Dlaczego koteczek1234 to nie jest najlepsze hasło?

Ten wpis jest o tym, że nie należy mieć tego samego hasła do wszystkich aplikacji.

Jest także o tym, że każde hasło powinno być skomplikowane – można też używać tzw. managera haseł, który skomplikuje hasła w naszym imieniu i będzie je pamiętał (wystarczy wtedy znać jedno skomplikowane hasło – do managera haseł).

I jest o hackerach.

Podawanie haseł do różnych serwisów internetowych jest denerwujące

Tak.

Zgadzam się.

Jest denerwujące.

Dlatego zapewne wolisz, żeby Twoje hasło było krótkie, łatwe do zapamiętania i wygodne do wpisania przy użyciu klawiatury telefonu.

Zacznę od historii, która miała miejsce kilka lat temu


Mój znajomy programista został zatrudniony przez firmę z branży księgowości w celu poprowadzenia szkolenia dla pracowników z zakresu bezpieczeństwa haseł. Przed szkoleniem sprawdził w bazie danych z jakim problemem się mierzy. Okazało się, że pod względem częstości występowania dominowały dwie frakcje: „hasło” (60 razy) oraz „koteczek” (64 razy).
Przerażony miłośnik LastPassa, podczas rzeczonego szkolenia, przez kilka godzin tłumaczył (głównie paniom), opowiadał i zaznaczał, że używanie hasła złożonego z samych liter (i to małych) jest pomysłem złym, takie hasło można łatwo zgadnąć i przejąć konto użytkownika. Poprosił pracowników o zmianę hasła na trudniejsze do odgadnięcia, o dodanie do hasła liczb, wielkich liter, znaków specjalnych, a najlepiej o używanie managera haseł.

Usatysfakcjonowany dobrze wykonanym zadaniem, po kilku dniach postanowił sprawdzić w bazie danych czy pracownicy zastosowali się do jego wytycznych. Niewątpliwie większość go posłuchała lub też skonsultowała swój problem ze znajomym lub kolegą, ponieważ dominujące frakcje podzieliły się na „Koteczek” (30 razy) oraz „koteczek1234 (60 razy).

—– —

Dla wszystkich adminów, którzy własnie łapią się za głowę pytając: Kto trzyma hasła otwartym tekstem w bazie – spieszę z odpowiedzią – że a) to było dawno temu b) takie rzeczy nadal się zdarzają. Jak tego nie robić i jak przechowywanie haseł zrobić dobrze napisano np tutaj.

Więcej mrożących krew w żyłach podobnych historii przeczytacie na Niebezpieczniku.

—– —

Jaka płynie nauka z tej opowieści?

„koteczek1234” nie jest najbardziej wymyślnym hasłem na świecie (to jest ten moment, w którym zmieniasz hasło do Facebooka).

Jaka jeszcze?

Łatwe hasło jest łatwo zgadnąć. Łatwe hasło łatwo jest u kogoś podpatrzyć gdy je wpisuje i potem przejąć konto tej osoby do danego serwisu.

Jeśli masz jedno łatwe hasło i używasz go w większości serwisów, do których logujesz się w swoim życiu – w momencie gdy zostanie ono odgadnięte (lub złamane!) przez inną osobę – możesz utracić dostęp do swoich kont w mediach społecznościowych, do banku, do poczty elektronicznej itd.

Dobrze więc używać haseł trudnych, takich, które składają się z wielkich i małych liter, cyfr, znaków specjalnych i nie są słowami.

Po co komu moje dane?

Dane osobowe, loginy i hasła do swoich kont to jedne z najcenniejszych informacji, które posiadasz. Jestem testerką oprogramowania, więc na tak zadane pytanie w mojej głowie zazwyczaj pojawia się kilkanaście możliwych scenariuszy, zaczynających się od
A co by było gdyby ktoś:

  • chciał Cię okraść i tylko czekał na okazję przejęcia Twoich danych (nawet jeśli masz 10 zł na koncie w banku)
  • chciał pozyskać Twoje dane, żeby je potem spieniężyć w inny sposób
  • wziął kredyt w banku, wykorzystując Twoje dane osobowe
  • uzyskał dostęp do Twojego konta na Twitterze /Facebooku i publikował nagie zdjęcia koleżanek z pracy w Twoim imieniu

Ostatnie przykłady z Twittera / Albicla (tu wstaw dowolną nazwę innej strony, na której zostali skompromitowani politycy) pokazują, że pozyskanie czyichś danych może narobić wiele szkody, może zostać wykorzystane do ośmieszenia lub napiętnowania kogoś, ale przede wszystkim w wielu takich sytuacjach pojawia się jako tłumaczenie słowo wytrych HACKER.

Ten zły Hacker

Kiedy słyszysz słowo „hacker” – najprawdopodobniej przychodzi Ci do głowy taki obraz:

https://bi.im-g.pl/im/cb/de/18/z26078667V.jpg

Typ ubrany w bluzę z kapturem i ciemne okulary (niewidomy?), siedzi w piwnicy, kaptur na głowie (nie wiadomo po co, skoro siedzi w piwnicy), wokół porozrzucane pudełka po pizzy i puszki po energetykach, a na jago czarnym jak smoła ekranie ciągi zielonych cyfr (zazwyczaj kod sklepu w PHPie). Z resztą – wpiszcie sobie w wyszukiwarkę słowo „Haker” i zobaczcie co Wam zwróci.

Być może Was zaskoczę, ale hacker tak nie wygląda (a przynajmniej nie każdy). Przykład?
Podobno najbardziej znany haker świata – a przynajmniej znany dlatego, że oficjalnie oskarżono go i skazano za hacking – Kevin Mitnick – obecnie wygląda jak całkiem wiarygodny sprzedawca lub CEO.

Wikipedia podaje taką definicję:

Hacker bezpieczeństwa to ktoś, kto bada metody łamania zabezpieczeń i wykorzystywania słabości systemu komputerowego lub sieci.

W zasadzie brzmi jak interesujący sposób spędzania czasu.

Problem pojawia się wtedy, gdy po złamaniu zabezpieczeń do danego systemu, posiadacz moich, Twoich, Waszych danych osobowych zechce się nimi podzielić z resztą świata (za drobną opłatą lub w zamian za uznanie „Łoooo staryyy ale akcja!”) czy uprzejmie przekaże właścicielowi danego serwisu, że jego zabezpieczenia są słabe i że może ogarnąłby się w życiu i coś z tym zrobił.

Nie, nie będę po raz kolejny pisała o serwisie Albicla – eksperci z branży bezpieczeństwa zrobili to już dużo lepiej (i wielokrotnie):

Zaufana Trzecia Strona
Informatyk Zakładowy

Chciałam zwrócić Twoją uwagę, że hackerem może być każdy, nie tylko typ w bluzie.

Osoby zajmujące się testowaniem bezpieczeństwa (zawodowo) nie mają złych intencji. Często mają dużo zabawy i chcą pomóc.

To przez swoje niedbalstwo i lenistwo możesz stać się celem osoby, która ma złe intencje i chce pozyskać Twoje dane w konkretnym celu (np. uzyskania korzyści majątkowej).

Czasami okazja czyni złodzieja

Jeszcze jedna historia na koniec.

W czasach przedpandemicznych (tak były takie), jechałam przez Wrocław zatłoczonym autobusem. Lato. Ścisk a’la sardynki w puszcze – zapach podobny.

Przede mną młoda dziewczyna. WTEM.

Dziewczyna wyciąga telefon i trzyma go w wyprostowanej ręce nad głową (inaczej się nie da, bo wspomniany wyżej ścisk). Odpala aplikację bankową (ekran widzi przynajmniej 10 osób, jeśli tylko spojrzy w górę – ja widzę wyraźnie), wpisuje pin do aplikacji (4 liczby, dość łatwo zapamiętać) i loguje się do swojego banku. Przelewa komuś pewną kwotę, po czym gasi ekran, nurkuje ręką w tłum i chowa telefon (do kieszeni?).

Nie, nie zalogowałam się potem na jej konto w tymże banku, ale czy nie zrobił tego ktoś inny? Tego nie wiem. Nie wyciągnęłam też jej telefonu z kieszeni (a tez mogłam! co jest ze mną nie tak?!).

No to co ja mam zrobić?

Nie wiem czy zagrożenie czyha wszędzie – Piotr Konieczny powiedziałby, że tak.

To, co możesz zrobić, aby chronić swoje dane i swoje pieniądze to przede wszystkim:

  1. Nie odpalaj aplikacji bankowej w zatłoczonym autobusie.
  2. Jeśli korzystasz z publicznej sieci wifi (np. w galerii handlowej, restauracji) – nie loguj się do serwisów społecznościowych ani banku. Nigdy nie wiesz kto zbiera dane z takiej sieci.
  3. Często zmieniaj hasła do ważnych dla Ciebie serwisów.
  4. Nigdy nie korzystaj z tego samego hasła w wielu miejscach.
  5. Nigdy nie udostępniaj swoich haseł innym osobom.
  6. Używaj managera haseł, a jeśli nie chcesz używać managera haseł to przynajmniej postaraj się, aby Twoje hasła były bardziej skomplikowane niż koteczek1234
  7. Rób kopie zapasowe swoich danych.
  8. Tam, gdzie jest to możliwe, stosuj uwierzytelnianie dwuetapowe.

Można też pójść w stronę ekstremum i, jak pewien mój znajomy, mieć osobny telefon (nie-smartfon), nie podłączony do internetu, służący jedynie do logowania się do banku – do odbierania bankowych haseł uwierzytelniających transakcje i logowanie.

Mam nadzieję, że od dzisiaj będziesz lepiej dbał_a o swoje bezpieczeństwo w sieci.

Opublikowane przez Kinga Witko

Author, Blogger, QA specialist, Agile Tester, cruelty-free. Sugar - free food lover.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

%d blogerów lubi to: