Reklama
Reklama
  • WIADOMOŚCI

Cyberbezpieczeństwo na co dzień. O czym musimy pamiętać?

Cyberbezpieczeństwo w codziennym, prywatnym życiu. Na co zwrócić uwagę?
Cyberbezpieczeństwo w codziennym, prywatnym życiu. Na co zwrócić uwagę?
Autor. Pixabay.com. Licencja: https://pixabay.com/service/license-summary/

Kilkadziesiąt lat temu nikt z drugiego końca globu nie mógł wykraść naszych zdjęć z czatów na mediach społecznościowych czy wyłudzić sześciocyfrowy kod do wypłaty pieniędzy z bankomatu. Dzisiaj jest to jak najbardziej możliwe – technologia daje nam wiele udogodnień, lecz wiąże się z nowymi zagrożeniami. Cyberbezpieczeństwo stało się elementem naszego codziennego funkcjonowania. O czym należy pamiętać?

Każde z używanych przez nas haseł powinno być unikalne, tzn. wykorzystywane maksymalnie raz.

Musimy mieć świadomość, że bazy danych zawierające hashe haseł (algorytmiczne funkcje skrótu, używane do bezpiecznego przechowywania fraz) bywają wykradane i publikowane w tzw. „darknecie”.

Hasła

Przykładem niech będzie „Warszawa12”. W przypadku zastosowania jednego ze starszych algorytmów, który wciąż bywa wykorzystywany w prawdziwych systemach, fraza będzie zapisana w poniższy sposób:

9dc92d42c774b4571df9a0f321f54b4e

Na pierwszy rzut oka może się wydawać, że taki ciąg znaków jest niemożliwy do odwrócenia. Jest to jednak błędne założenie – „odgadnięcie” frazy „Warszawa12” było możliwe w oparciu o jedną z publicznie dostępnych stron w sieci.

Posiadając dużą moc obliczeniową oraz odpowiednie słowniki, zarówno badacze cyberbezpieczeństwa oraz cyberprzestępcy mogą ”łamać” hashe bardzo skomplikowanych haseł.

Hash „Warszawa12”
Hash „Warszawa12”
Autor. Strona do łamania hashy
Reklama

Złożoność hasła

Widzimy, że nasze hasło powinno być możliwie skomplikowane, lecz co to oznacza?

„Hasła schematyczne i tworzone zgodnie z przewidywalnymi regułami są proste do „złamania” za pomocą coraz doskonalszych narzędzi wykorzystujących słowniki i listy reguł modyfikujących każde słowo ze słownika” – czytamy w opracowaniu „Kompleksowo o hasłach” od CERT Polska.

CSIRT poziomu krajowego (odpowiedzialny m.in. za obsługę zgłoszeń incydentów od osób fizycznych) rekomenduje korzystanie z haseł, które będą złożeniem kilku słów – np.:

  • WlazlKostekNaMostekIStuka;
  • zielonyParkingDla3malychSamolotow.

Obecnie rekomendowaną minimalną długością hasła jest 14 znaków. Można w takiej sytuacji zadać słuszne pytanie: „Jak mam pamiętać dziesiątki tak skomplikowanych haseł?”.

Z pomocą przychodzą menedżery haseł, które przechowują je za nas. Jednocześnie powinniśmy pamiętać o tym, że wiąże się to z kolejnymi ryzykami, dlatego powinniśmy dobrać rozwiązanie w oparciu o nasze potrzeby.

Szerzej bezpieczeństwo haseł opisywaliśmy w artykule na naszych łamach.

Dwuetapowe uwierzytelnianie

Założmy, że cyberprzestępca uzyskał nasze hasło w inny sposób niż pozyskując je z wycieków danych – np. poprzez udany atak phishingowy bądź działanie złośliwego oprogramowania. W takiej sytuacji nie jesteśmy bezbronni – może chronić nas tzw. drugi składnik logowania, który należy podać w celu uzyskania dostępu do konta (po podaniu poprawnego hasła).

Wśród najpopularniejszych składników używanych do dwuetapowego uwierzytelniania warto wyróżnić m.in.:

  • jednorazowe kody (OTP) z SMS lub dedykowanej aplikacji;
  • klucze sprzętowe (U2F);
  • aplikacje uwierzytelniające (wykorzystujące np. biometrię).

Niektórym może się wydawać, że może to utrudniać korzystanie z kont. Warto jednak rozważyć korzyści z takiego działania wobec „utrudnień” w postaci konieczności wpisania kodu z telefonu czy podłączenia klucza do USB.

Warto przy tym podkreślić, że 2FA nie jest „cudownym rozwiązaniem” na wszystkie rodzaje ataków polegających na nieuprawnionym logowaniu się do systemów. Niedawno na naszych łamach Andrzej Zieliński (UODO) podkreślał, że kody z SMS bywają niewystarczającym zabezpieczeniem.

Zalecaną metodą dwuetapowego uwierzytelniania jest wykorzystanie kluczy fizycznych. Powinniśmy jednak pamiętać o tym, że każda metoda 2FA powinna uwzględniać możliwość zgubienia bądź kradzieży danego składnika. W przypadku kluczy rekomenduje się posiadanie dwóch urządzeń.

„Niektóre serwisy oferują możliwość pobrania listy zapasowych kodów jednorazowych. Warto ją wydrukować lub zapisać na zewnętrznym nośniku i schować w bezpiecznym miejscu” – podkreśla CERT Polska w opracowaniu „Włącz weryfikację dwuetapową”.

Reklama

Kopie zapasowe

Zdecydowana większość z nas posiada pewne dane, których nie chce stracić – mowa m.in. o skanach dokumentów czy zdjęciach (np. z dzieciństwa).

Warto sobie zadać pytanie: czy jesteśmy gotowi na awarię dysku, gdzie znajdują się te pliki?

W zastosowaniach komercyjnych często rekomenduje się tzw. „zasadę 3-2-1” – trzy kopie danych na dwóch różnych nośnikach, gdzie jeden jest odseparowany od innych. W zastosowaniach domowych warto mieć przynajmniej dwie kopie (główną i zapasową), aby nie doszło do bezpowrotnej utraty informacji wskutek uszkodzenia sprzętu czy działania złośliwego oprogramowania.

Weryfikuj rozmówcę

Każdy z nas może otrzymać prośbę o „szybkie pożyczenie” pieniędzy od bliskiej osoby bądź „telefon z banku” o rzekomej pożyczce na nasze dane.

Rekomendacja w tym zakresie może na pierwszy rzut oka wydawać się brutalna, ale jest słuszna: powinniśmy bazowo kierować się nieufnością i zakładać, że możemy być ofiarami oszustwa – nawet jeśli pisze do nas ktoś z konta wnuczka, dziecka czy babci.

Tak jak w linuksowych firewallach ustawia się często „DENY ALL” (odrzuć wszystko), tak samo powinien funkcjonować nasz mózg w momencie otrzymania nietypowej prośby. Nawet w przypadku usłyszenia gróźb w słuchawce, nie należy ulegać presji przestępców i pamiętać, że próbują wywołać na nas ogromną presję w celu osiągnięcia swoich zamiarów.

Weryfikacja tożsamości rozmówcy może polegać m.in. na wykorzystaniu innego kanału komunikacji – np. w przypadku otrzymania prośby na Messengerze możemy zadzwonić telefonicznie do danej osoby (przy czym to my musimy wykonywać połączenie na sprawdzony wcześniej numer).

Pamiętajmy, że żadna instytucja nie poprosi nas o zainstalowanie oprogramowania do zdalnego dostępu (np. TeamViewer czy AnyDesk).

Zdecydowanie lepiej chwilę zaczekać, niż dać się oszukać.

”Właśnie szłam na zajęcia na uczelni, kiedy mój chłopak zadzwonił do mnie z pytaniem, czy właśnie do niego piszę. To on poinformował mnie, że ktoś włamał mi się na konto na Messengerze (…) Wydawało się, że na serio to ja piszę. Nawet mój styl pisania emotek i pisania starał się naśladować” – przekazała nam Amelia, której konto na Facebooku zostało przejęte i wykorzystywane do wyłudzeń pieniędzy. Sprawę szerzej opisywaliśmy na naszym portalu.

Reklama

Podsumowanie

Powyższe kilka rad z zakresu cyberbezpieczeństwa jasno pokazuje, że zagrożenia w sieci stały się naszą codziennością – nie jesteśmy jednak bezbronni i możemy im skutecznie przeciwdziałać.

Wszelką podejrzaną aktywność warto zgłaszać do CERT Polska. Warto również korzystać z rządowego portalu Bezpieczne Dane, który agreguje wiele wycieków danych logowania z polskich organizacji.

Zobacz również

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Polecane

Czytaj także

Mogą Cię zainteresować