Na przeczytanie potrzebujesz 3 minut(y).
Mamy rok 2019 i mimo rozwoju technologii, systemów biometrii czy też sztucznej inteligencji hasło wciąż pozostaje podstawową metodą uwierzytelnienia użytkowników w systemach informatycznych. Czy rzeczywiście łatwo jest poznać czyjeś hasło? Jak wiele informacji można uzyskać z jego pomocą?
Uwierzytelnianie, autoryzacja, autentykacja, autentyfikacja i inne dziwactwa
Nie mogę się powstrzymać, aby na początku nie ustalić jednej bardzo ważnej rzeczy. A więc… hasło służy do uwierzytelnienia (ang. authentication), a nie autentykacji, o której często słyszę w „rozmowach korytarzowych”. Na potrzeby tego artykułu ustalamy, że takiego słowa po prostu nie ma. Skoro mamy to już za sobą to uwierzytelnianie jest czynnością polegającą na udowodnieniu, że jesteśmy tym kim za kogo się podajemy. W odróżnieniu do autoryzacji, która jest czymś zgoła innym. Autoryzacja polega na zatwierdzeniu przez nas wykonania jakiejś czynności przez system informatyczny (np. autoryzacja przelewu w bankowości internetowej).
Podsumowując uwierzytelnianie - potwierdzamy swoją tożsamość i autoryzacja - zatwierdzamy wykonanie jakiejś czynności. Autentykacji, autentyfikcji czy innych dziwactw nie ma 🙂
Czy nasze dane wyciekają? Tak.
Skoro teorię mamy już za sobą to przejdźmy do praktyki, która wygląda tak, że w dzisiejszych czasach spotykamy się coraz częściej z wyciekami baz danych z różnych serwisów. Rzeczywiście regulacje takie jak RODO spowodowały, że organizacje zaczęły bardziej zwracać uwagę na bezpieczeństwo przechowywanych informacji, głównie z powodu kar, które im grożą za ich złe zarządzanie. Musimy natomiast się umówić, że wycieki były i będą niezależnie od tego jak wysokie kary nałożą ustawodawcy.
Aby uzmysłowić Wam, że to nie jest jedynie czcze gadanie i wymysły osób zajmujących się cyberbezpieczeństwem, chciałbym tu przywołać ostatni duży i głośny wyciek z firmy morele.net, której baza danych zawierająca imiona, nazwiska, adresy e-mail, numery telefonów, skróty haseł znalazła się kilka dni temu w sieci. Cóż… nie jestem gołosłowny bo… moje dane się tam również znalazły.
Zmieniłem hasło do sklepu, z którego wyciekły dane, czy jestem bezpieczny? Nie.
Otóż wielu internautów posiada to samo (bądź bardzo zbliżone) hasło do wszystkich swoich kont internetowych (głównie z wygody i trudności w zapamiętaniu różnych haseł). Przestępcy doskonale zdają sobie z tego sprawę, dlatego poza próbą zalogowania się do Waszego konta w sklepie internetowym, w pierwszej kolejności spróbują zalogować się tym samym hasłem do Waszej skrzynki pocztowej. Jeśli im się uda… jesteście przegrani.
Co wie o mnie moja skrzynka pocztowa?
Zaskakująco dużo. Większość cyfrowego życia opiera się na wymianie informacji za pomocą poczty e-mail. Wykorzystujemy nasz adres jako login w niektórych serwisach, jako jedyną metodę odzyskiwania hasła w innych, jako miejsce do przechowywania potwierdzeń o poprawnie zrealizowanych wnioskach (np.ratach na telewizor), jako miejsce gdzie odłożone są skany naszych dokumentów (wpiszcie sobie swój numer dowodu lub numer pesel w wyszukiwarkę swojej poczty... Zaskoczenie?:))
Na co dzień niestety o tym zapominamy, a być może nie zdajemy sobie nawet z tego sprawy, ale skrzynka pocztowa to prawdziwy skarbiec informacji o nas i klucz do resetu hasła do większości naszych serwisów. Dlatego tak ważne jest aby skrzynka pocztowa była szczególnie zabezpieczona. Równie ważne jest to, aby do każdego z serwisów mieć inne hasło, tak aby nawet w przypadku wycieku danych z jednego serwisu przestępca nie mógł się zalogować na nasze konta na innej stronie.
O czym należy pamiętać?
- Używaj zawsze innego hasła do różnych serwisów internetowych
- Pamiętaj o tym, aby hasła były długie. Wbrew temu co do tej pory było doktryna nie muszą one być mocno skomplikowane. Niech będą długie (o sposobach na tworzenie napiszemy kiedyś oddzielny tekst).
- Warto korzystać z managerów haseł (o tym również kiedyś).
- Wszędzie tam gdzie się da korzystaj z tzw. second factor (czyli dodatkowego składnika jak np. kod SMS przy logowaniu. O tym możesz przeczytać w artykule Jak zwiększyć bezpieczeństwo swojego konta w internecie, czyli co to jest dwuskładnikowe uwierzytelnianie?
- Chroń swoje konto pocztowe, przeglądaj je regularnie i jeśli wiesz o tym, że skany Twojego dowodu lub inne wrażliwe dokumenty nie są ci już potrzebne w Twojej skrzynce pocztowej, staraj się je stamtąd usuwać.
Jak zwykle czekamy na Wasze opinie o poruszanych tematach oraz o tematach o których chcielibyście przeczytać.
Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.