KłódkaObecnie internet oferuje nam dostęp do wszystkiego, począwszy od kontaktu ze znajomymi, poprzez zakupy elektroniczne, a na załatwianiu spraw urzędowych i zarządzaniu kontem bankowym skończywszy.
Od czasu do czasu na łamach portali internetowych możemy przeczytać o różnego rodzaju włamaniach do usług internetowych. Zazwyczaj dzieje się tak w wyniku obejścia zabezpieczeń (wykorzystanie luki w oprogramowaniu lub przeoczenia administratora podczas zabezpieczania systemu), tego typu ataki raczej nie zdarzają się na przysłowiowych Kowlaskich, ale często nie ma potrzeby obchodzić zabezpieczeń, gdyż bez problemu można w stosunkowo krótkim czasie odgadnąć hasło.
W tym wpisie chciałbym przedstawić moje przemyślenia na temat bezpieczeństwa w sieci oraz proste metody jak z poziomu użytkownika zwiększyć swoje bezpieczeństwo.

Hasła

LogowanieJest to chyba najbardziej podstawowe zagadnienie pod względem internetowej autoryzacji kont. Hasło wraz z identyfikatorem użytkownika daje dostęp do konta, a często samo takie konto reprezentuje nas i nasze dobre imię, dlatego należy dbać o to, aby dostęp do niego osób postronnych był jak najbardziej ograniczony.
Wśród użytkowników panuje tendencja do trudności wymyślania haseł, dlatego stosowane hasła są łatwe do odgadnięcia, gdyż w wielu przypadkach hasło to imię dziecka, nazwa zwierzątka, lub też po prostu słowo „dupa”. Ponad to z lenistwa jeden użytkownik stosuje to samo hasło dla wielu serwisów, jest to złe podejście, ponieważ:

  • odgadnięcie hasła do jednego serwisu, jest jednoznaczne z poznaniem hasła do wszystkich naszych kont
  • nie wszystkie serwisy internetowe przechowują nasze hasła w postaci sumy kontrolnej, dlatego nieuczciwy administrator lub też włamywacz do tego serwisu bez problemowo może wykorzystać dane przeciwko nam

Wniosek z tego jest tylko jeden – należy stosować różne hasła dla każdego serwisu. Prawdopodobnie na pierwszy rzut oka jest to trudne, ze względu na potrzebę zapamiętania ogromnej ilości haseł, ale na to można znaleźć sposób (w ostateczności możemy mieć kilka haseł, a konta grupować względem ich ważności i dla serwisów np. bankowych stosować inne hasło, kont pocztowych inne i do for jeszcze inne).

Najlepszą metodą moim zdaniem jest wymyślenie sobie algorytmu tworzenia haseł, ponieważ od nas będzie to wymagało znania jedynie reguły powstawania naszego hasła, a samo hasło będziemy tworzyć na jego podstawie. Zanim zaczniemy wymyślać algorytm warto zrobić sobie listę wymagań dla naszego hasła np.:

  • długość minimum 8 znaków
  • przynajmniej 4 grupy znaków (np. małe litery, wielkie litery, cyfry, znaki specjalnie – &*#$%)

Przykładowy algorytm:

  1. Wybieramy sobie krótkie zdanie, które łatwo będzie Ci zapamiętać, najlepiej aby zawierało cyfry i bez względu na sens adres strony, na której zakładamy konto np.:
    „Podstawówkę skończyłem w 2000 roku i jestem na poczta.wp.pl”.
  2. Teraz aby stworzyć pierwotne hasło możemy przepisać pierwsze znaki każdego wyrazu (każdy poziom domeny czytaj jako nowe słowo), ale warto też dołożyć znaki specjalnie np. zgodnie z regułą, że każdą cyfrę poprzedzamy #, a spójnik „i” zamieniamy na &, czyli:
    Podstawówkę skończyłem w #2000 roku & jestem na poczta.wp.pl” – nasze hasło to: „Psw#2r&jnpwp”.

Według powyższego przykładu możemy znając wyłącznie kilka reguł tworzyć prawie, dla każdego adresu unikatowe hasło.

System przypominania hasła

Większość serwisów internetowych dla zapominalskich oferuje opcję odzyskania swojego konta. Spotyka się głównie dwa schematy:

  1. Użytkownik wpisuje login, odpowiada na wcześniej ustawione pytanie i dostaje możliwość zmiany hasła na nowe.
  2. Użytkownik wpisuje login oraz e-mail (przypisany do konta), na pocztę otrzymuje link do strony z możliwością zmiany hasła.
  3. Hm dwie metody, więc po co trzeci punkt? Istnieje możliwość, że serwis zamiast oferować zmianę hasła jawnie pokazuje nam nasze obecne hasło, oznacza to tylko tyle, że programista jest ignorantem i należy taki serwis traktować z dystansem.

Wygodne, dla zapominalskich, ale z drugiej strony furtka pomagająca ominąć nasze skomplikowane hasło, dlaczego? To dosyć proste, ponieważ system z pytaniem pomocniczym zazwyczaj zadaje pytania osobiste, np. data urodzenia, co w obecnych czasach nie jest trudne do wyszperania na portalach społecznościowych. Metoda z wykorzystaniem konta e-mail jest bezpieczniejsza, ale też nie jest do końca skuteczna, ponieważ jeśli ktoś dostanie się do naszego konta e-mail pomimo, że nie zna haseł do innych serwisów metodą przypominania hasła może w prosty sposób uzyskać dostęp do nich.

Jak się przed tym chronić? W tym wypadku sprawa jest cięzka, jedynie można kierować się rozwagą i tworzyć własne pytania pomocniczne, a odpowiedzi tworzyć na podstawie jakiegoś algorytmu, w przypadku metody z pocztą elektroniczną nie pozostaje nic innego jak zabezpieczyć konto dobrym hasłem i dbać o jego poufność.

Dalsze moje przemyślenia odnośnie bezpieczeństwa w kolejnym wpisie 🙂

Be Sociable, Share!