7 kroków do bezpieczeństwa w Sieci

Dzisiejszy wpis sponsorują literki ‘H’ jak ‘hasło’, ‘H’ jak ‘haseł menadżer’, ‘H’ jak ‘hardware-owy klucz’ oraz ‘H’ jak ‘hura, nie muszę się już martwić o hasła’. Starzy wyjadacze bitów nie znajdą tu niczego interesującego; uważam po prostu, że warto od czasu do czasu odświeżyć podstawy. Nowy Rok jest świetną ku temu okazją.


  1. Hasło jest lepsze niż brak hasła.
'dupa123' > ''

Jeżeli mamy włączone automatyczne logowanie do jakiegoś serwisu (z pominięciem hasła), ryzykujemy że ktoś inny siądzie kiedyś do naszego komputera kiedy akurat jesteśmy w toalecie / odbieramy paczkę / poszliśmy na kawę. I jesteśmy ugotowani.


  1. Różne hasła do różnych serwisów są lepsze niż to samo hasło do różnych serwisów.
'dupa123'  |   'dupa123'
'dupa234'  | > 'dupa123'
'doopa123' |   'dupa123'

Takie samo hasło do różnych miejsc to jakby mieć ten sam klucz do różnych drzwi: jeżeli ktoś nam ukradnie klucz, dostanie się nie w jedno miejsce, ale od razu w kilka.


  1. Znacząco różne hasła do różnych serwisów są lepsze niż różne, ale podobne hasła.
'dupa123'   |   'dupa123'
'carramba7' | > 'dupa234'
'friday13'  |   'doopa123'

Jeżeli mamy podobne hasła do różnych serwisów (na przykład: to samo słowo, ale różne cyfry na końcu), kradzież jednego hasła bardzo ułatwi kradzież kolejnych. Jeżeli złodziej ukradnie dwa podobne hasła, bez trudu rozpozna wzorzec i zgadnie kolejne. Uwaga praktyczna: bardzo dużo haseł w Sieci kończy się na “1!” albo “!1”, dzięki czemu spełniają wymóg posiadania cyfr i znaków specjalnych. Unikajmy tego.


  1. Trudne hasła są lepsze od łatwych haseł.
'bQ97!SP8f#YAk#PRt88n' > 'dupa123'

Trudne hasła są praktycznie niemożliwe do odgadnięcia – jedynym sposobem na ich złamanie jest przechwycenie podczas wpisywania, ewentualnie włamanie się do naszego menadżera haseł (lub tortury).


  1. 2FA jest lepsze niż brak 2FA
'bQ97!SP8f#YAk#PRt88n' + 2FA > 'bQ97!SP8f#YAk#PRt88n'

Klucz sprzętowy lub konieczność wpisania dodatkowego kodu z aplikacji 2FA zapobiegnie włamaniu nawet jeżeli ktoś ukradnie nasze super trudne hasło. No chyba że zastosuje tortury. No i pamiętajmy, że 2FA za pomocą SMS jest odrobinę mniej bezpieczne niż 2FA za pomocą aplikacji lub klucza sprzętowego.


  1. Częściowe hasło jest lepsze niż pełne hasło.
'bQ97!SP8f#YAk#PRt88n' + 'dupa123' > 'bQ97!SP8f#YAk#PRt88n'

Jeżeli w menadżerze haseł zapamiętamy “trudną” część hasła, a w głowie “łatwą” końcówkę, wówczas nawet jeżeli ktoś się włamie do naszego menadżera haseł i ukradnie nam w tym samym czasie klucz sprzętowy, będzie miał dodatkową przeszkodę do pokonania. Oczywiście najlepiej żeby te “łatwe” końcówki były różne dla różnych serwisów, dlatego żeby nie przeciążać umysłu, metody tej używamy tylko do najważniejszych klamotów. Na przykład: banki, operatorzy domen, serwisy umożliwiające resetowanie haseł do innych serwisów. No i metoda leży jeżeli atakujący zdecyduje się na tortury.

Nota bene dlaczego wspomniałem o operatorach domen? Otóż jeżeli ktoś włamie się na nasze konto operatora domeny, może przekierować naszą domenę na własny serwer. Jeżeli (tak jak ja) masz adres e-mail we własnej domenie, i jeżeli jest to Twój główny e-mail służący do resetowania innych haseł, jesteś ugotowany na cacy. Dlatego niektórzy zalecają mieć osobny adres e-mail do resetowania haseł, nie używać go do niczego innego, i nie trzymać go we własnej domenie tylko w domenie dostawcy usługi e-mail (gmail.com, onet.pl czy co tam jeszcze).


  1. Częściowe hasło z 2FA jest lepsze niż częściowe hasło bez 2FA.
'bQ97!SP8f#YAk#PRt88n' + 'dupa123' + 2FA > 'bQ97!SP8f#YAk#PRt88n' + 'dupa123'

W tym wariancie jedyne, co może pomóc włamywaczowi, to tortury.


Wniosek końcowy?

Nic nowego: trzeba mieć długie, trudne hasła różne dla różnych serwisów, najlepiej z 2FA tam gdzie się da, a te absolutnie krytyczne dodatkowo zabezpieczyć poprzez przechowywanie części hasła w głowie. I nie dać się złapać (bo tortury).

Proste?

No pewnie, że proste.

A jak to wygląda u mnie?

  • Używam menadżera haseł (LastPass) z logowaniem 2FA (klucz sprzętowy) oraz długim hasłem głównym (ponad 30 znaków, cyfry, wielkie i małe litery, znaki specjalne, nie kończy się na “1!”). Ponadto wszystkie zalogowane “bezpieczne” instancje LastPass mają ustawiony czas automatycznego wylogowania się na 30 dni, na wszelki wypadek.
  • Do każdego serwisu mam inne hasło, długie i skomplikowane. Tam, gdzie serwis nie dopuszcza pewnych klas znaków (na przykład znaki specjalne), nadrabiam długością. Tam, gdzie jest limit na długość hasła, nadrabiam znakami specjalnymi ewentualnie piszę do ekipy IT serwisu z prośbą o zwiększenie dopuszczalnej długości hasła (na ogół bez odzewu).
  • Gdzie się da, mam włączone 2FA (klucz sprzętowy lub Authy)
  • Główne konto email (do resetowania innych haseł) mam dodatkowo zabezpieczone częściowym hasłem, podałem też inny numer telefonu do resetowania hasła, którego nie używam nigdzie indziej, i który siedzi na wyłączonej karcie sim w Tajnym Miejscu – to na wypadek gdyby włamywaczowi zachciało się bawić w klonowanie karty. Raz na pół roku sprawdzam, czy karta sim jest aktywna i zasilam niewielką kwotą żeby utrzymać numer.

A Ty, Czytelniku, jak dbasz o swoją higienę haseł?

Zapisz się
Powiadom o
guest
4 komentarzy
Inline Feedbacks
Zobacz wszystkie komentarze
4
0
Zapraszam do skomentowania wpisu.x
()
x