Jak zalogować się bezpiecznie?


Bezpieczne logowanie

Wiemy już czym jest logowanie. Jeśli ktoś jeszcze nie wie to odsyłam do pierwszego artykułu z serii "Podstawy logowania".

Czym jest bezpieczne logowanie?

Bezpieczne logowanie to zminimalizowanie ryzyka przejęcia naszego konta. Mając świadomość drogi jaką pokonują nasze poświadczenia, czyli np. nazwa użytkownika i hasło, jakie są najpopularniejsze sposoby na przejęcie konta, oraz jakich zachowań unikać, na pewno zminimalizujemy ryzyko przejęcia konta, do takiego stopnia, że możemy czuć się bezpiecznie.

Droga do bezpiecznego logowania.

Pierwszy element, na którym możemy się zastanowić to droga jaką pokonują nasze poświadczenia od momentu wpisania, aż do uzyskania dostępu. I tak pierwszym elementem jest klawiatura komputera czy laptopa. Przy klawiaturze komputerowej, jeśli jest ona bezprzewodowa, warto sprawdzić czy jest ona renomowanej firmy, wtedy zwykle możemy założyć, że wysyłane z niej dane są kodowane zanim trafią do naszego komputera, ponieważ nie ma oprogramowania wolnego od błędów, więc warto też raz na rok sprawdzić, czy nie ma aktualizacji. Oczywiście jeśli mieszkamy w domu jednorodzinnym to sygnał z naszej klawiatury będzie trudny do przechwycenia. Na rynku są też dostępne keyloggery sprzętowe, które można podłączyć pod klawiaturę, USB i zapisywać wszystko co zostanie wpisane na klawiaturze, a następnie wystarczy przeszukać tak zapisane dane, co z pomocą wyrażeń regularnych nie jest trudnym zadaniem, aby odnaleźć potencjalne hasła i identyfikatory. Keyloggery są bardziej popularne w wersji różnego rodzaju programów, które uzyskują dostęp do wpisywanych informacji z klawiatury. Więc warto się zastanowić czy pobierane przez nas gra, czy program zwłaszcza z niezaufanego źródła, przy okazji nie zapisuje i nie wysyła tego co wpisujemy na klawiaturze. W telefonach może to być np. jakaś fajna klawiatura, którą pobierzemy chcąc np. zmienić wygląd standardowej.

Dlatego logujemy się tylko na urządzeniach, które znamy, albo ufamy.

Nie instalujemy oprogramowania z nieznanych źródeł, dotyczy to także również różnego rodzaju wtyczek do przeglądarek, które mają dostęp do tego co wpisujemy na stronach.  (Jak  się już uprzemy to przynajmniej przeskanujmy to oprogramowanie antywirusem, a przy instalacji wtyczek czytajmy do czego dokładnie pozwalamy wtyczce na dostęp).

Kolejny punkt to gdzie wpisujemy nasze hasło, czy sami wpisaliśmy adres w przeglądarce. Czy przypadkiem nie kliknęliśmy w pierwszy z linków wyszukiwarki google, który może być reklamą i prowadzić do podobnej strony. Ogólnie nie zalecam, klikać w linki czy to w reklamach czy w google jeśli chcemy się gdzieś logować. Polecam korzystać z zakładek i zawsze jeśli się chcemy zalogować to wchodzimy w zakładkę. Bo czasem nie tak łatwo zobaczyć że link lkea.pl ma małe L zamiast i. Takich przykładów jest wiele, gdy jeszcze dołączymy inne czcionki jak np. cyrylicę to mamy jeszcze więcej możliwości podszywania się pod linki. Dlatego nie ma co ufać swojemu wzrokowi, jeśli tym razem nawet dostrzegliśmy od razu, to są sytuacje w których jesteśmy zmęczeni, myśli zaprzątają nam jakieś inne sprawy i wtedy prawdopodobnie nie zwrócimy na to uwagi.

Dlatego, do logowania się korzystajmy z zakładek, lub sami wpisujmy pełny adres. Menadżery haseł też są pomocne, one odpowiednio skonfigurowane wpiszą tylko hasło w odpowiednią stronę.

Kolejny aspekt to certyfikat na stronie.

certyfikat połączenie jest bezpieczne

Chodzi o to, aby połączenie było również szyfrowane czyli dane wysyłane w jedną i drugą stronę były szyfrowane. Zapewnia nam to połączenie https, a nie http (zwracamy uwagę, aby na końcu było s w adresie). Dzięki czemu nie oddamy dobrowolnie naszego hasła innym użytkownikom podłączonym do tej samej sieci, swojemu dostawcy Internetu, czy dostawcy VPN-a swoich haseł. Błędne jest natomiast przekonanie, że strona wtedy na pewno jest poprawna. Nic nie stoi na przeszkodzie, aby taka udająca strona miała certyfikat i ikonę kłódki, ale wtedy prawdopodobnie adres będzie z "literówką" (czyli np. przypadek opisywany powyżej z lkea.pl) .

Wpisujemy swoje dane tylko na stronach z kłódką.

błędny certyfikat
Przeglądarki ostrzegają nas przed błędnym certyfikatem, wykrzyknikiem, lub przekreśloną kłódką.

Kierując się powyższymi zasadami już jesteśmy bardzo bezpieczni. Niestety od czasu do czasu dane w tym hasła "wyciekają", z różnych serwisów. Oraz nie wszystkie serwisy muszą być uczciwe. Dlatego nie używajmy takich samych haseł do różnych serwisów. Wiele osób używa takiego samego hasła, lub łatwego do odgadnięcia klucza wymyślając hasła do różnych serwisów. Zadaj sobie pytanie czy jeśli wyciekłyby dwa Twoje hasła, to czy nie dałoby się odgadnąć hasła do np. trzeciego serwisu. Mimo tego, że z niego dane nie wyciekły?

Polecam sprawdzenie swojego adresu e-mail na stronie https://haveibeenpwned.com/, w ten sposób można sprawdzić czy nasz adres e-mail znajduje się na liście kont, które wyciekły.  Jest to od lat działająca strona zasilana danymi pochodzącymi między innymi z FBI.  Przykładowy wynik, który informuje, że w trzech zbiorach sprawdzany adres e-mail był dostępny.

sprawdzenie czy Twój adres e-mail był na liście haseł, które wyciekły.

W takiej sytuacji najlepiej zastanowić, się kiedy ostatnio hasło do konta było zmieniane i jeśli dawno temu to polecam je zmienić. (Warto sobie zapisać wynik, aby wiedzieć np. jak się sprawdzi przy następnej okazji, czy liczba się zwiększyła czy nie). Jestem przeciwnikiem częstych zmian haseł, zresztą są badania, że wymuszanie zmian haseł np. co miesiąc wcale nie podnosi bezpieczeństwa. Natomiast w takich sytuacjach i jeśli konto nigdy nie miało zmienionego hasła, wtedy należy to hasło zmienić.

 

Jeśli nie zostaliśmy znalezieni na liście, to gratuluję i nie ma też potrzeby zmiany hasła. (Oczywiście to nam nie gwarantuje, że nasze hasło nie "wyciekło", ale szanse na przejęcie naszego konta są nieporównywalne mniejsze.) Na stronie można znaleźć szeroką listę portali i serwisów, które miały problemy z utrzymaniem prywatności użytkowników, z bardziej znanych na naszym rynku to Adobe 153 miliony w 2013r, Dropbox 2016r. 68 milionów, CD Projekt RED 2016r. i prawie 2 miliony, Linkedin 164 miliony w 2016r

Kolejna kwestia to ochrona naszego hasła, telefonu, klucza. Pamiętajmy, aby nie zapisywać haseł na karteczkach, które potem są gdzieś w widocznym miejscu.  Nie wpisujmy hasła, gdy ktoś może je podejrzeć, np. podczas telekonferencji. Nie podajemy telefonicznie, żadnych danych, bo np. ktoś "wziął" na nas pożyczkę i teraz trzeba ten wniosek anulować. Zdrowy rozsądek, spokój i trochę wyobraźni pozwoli nam uniknąć problemów, jeśli czujemy presję czasu, to znaczy, że powinniśmy zachować szczególną ostrożność. Vinted próba wyłudzenia danych

Często jeśli logujemy się pierwszy raz do serwisów np. OLX czy Vinted, zaraz otrzymujemy sms-y, o jakieś dodatkowe informacje potrzebne do finalizacji transakcji. Te serwisy, są monitorowane i każde nowe konto próbuje być zaatakowane. Po prawej stronie zdjęcie przedstawiające taką próbę, gdzie niby ktoś pyta o adres e-mail i jeszcze dodaje niby zrzut ekranu, że ma do wpisania, aby uwiarygodnić swoją prośbę  Jest to pierwszy krok do przejęcia konta. Zaczynając przygodę z nowych serwisów, cieszymy, się że tak szybko uda się nam sprzedać, że jesteśmy wtedy łatwiejszym celem. Więc jeszcze raz nie podajemy, żadnych dodatkowych informacji przez telefon, sms, chat.

Jak sobie radzić?

Nie ma co wpadać w panikę przez wile lat hasła działają i przestrzegając powyższych wskazówek, można czuć się bezpiecznie. Jeśli jakieś Wasze konto powinno być bardziej chronione sprawdźcie czy nie oferuje ono dwuskładnikowego mechanizmu logowania i włączcie je. Nie jest to oczywiście rozwiązanie wszystkich problemów, ale znacząco podnosi bezpieczeństwo. Jest tylko jeden minus, że trzeba zapisać i schować gdzieś kod w przypadku utraty telefonu, czy klucza. Natomiast jest to operacja jednorazowa przy włączaniu autentykacji dwuskładnikowej (dwuetapowej, 2FA). Więcej o sposobach logowania w tym artykule.

Przedstawiłem tu tylko podstawowe zasady, aby nakreślić jak proces logowania przebiega i na co zwrócić uwagę. Zachęcam do monitorowania serwisu, gdzie będą pojawiać się treści związane z bezpieczeństwem.

 

Info z dnia
GrupaTreści
Podstawy