Każdy z nas do cyfrowego świata przenosi coraz więcej aspektów życia – od komunikacji ze znajomymi, przez bankowość internetową, kończąc nawet na załatwianiu spraw urzędowych.
Dbanie o mocne hasła logowania do internetowych usług jest jednym z podstawowych narzędzi, które poprawiają poziom naszego bezpieczeństwa – chronią nas samych i naszych bliskich przed poważnymi konsekwencjam.
Jednocześnie hasła, dwuskładnikowe logowanie i kopie zapasowe to chyba trzy najczęściej ignorowane aspekty naszego elektronicznego bezpieczeństwa. Zajęcie się nimi wydaje się trudne i nudne. Dzisiaj kilka słów o hasłach i bezpiecznym logowaniu.
Ten artykuł jest częścią serii dotyczącej bezpieczeństwa. Wcześniejsze wpisy dotyczyły konkretnych zagadnień, a dzisiaj przygotowałem dla Ciebie bardziej obszerne opracowanie, wraz z praktycznymi przykładami.
Narażeni na ataki
Może się wydawać, że na ataki ze strony internetowych przestępców narażeni są przede wszystkim ludzie znani, wypowiadający się w telewizji, politycy, czy szefowie dużych firm. Nic bardziej mylnego.
Ofiarą przestępców może stać się każdy z nas. “Dlaczego ktoś miałby chcieć atakować akurat mnie?” – możesz zapytać. Może się to wydawać nielogiczne. No może w kontekście banku – raczej rozumiemy, że ktoś mógłby próbować włamać się na nasze konto bankowe – ale na Facebooka? Instagrama? LinkedIna? W jakim celu?
Problem w tym, że przestępcy internetowi działają w oparciu o różne scenariusze ataków. Pozornie nawet usługa internetowa, która wydaje nam się “błaha”, może być punktem startowym do czegoś większego.
Weźmy taki przykład:
Każdy z nas posiada mniejsze lub większe grono znajomych i rodziny, z którymi kontaktujemy się przez komunikatory internetowe, takie np. jak facebookowy Messenger. Gdy Twój kolega / Twoja koleżanka pisze do Ciebie, widzisz jej imię, nazwisko, zdjęcie i całą historię konwersacji, to czy zastanawiasz się nad tym “czy to na pewno ta osoba?” – raczej nie. Ufasz, że to właśnie ona.
I takie zaufanie wykorzystują przestępcy, włamując się na konta zwyczajnych ludzi. Twój “znajomy” poprosi Cię o małą pożyczkę, wysłaną przez BLIKa (🎶 klik – klik i jest, kasa w weekendy też 😄). Nie wiem, czy się zgodzisz, czy nie – to pewnie zależy, jak wiarygodna będzie ta prośba. Nawet jeśli Ty nie dasz się złapać – ktoś inny pewnie tak.
Niestety, ale do takich sytuacji dochodzi, nawet całkiem często. Ludzie są okradani i realnie tracą pieniądze. Jeśli nie dbasz o swoje cyfrowe bezpieczeństwo to nie dość, że sam jesteś narażony, to narażeni są także wszyscy Twoi znajomi.
A to tylko jeden z możliwych ataków.
Jak się przed tym bronić?
Nie będę ukrywał – nie zawsze jest to proste.
Istnieje jednak kilka naprawdę podstawowych sposobów na zapewnienie sobie podstawowej warstwy bezpieczeństwa w sieci. Co więcej – prawdopodobnie nie musisz uczyć się obsługi skomplikowanych programów, bo wszystkie potrzebne narzędzia masz już w zasięgu ręki.
Jeśli Ci na tym zależy, to oczywiście możesz zagłębić się w to bardziej i korzystać z rozbudowanych programów, ale warto jest zacząć pomału – tak, aby się nie zrazić.
Hasła
Pierwszym, podstawowym i fundamentalnym poziomem bezpieczeństwa są hasła.
Pewnie słyszałeś przynajmniej kilka razy w swoim życiu, że:
- hasła powinny być skomplikowane,
- powinno się je często zmieniać – im częściej, tym lepiej,
- do każdego konta powinno się mieć inne hasło.
Chwileczkę – czyli w takim nie dość, że powinienem ustawiać skomplikowane hasła, dla każdego serwisu oddzielne, to jeszcze muszę je zmieniać co miesiąc? I tak… i nie. Dzisiaj chciałbym Ci powiedzieć, że nie wszystko to jest prawdą. Można się zabezpieczać dużo łatwiej.
W zasadzie wszystko się zgadza, poza punktem drugim. Przez długi czas uważano, że wymuszenie częstej zmiany hasła poprawia bezpieczeństwo użytkowników, ale badania przeprowadzone w 2016 roku pokazały, że wcale tak nie jest (źródło). Dlaczego? Bo ludzie i tak zwykle zmieniają je na to samo hasło z inną cyfrą na końcu, co całkowicie mija się z celem.
Odpowiedni poziom bezpieczeństwa uzyskamy już wtedy, gdy zastosujemy silne hasła i gdy dodatkowo będą one różne dla wszystkich naszych kont. Nie musimy ich ciągle zmieniać. Jest trochę łatwiej, ale to ciągle dosyć dużo do zapamiętania 🤯
Wymyślenie dobrego hasła nie zawsze jest proste – szczególnie, jeśli ma ono być dobre.
Nawet hasło, które wydaje Ci się bezpieczne, może okazać się niewystarczające. Przykładowo nie trudno się domyślić, że osoba posiadająca w sieci społecznościowej hasło “Super_Tajne!Haslo@Do#Facebooka%”, będzie posiadać do poczty hasło “Super_Tajne!Haslo@Do#Poczty%”. Mimo różnorodności znaków – nie będzie to dobre rozwiązanie, ponieważ wyciek jednego z nich otwiera możliwość dalszych ataków.
W powyższym złym przykładzie jest jednak pewna cecha, którą możemy wykorzystać. Jak podaje CERT Polska na swojej stronie internetowej dotyczącej haseł (znajdziesz ją tutaj), dobre hasła mogą być budowane z użyciem pełnych zdań, zawierających dodatkowe znaki specjalne.
Budując dobre hasło możesz na przykład wykorzystać jakiś cytat, poddać go lekkiej modyfikacji. Na poniższych plakatach można znaleźć przykładowo WlazlKostekNaMostek. Jeszcze lepiej byłoby, gdyby dodać przerywniki, np. Wlazl+Kostek-Na=Mostek!. Takie hasło łatwo zapamiętać, a bardzo trudno złamać.
Wciąż jednak ważne jest, żeby hasła były różne dla każdego serwisu internetowego. Jak to wszystko zapamiętać?
Na szczęście świat już wymyślił rozwiązanie tego problemu i nazywa się ono managerem haseł.
Managery haseł
Manager haseł to taki prosty program, który ma dwa cele – pierwszym z nich jest to, że wygeneruje dla Ciebie hasło, które będzie wystarczająco skomplikowane i trudne do złamania. Drugim – że uzupełni nim formularz dokładnie wtedy, gdy będzie taka potrzeba
INFORMACJA
Wbudowany manager haseł znajduje się w przeglądarce Google Chrome – jeśli z niej korzystasz, to jest duża szansa, że nie będziesz musiał korzystać z niczego innego. Nie jest on idealny, ale jest dobry. Szczególnie na początek.
Korzystanie z managerów haseł nie jest zwykle skomplikowane. Szczególnie, jeśli dobrze go wybierzemy. Możemy również swobodnie korzystać z tych rozwiązań, które są wbudowane w nasze przeglądarki (np. Google Chrome) lub systemy operacyjne (np. Pęk kluczy Apple).
Korzystanie z managera haseł może stanowić najważniejszą inwestycję w nasze cyfrowe bezpieczeństwo.
W dalszej części tego artykułu zajmiemy się przykładową konfiguracją kilku managerów, zanim jednak to nastąpi, pomówmy jeszcze o jednej, ważnej warstwie bezpieczeństwa, czyli o drugim składniku logowania.
Logowanie dwuskładnikowe
Gdy logujesz się do banku (szczególnie pierwszy raz, na nowym urządzeniu) lub wykonujesz przelew, to bardzo prawdopodobne, że w celu potwierdzenia operacji bank poprosi Cię o przepisanie kodu, który otrzymasz w wiadomości SMS.
Taki mechanizm potwierdzania nazywa się drugim składnikiem uwierzytelnienia, a sam proces logowania z jego wykorzystaniem – logowaniem dwuskładnikowym.
Dlaczego “dwuskładnikowym”? Ponieważ składa się z dwóch elementów – pierwszym jest hasło, a drugim kod. Istnieją różne kategorie takich “składników”. Ogólnie rzecz biorąc, dane wykorzystywane w autoryzacji mogą mieć postać:
- czegoś, co znasz (np. hasło),
- czegoś, co posiadasz (np. telefon, na który przysłany zostanie kod SMS),
- czegoś, czym jesteś (wiem, dziwnie to brzmi, ale są to np. dane biometryczne).
W szczególnie ważnych systemach informatycznych zakłada się, że potrzebne są zawsze przynajmniej dwa składniki. Dlatego przy pierwszym logowaniu do systemu bankowego, poza podaniem hasła, musimy jeszcze przepisać kod z SMS. W innych usługach może być tak, że co prawda zalogujemy się tylko z hasłem, ale wykonanie jakiejkolwiek operacji będzie wymagało przepisania otrzymanego kodu.
Poza wiadomościami SMS można korzystać jeszcze z innych rodzajów drugiego składnika z kategorii “posiadanych”, a są to:
- jednorazowe kody, które należy przepisać ze specjalnej aplikacji,
- fizyczne urządzenie, które podpina się do USB.
Co nam daje logowanie dwuskładnikowe?
Czy jeśli mam skomplikowane hasło, to nie wystarczy ono do zachowania bezpieczeństwa? Niestety nie zawsze.
W niektórych rodzajach ataków przestępcy mogą wejść w posiadanie naszego hasła. Może to mieć miejsce w przypadku wycieku danych z dowolnego serwisu lub phishingu, czyli ataku, w którym skłania się nas do wpisania danych logowania na fałszywej stronie, łudząco podobnej do tej prawdziwej.
Na takiej fałszywej stronie możemy zobaczyć na przykład formularz logowania, którego wypełnienie spowoduje przesłanie naszych danych do atakującego, umożliwiając mu tym samym logowanie na nasze konto. Czy ktoś daje się na to nabrać? A i owszem, wystarczy odpowiednio spreparowana wiadomość (“Twoje konto bankowe zostało zablokowane! Kliknij tutaj, aby zobaczyć więcej informacji”) – w świecie cyberbezpieczeństwa przyjęło się mówić, że każdego da się podejść.
Zastosowanie drugiego składnika, chociaż nie zawsze jest idealne, pozwala nam na zachowanie bezpieczeństwa w takim przypadku. Jeżeli inna osoba z jakiegoś powodu wejdzie w posiadanie naszego hasła, to nie wystarczy jej ono do logowania na nasze konto.
Tak jak jednak wspomniałem – jeżeli używamy tego samego hasła do logowania w wielu serwisach, wcale nie musimy bezpośrednio padać ofiarą ataku – może być on skierowany w dowolną usługę, w której posiadamy konto. Przestępcy czasami pozyskują adresy e-mail i hasła z różnych serwisów, a później sprawdzają możliwość logowania tymi samymi danymi do innych. Drugi składnik logowania zabezpiecza nas też przed takim scenariuszem.
Co należy chronić?
Podstawą naszego bezpieczeństwa w sieci powinno być zawsze stosowanie managera haseł. Jeżeli nie masz obecnie zbyt wiele czasu, to zrób chociaż jedno – zainstaluj lub skonfiguruj manager haseł i zacznij z niego korzystać.
W pierwszej kolejności zmień swoje hasła na bezpieczne w następujących miejscach:
- Konto bankowe,
- Poczta e-mail,
- Konta społecznościowe,
- Konta do komunikatorów,
- Konta do usług, z których korzystasz w pracy.
Serio, zrób to, a uchronisz się przed dużymi problemami w przyszłości. Zajmie Ci to pewnie około 15 minut.
Następnie wszędzie tam, gdzie to możliwe, dodaj do logowania drugi składnik w postaci kodu SMS (lub innej formy, jeśli czujesz się z nią swobodnie). Nie jest to idealne zabezpieczenie, ale jednak jest lepsze, niż żadne. W bankach jest to już domyślnie włączone, ale we wszystkich pozostałych usługach z powyższej listy będziesz musiał zrobić to ręcznie. Wszystkie duże serwisy społecznościowe i skrzynki e-mail posiadają taką możliwość.
Następnie stopniowo przyzwyczajaj się do korzystania z managera. Będzie on proponował Ci zapisanie hasła do każdego nowego serwisu, do którego będziesz się logować. Dla wszystkich nowych kont generuj sobie hasła z managera i stopniowo dbaj o zmianę haseł w pozostałych miejscach.
Ostatecznie jedynym hasłem, które powinieneś pamiętać jest to do managera. W takim przypadku może być ono bardziej skomplikowane – bo będziesz musiał pamiętać tylko to jedno.
Mam do Ciebie prośbę!
Jestem tylko losowym człowiekiem z internetu, ale chciałbym Cię o coś poprosić.
W dalszej części tego artykułu pokazuję konkretne rozwiązania, które możesz zastosować aby poprawić swoje bezpieczeństwo. Potraktuj to serio. Wybierz przynajmniej 1-2 możliwości i zastosuj u siebie.
Jeżeli nie masz czasu na konfigurowanie managera haseł (to wbrew pozorom coś, co ułatwia życie!), to chociaż skonfiguruj logowanie dwuskładnikowe na swojej poczcie i profilach społecznościowych. Niech to będzie nawet SMS.
Serio, Twoje bezpieczeństwo poprawi się dzięki temu znacznie!
Przejdźmy do praktyki
Manager haseł
Na rynku istnieje szereg managerów haseł. Istnieją takie, które są darmowe i płatne. Te darmowe często nie oferują automatycznej synchronizacji pomiędzy urządzeniami.
Google Chrome
Google Chrome jest najbardziej popularną przeglądarką internetową – bardzo możliwe, że go posiadasz. Jeżeli tak, to domyślny manager haseł masz już pod ręką.
Za każdym razem, gdy logujesz się do dowolnej usługi online, możesz zapisać podane dane logowania i zostaną Ci one podpowiedziane przy kolejnej wizycie.
W formularzu rejestracji możesz kliknąć na pole hasła prawym przyciskiem myszy i wybrać opcję “Zaproponuj hasło…”.
Następnie klikamy w “Użyj sugerowanego hasła” i zostanie ono automatycznie zapisane.
Jest to dobra forma generowania haseł i ich zapamiętywania dla osób, które nie potrzebują niczego więcej.
Zalety
- Wbudowany w przeglądarkę internetową;
- Darmowy;
- Synchronizuje się pomiędzy urządzeniami (jeśli korzystamy z Google Chrome zalogowanego na to samo konto Google);
Wady
- Nie podpowiada haseł poza przeglądarką (np. do aplikacji mobilnych);
- Nie zapamiętuje danych do kart, nie umożliwia tworzenia notatek;
Dedykowane managery
Tego typu usługi działają w formie oddzielnych aplikacji. Integruje się je ze wszystkimi przeglądarkami internetowymi przez wtyczki. Najbardziej popularne rozwiązania, na jakie możesz trafić to:
- 1Password,
- BitWarden,
- KeePass,
- Enpass.
Wszystkie one są dobre i mogę je z czystym sumieniem polecić. Niestety, ale część z nich jest płatna – jednorazowo lub w ramach opłaty abonamentowej i może być to koszt około 12 zł miesięcznie. Można też w gronie zaufanych osób korzystać z pakietów rodzinnych – zwykle jest to koszt około 20 zł za 5-6 osób.
Czy to wysoka cena? Z jednej strony tak. Warto popatrzeć na to od innej strony – jeżeli firma zarabia na moim abonamencie, to znaczy że stać ją na to, aby dostarczać wysoki poziom bezpieczeństwa.
Ja korzystam z aplikacji 1Password i bardzo ją sobie chwalę (a testowałem również pozostałe rozwiązania). Wyróżnia się ona faktem, że posiada wbudowany generator kodów jednorazowych (do obsługi dwuskładnikowego uwierzytelniania) oraz dodatkowe narzędzia, które zwiększają bezpieczeństwo, takie jak monitorowanie wycieków haseł, czy raportowanie w przypadku słabych zabezpieczeń.
Zalety
- Automatyczna synchronizacja pomiędzy urządzeniami;
- Podpowiadanie haseł we wszystkich aplikacjach;
- Możliwość przechowywania różnego rodzaju danych (nie tylko haseł);
- Dodatkowe narzędzia, wzmacniające bezpieczeństwo;
- Bardzo intuicyjne;
Wady
- Zwykle płatne;
Logowanie dwuskładnikowe
Do realizacji funkcji logowania dwuskładnikowego możemy korzystać z SMSów (i to raczej jasne), ale istnieją także inne formy tej metody.
Konfiguracja logowania dwuskładnikowego
Konfiguracja logowania dwuskładnikowego będzie różnić się w zależności od serwisu, jednakże zwykle znajdziemy ją w ustawieniach naszego konta, w zakładce “Bezpieczeństwo” lub “Logowanie”. Prawdopodobnie znajdziemy tam następujące opcje:
- Potwierdzenie SMS (standardowy kod wysyłany w formie wiadomości tekstowej),
- Kod jednorazowy, Aplikacja typu “Authenticator” (jednorazowy kod, zmieniający się co minutę, generowany przez aplikację mobilną),
- Urządzenie autoryzujące, klucz U2F (podłączane do komputera urządzenie, którym potwierdzamy logowanie);
O ile SMS jest raczej znaną formą potwierdzania, o tyle kod jednorazowy i urządzenie autoryzujące może wymagać dodatkowego wyjaśnienia – poniżej znajdziesz omówienie dostępnych możliwości.
Aplikacje “Authenticator”
W Google Play / App Store możemy znaleźć wiele aplikacji typu “Authenticator” (Google Authenticator, Microsoft Authenticator itp.).
Konfiguracja takich aplikacji do użycia w danym serwisie internetowym odbywa się przez włączenie na stronie dwuskładnikowego uwierzytelniania z opcją “Aplikacja uwierzytelniająca” i zeskanowanie kodu QR wygenerowanego przez ten serwis przy użyciu wybranej aplikacji mobilnej.
Od tego momentu aplikacja będzie dla nas generować 6-cyfrowy kod, który będzie się zmieniał co 60 sekund. W formularzu logowania po podaniu adresu e-mail i hasła, będziemy musieli podać również ten kod.
Bardzo dużym zagrożeniem takich aplikacji jest fakt, że często nie zapisują one swojego stanu nigdzie poza urządzeniem – przez to w przypadku zmiany telefonu będziemy musieli konfigurować wszystkie metody logowania od nowa. W przypadku utraty logowania będzie jeszcze gorzej.
Na szczęście większość serwisów w trakcie konfiguracji tego narzędzia pokazuje klucz odzyskiwania lub listę kodów zapasowych, którą możemy sobie zapisać w bezpiecznym miejscu.
Istnieją też aplikacje, które posiadają synchronizację – warto zwrócić na to uwagę przy wyborze pasującego rozwiązania. Jednym z nich jest 1Password. Jeżeli korzystamy z niego jako managera haseł, to będzie on mógł również generować dla nas jednorazowe kody logowania. Co więcej jeżeli program wykryje, że dane logowania dotyczą konta, które wspiera ten mechanizm, to wyświetli odpowiedni komunikat.
Po skonfigurowaniu tej metody aplikacja będzie automatycznie kopiować kod logowania do schowka, co jest bardzo wygodne.
Inne managery haseł także często posiadają taką możliwość.
Klucz fizyczny
Najbardziej bezpieczną formą logowania jest klucz fizyczny. Wygląda on całkiem podobnie do pendrive.
Można go skonfigurować podobnie, jak aplikację typu Authenticator. Tę formę logowania obsługują wszystkie lepsze skrzynki e-mail (np. Gmail, ProtonMail), serwisy społecznościowe (Facebook, Instagram) i inne, “poważniejsze” usługi internetowe.
Jego zasada działania jest prosta – w trakcie logowania, po zobaczeniu komunikatu na ekranie, podłączamy urządzenie do komputera i dotykamy kółka (w powyższym przypadku tego z literką Y) – w takim przypadku logowanie jest potwierdzane.
Ogromną zaletą tego rozwiązania jest fakt, że jeżeli podamy nasze dane na fałszywej, podstawionej przez przestępcę stronie, to klucz nie zadziała. W przypadku kodów jednorazowych i wiadomości SMS możemy przez niedopatrzenie podać włamywaczowi również ten kod – tutaj nie ma takiego ryzyka. Taki klucz potwierdzi nasze logowanie wtedy (i tylko wtedy), gdy będziemy logowali się na prawidłowej stronie.
Minusem jest fakt, że takie urządzenie trzeba zakupić – najlepiej w ilości 2 sztuk (w razie, gdyby 1 uległo zniszczeniu lub zgubieniu). Warto jednak zdecydować się na tę opcję, jeżeli zależy nam na bardziej kompleksowym zabezpieczeniu naszego cyfrowego życia (np. ze względu na odpowiedzialne stanowisko).
Niektóre klucze fizyczne posiadają również moduł NFC, który umożliwi logowanie w ten sam sposób w telefonach posiadających czytnik NFC (takich telefonów, którymi można też płacić).
Podsumowanie
Zagadnienia związane z zabezpieczaniem naszego cyfrowego życia mogą wydawać się skomplikowane, a perspektywa zmieniania haseł do wszystkich naszych kont – przytłaczająca.
Dobrze jest jednak zacząć od małych kroków – najpierw zabezpiecz dobrze te usługi, które są dla Ciebie kluczowe – konta w mediach społecznościowych i pocztę e-mail. Zmień do nich hasła na skomplikowane i włącz logowanie dwuskładnikowe. Poza tym, że będziesz czuć się bezpieczniej, to nie zapominaj, że zabezpieczysz również swoich bliskich przed utratą pieniędzy.
Jeżeli masz z tego artykułu wyciągnąć tylko jedną rzecz, to będzie to właśnie to.
Idąc dalej – zachęcam do zainteresowania się managerami haseł, przeniesienie do nich odpowiedzialności za generowanie bezpiecznych danych logowania i dbanie o Twoje bezpieczeństwo w sieci. Taki program możesz oczywiście wdrażać stopniowo, na początku zapisując w nim swoje bieżące hasła i zmieniając je na losowe dopiero wtedy, gdy do danego rozwiązania już się przyzwyczaisz.
Dla osób, którym szczególnie zależy na bezpieczeństwie dobrym wyborem są też fizyczne klucze U2F. Jest to obecnie najbardziej bezpieczna forma dwuskładnikowego uwierzytelniania, która nie dość, że dba o Twoje bezpieczeństwo, to jeszcze pomoże Ci w chwili słabości, gdy jednak dasz się nabrać i podasz dane do logowania, wraz z kodem SMS, na fałszywej stronie.
Źródła
Jeżeli chcesz dowiedzieć się więcej o bezpieczeństwie możesz zwrócić uwagę na te adresy:
- Strona CERT Polska dotycząca haseł
- Niebezpiecznik – 3 mity cybersecurity
- Dlaczego częste zmienianie haseł jest złe?
- Yubikey – producent kluczy sprzętowych