Wraz z rozwojem komputerów i Internetu wzrasta liczba usług, z których korzystamy poprzez sieć. Konta pocztowe, bankowe, serwisy aukcyjne, portale społecznościowe, fora internetowe — wykorzystujemy je w życiu codziennym i do każdego z nich musimy posiadać login oraz hasło. Jeśli dodamy do tego dostęp do komputerów i usług sieciowych w pracy, tworzy nam się dosyć spora liczba haseł do zapamiętania. Większość z nas, nieświadoma zagrożeń czyhających na nas w sieci, nie przywiązuje większej wagi do tego, jak silne jest nasze hasło, a to już błąd, który może nas kosztować wiele. Kradzież, czy zniszczenie danych na naszych prywatnych kontach to tylko wierzchołek góry lodowej. Jeśli wypłyną wrażliwe dane z naszej firmy lub ktoś okradnie nas z pieniędzy zgromadzonych na naszym koncie bankowym, problem staje się bardziej poważny. Jak więc zabezpieczyć się przed takimi atakami? Nie popełniać powszechnie stosowanych błędów oraz stworzyć silne hasło.
Jakie są najczęstsze błędy popełniane przez użytkowników?
Proste hasło
Jak wynika z moich obserwacji, zdecydowana większość osób korzystających z komputerów i usług wymagających logowania się, hasło traktuje jako zło konieczne i upraszcza je do granic możliwości. Nagminnie stosowane są imiona dzieci, współmałżonków, zwierząt, czy nazwy miast i ulic, na których mieszkamy. Wymagane jest dodanie minimum jednej cyfry? Nic trudnego, do naszej ukochanej córki Zosi dodamy rok urodzenia i już mamy Zosia2010. Tego typu hasła są proste do złamania i nawet domorosły „haker” nie będzie miał ze złamaniem ich żadnego problemu. Przewidywalne ciągi znaków typu qwerty, czy zaq12wsx również nie są niczym trudnym do złamania i nie powinniśmy ich stosować. Zbyt krótkie hasła, choćby najbardziej skomplikowane, również będą łatwe do złamania. Na szczęście większość serwisów i usług wymaga hasła o długości min. 8 znaków.
Zapisywanie swojego hasła
Wiecie, gdzie pracownicy urzędów i korporacji najczęściej trzymają swoje hasła? Pod klawiaturą albo pod monitorem, nagminnie. Znam też przypadek znalezienia karteczki z zapisanymi loginami, hasłami i adresami www w…. drukarce, która pojechała do serwisu. Przetrzymywanie swojego hasła w niezaszyfrowanej postaci lub łatwo dostępnym miejscu, czy to fizycznie na jakimś skrawku papieru, czy na komputerze nie jest najlepszym rozwiązaniem. Obok Twojego komputera przewija się pewnie mnóstwo współpracowników, sprzątaczki, serwisanci sprzętu itd. Zdarzają się też przypadki zapisywania sobie haseł w mailu. To kolejny prezent dla hakera.
Logowanie się poprzez podlinkowane strony
Ktoś przysyła Wam maila (może to być nawet mail od znajomego, którego konto pocztowe padło ofiarą ataku), żebyście kliknęli link, bo coś niesamowitego znalazł na Facebooku. Klikacie, musicie się zalogować, więc się logujecie i… właśnie padliście ofiarą ataku phishingowego. Ktoś podesłał Wam fałszywą stronę, nie sprawdziliście, czy adres z linku jest faktycznie adresem do portalu i daliście się okraść z danych. Hakerzy wykorzystują tę metodę, dosyć często przysyłając nam fałszywe maile bankowe, czy zawierające fałszywy rachunek np. za telefon. Metody są tak wyrafinowane i zaawansowane, że przeciętny Kowalski nawet nie zauważy, że coś jest nie tak.
Jedno hasło do kilku kont
Nawet najsilniejsze hasło staje się zagrożeniem, gdy używamy je do kilku kont. Jeśli ktoś pozna nasze hasło do choćby jednej usługi, będzie miał dostęp do wszystkich naszych kont i na pewno nie omieszka tego sprawdzić. Wyobraźcie sobie, co się wtedy może stać z Waszymi pieniędzmi na koncie bankowym, prywatnymi zdjęciami, rozmowami na komunikatorach, czy mailami z wrażliwymi danymi.
Jedno hasło przez wiele lat
Nie znam osoby, która nie narzekałaby na wymóg zmiany hasła co 30 dni na komputerze firmowym. Po co, dlaczego, itp. pytania, które z taką samą częstotliwością pojawiają się jak przy zakazie używania jednego hasła do kilku kont w firmie. Jeżeli ktoś w pracy robi to z przymusu i tylko na koncie, które wymaga okresowej zmiany haseł, to jasne jest, że tam, gdzie takiego wymogu nie ma, hasła dobrowolnie nie zmieni. Jest to duży błąd, ponieważ jeśli ktoś chce nam się włamać na konto, to prędzej czy później to uczyni, a regularna zmiana hasła odetnie go od dostępu, który udało mi się zdobyć. Znam osobiście osoby, które ponad 10 lat używają jednego adresu mailowego i nigdy od samego początku nie zmieniły założonego hasła. Jaką mają pewność, że ktoś po cichu nie czyta ich poczty?
Jak się więc zabezpieczyć przed włamaniem?
Nie ma takiego hasła, którego nie dało by się wykraść, bądź złamać, czy to za pomocą sprzętu, czy sztuczek socjotechnicznych. Zapytacie więc po co się w takim razie zabezpieczać, skoro i tak nas mogą okraść? Odpowiem analogicznie: Po co zamykać auto, włączać alarm, skoro i tak nie ma 100% zabezpieczenia przed jego kradzieżą. Zostawiacie je pootwierane i z kluczykami w stacyjce na parkingach?
Podstawą do dobrego zabezpieczenia się przed niekontrolowanym dostępem do naszego konta jest posiadanie silnego hasła, czyli wykluczającego warunki prostego hasła, o których wspominałem na początku artykułu. Niech to będzie hasło stosunkowo długie, zawierające wielkie i małe litery, cyfry i znaki specjalne. Są specjalne generatory haseł, ale hasło %d8AH&r13^ będzie nam raczej ciężko zapamiętać, a nie chcemy go nigdzie zapisywać. Co w takim wypadku możemy zrobić? Pokażę Wam najpopularniejszą metodę, z jaką się spotykam na różnych szkoleniach z cyberbezpieczeństwa oraz w artykułach o bezpieczeństwie w sieci. Każdy z nas ma jakąś ulubioną książkę, cytat, film, czy piosenkę i potrafi wyrecytować przykładową sentencję. Weźmy np. takich „Samych swoich” Sylwestra Chęcińskiego, komedię kultową, którą zna większość z nas i cytat „Kargul podejdź no do płota, jak i ja podchodzę”. Teraz wypiszmy pierwsze litery każdego słowa (Kpndpjijp), zamieńmy co drugą literę na wielką (KpNdPjIjP). Brakuje nam jeszcze cyfr, bądź znaków. Tutaj zdajmy się na własne prywatne skojarzenia. Mnie np. litera I kojarzy się logicznie z &, a podobieństwem wizualnym z 1 lub znakiem !. Załóżmy również, że J kojarzy nam się ze znakiem ? i ostatecznie nasze hasło wygląda tak: KpNdP?&?P. Silne? Tak. Trudne do zapamiętania? Niekoniecznie, jeśli będziecie znać regułę jego stworzenia.
Jednakże nawet bardzo silne hasło może nie być dobrym zabezpieczeniem, jeśli pozostawimy je w łatwo dostępnym miejscu komputera, czy fizycznie. Wiem, że zapisywanie haseł w przeglądarkach znacznie nam ułatwia życie, ale to nie jest dobre rozwiązanie, tak samo, jak trzymanie je na pulpicie w pliku txt. Jeśli już musimy trzymać swoje hasła zapisane w postaci cyfrowej, skorzystajmy z programów do tego przeznaczonych. Jeśli zapisujecie je na kartce, dobrze byłoby, gdybyście chowali je np. w szufladzie zamykanej na kluczyk — w wielu urzędach, czy korporacjach często takie szuflady występują przy każdym stanowisku pracy. Możemy dodatkowo zabezpieczyć hasła na karteczce poprzez wstawienie w nie jakichś znaków, o których tylko my będziemy wiedzieć, że nie są składową hasła. Do naszego przykładowego hasła dodajmy cyfrę 4 w dwóch miejscach, przez co będzie ono wyglądało następująco: Kp4NdP?4&?P. Nawet jeśli komuś uda się znaleźć naszą karteczkę z hasłem, raczej nie uda mu się zalogować.
Ataki phishingowe to chyba najpopularniejsza forma wykradania przez hakerów haseł dostępowych do naszych kont. Bardzo popularne staje się podszywanie pod popularne serwisy społecznościowe, czy strony banków. Dostajecie mailem linka, że koniecznie musicie coś zrobić na swoim koncie, czy może coś zobaczyć? Najpierw zobaczcie od kogo jest ten mail. W każdym programie do obsługi poczty, a także w serwisach dostępnych z poziomu przeglądarki internetowej możemy sprawdzić źródło strony. I nagle okazuje się, że nadawca podpisany w nagłówku jako Nasz Bank, to jakiś szemrany mail, który z naszym bankiem nie ma nic wspólnego. To samo tyczy się zawartych w treści maila odnośnikach. Zanim na nie klikniecie, sprawdźcie gdzie faktycznie prowadzi nas podejrzany odnośnik. To, że w treści maila będziemy mieć np. linka http://interia. pl, wcale nie oznacza, że tam ten link będzie nas prowadził. Odnośnik może mieć zupełnie inny adres docelowy. Gdy najedziecie na link, sprawdźcie na dolnym pasku, w dymku (w zależności od programu do obsługi poczty), gdzie faktycznie on prowadzi, a najlepiej stosować się zasady, że nie klikamy w linki w mailach niewiadomego pochodzenia. Równie częstym zabiegiem złodziei haseł jest wykradanie ich podczas rozmowy. Sztandarowy przykład to „nowy informatyk” dzwoniący do „pani Basi”, że pracuje w firmie od trzech lat i musi zalogować się na chwilę na jej konto, więc musi mu ona podać swoje hasło. NIGDY nie podawajcie haseł nikomu, niezależnie czy to będzie ktoś z Waszej firmy, czy z Waszego banku, etc. Wasze hasło jest tylko i wyłącznie Wasze.
Pamiętajcie, że każde nowe konto to znak równości z wyrażeniem nowe hasło. Nie dublujemy haseł. Pozwoli nam to na ograniczenie możliwości działań hakera. Gdy uda mu się złamać bądź wykraść hasło do jednego z naszych kont, w dalszym ciągu nie będzie miał dostępu do reszty. Nie będzie tak dotkliwe, gdy ktoś włamie nam się na nasz profil na forum miłośników dokarmiania wiewiórek w parku. Jednakże jeśli mamy takie samo hasło do konta bankowego, już możemy mieć problem. Dotyczy to także niezmieniania haseł przez x lat. Zmieniajmy nasze hasła regularnie, a będziemy bezpieczniejsi.
Powyższe przykłady to tylko najprostsze podstawy bezpieczeństwa naszych haseł w sieci, a zapewne większość z Was i tak uważa je za zbyt wygórowane wymagania i skomplikowane procedury. Tak jak fizycznie zdajemy sobie sprawę z zagrożeń z zewnątrz i zabezpieczamy się zamkami, alarmami i monitoringami, tak w sieci świadomość czyhających na nas zagrożeń jest wciąż niewystarczająca i bagatelizowana. Pamiętajcie jednak, że ktoś tam może mieć dostęp do naszych danych, pieniędzy, umów i rzeczy, które niekoniecznie powinny znaleźć się w przypadkowych rękach. Dlatego też zabezpieczajmy się na tyle, na ile jest to możliwe.
