włączenia dwuskładnikowego uwierzytelniania) niegłupie, od razu ograniczymy ilość spamu w naszej głównej skrzynce

Programy do gromadzenia haseł

Niektórzy mówią, że to dobre rozwiązanie… Ja jestem w tej drugiej grupie. Przede wszystkim dlatego, że jeżeli ktoś z nich korzysta, to automatycznie zrzuca z siebie ciężar zapamiętywania ich, co może mieć katastrofalne skutki w sytuacjach kryzysowych (nie pamiętam hasła głównego/nie mam dostępu do mojej bazy danych/moje hasło główne było proste i ktoś ma teraz dostęp do wszystkich innych).

No i – jak napisałem wcześniej – nie jest sztuką stworzyć długiego i zagmatwanego hasła. Sztuka stworzyć jest proste, i skuteczne 😉

Hasła są jak majtki – należy je zmieniać często, nie zostawiać na widoku i nie pożyczać obcym

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>