Jeszcze o hasłach

https://xpil.eu/rrpzu

Dawno, dawno temu, zaraz na samym początku istnienia tego blogu, pisałem o tym jak sobie radzić z dużą ilością haseł. Polecałem wówczas aplikację LastPass, która nie dość, że działa wszędzie (z wyjątkiem piwnicy Kowalskiego, ale to tylko dlatego, że Kowalski nie ma piwnicy), to jeszcze jest wyposażona we wszystkie niezbędne opcje. No i - co najważniejsze - jest aktywnie rozwijana, a więc od czasu do czasu pojawiają się nowinki.

Jedną z takich nowinek omówię dziś. Jest nią uwierzytelnianie dwuetapowe Google.

Otóż wyobraźmy sobie, że ktoś wykradł nam nasze hasło główne (po informację czym jest hasło główne zapraszam do tamtego wpisu) i próbuje się zalogować na nasze konto LastPass. Jeżeli nie ustawiliśmy dodatkowego zabezpieczenia (w postaci, na przykład, karty kodów), znajdujemy się natychmiast w bardzo głębokiej dupie, ponieważ atakujący ma natychmiastowy dostęp do wszystkich naszych haseł i może z łatwością przejąć całą naszą cyfrową tożsamość, a jeżeli przechowujemy na koncie LastPass również informacje o kontach bankowych / kartach płatniczych, również znacznie uszczerbić nasze finanse (czytaj: ogolić nas do zera).

A więc warto mieć dodatkowe zabezpieczenie w postaci karty kodów jednorazowych. Tylko że taką kartę trzeba zawsze nosić ze sobą, co bywa lekko upierdliwe.

Tu w sukurs przychodzi inna postać uwierzytelniania dwuetapowego - jest nią właśnie Google Authenticator, maleńka, ale bardzo przydatna aplikacja mobilna, spełniająca rolę tokena z kodem czasowym.

Po skonfigurowaniu usługi, każdorazowe logowanie do LastPass wymaga podania nie tylko hasła głównego, ale również sześciocyfrowego kodu wygenerowanego przez Google Auth. Zamiast nosić ze sobą karteluszek z kodami jednorazowymi, wystarczy telefon (który zazwyczaj i tak jest gdzieś pod ręką). Dzięki temu złodziej musiałby teraz nie tylko wykraść nam nasze hasło główne, ale dodatkowo ukraść telefon (a więc dodatkowo złamać hasło albo PIN zabezpieczający telefon). To już znacznie bardziej kosztowna i ryzykowna operacja, a więc możemy się czuć bardziej bezpieczni.

Dodatkową zaletą uwierzytelniania dwuetapowego jest to, że sam dostęp do konta Google jest od tej pory zabezpieczony nie tylko hasłem, ale także jednorazowym kodem, który Google wyśle nam za pomocą SMS-a na nasz telefon. A więc jeżeli ktoś przechwyci nasze hasło do Gmaila, i tak nie włamie się, dopóki nie ukradnie nam telefonu (i tak dalej).

Ponieważ telefony mogą ginąć, psuć się bądź ulegać niespodziewanym przekształceniom własnościowym (czyli po naszemu ktoś może nam taki telefon rąbnąć), Google umożliwia dodanie koła ratunkowego w postaci zaufanego dodatkowego numeru telefonu, na który - w awaryjnej sytuacji - Google prześle kod umożliwiający wejście na konto nawet gdy atakujący jakoś jednak włamie się na nasze konto i zmieni nam hasło. Co prawda jeżeli atakujący ma odrobinę oleju w głowie, pierwsza rzecz, którą zrobi, to zmieni ten numer telefonu na jakiś inny, a więc to akurat zabezpieczenie jest dość słabe. Podobnie rzecz ma się z jednorazowymi kodami awaryjnymi, które można sobie wygenerować i wydrukować, a które spełniają podobną rolę jak dodatkowy numer telefonu. Jeżeli włamywacz wygeneruje nowy zestaw kodów, możemy się pożegnać z dostępem do konta. Tak więc najlepiej pilnować swego telefonu jak oka w głowie, i mieć ustawione jakieś w miarę przyzwoite zabezpieczenie, żeby złodziej nie mógł w łatwy sposób włączyć Google Auth.

Ogólny wniosek jest taki, że uwierzytelnianie dwuetapowe z użyciem Google Auth zabezpiecza nas przed włamaniem na skutek kradzieży hasła (zarówno hasła Google jak też LastPass), jednak nie pomoże nam za bardzo jeżeli wraz z hasłem złodziej uzyska fizyczny dostęp do naszego telefonu. To jednak wymaga od złodzieja zarówno znacznej wiedzy informatycznej (nie jest prosto przechwycić hasło zakodowane po https, najłatwiej jest zainstalować keyloggera - uważajmy więc logując się w miejscach publicznych) jak też zorganizowania napadu na właściciela telefonu (oraz odblokowania telefonu, jeżeli jest zabezpieczony hasłem).

Te wszystkie rozważania wydają się nudne i nieciekawe, jednak w gruncie rzeczy przez ostatnich kilkadziesiąt lat spora część ludzkości przeniosła znaczną część swoich dóbr (nie tylko finansowych) w Internet, a tam okazji do napotkania nieuczciwych ludzi jest aż nadto. Warto więc spędzić chwilę na zabezpieczeniu swoich cyfrowych włości. Oczywiście wszystko zawsze rozbija się o prosty czynnik ekonomiczny - złodziej, który wie, że może nam ukraść milion dolarów, bez problemu zainwestuje pół miliona w technologie i zasoby umożliwiające taką kradzież.

A Ty, Czytelniku, czy masz jakieś przemyślenia dotyczące bezpieczeństwa w Sieci? Chętnie posłucham.

https://xpil.eu/rrpzu

5 komentarzy

  1. Lastpass świetny jest! I basta.

    Ale na swoje własne paranoiczne potrzeby jeszcze go ulepszyłem. Otóż gdy trzeba utworzyć gdzieś hasełko to LP je pięknie generuje i zapamiętuje ale ja je jeszcze później wzbogacam.

    Ąść#34W1 – to wygenerował LP

    ja dopisuję (przykład! 😉 123 oraz qwe i mamy hasełko 123Ąść#34W1qwe – teraz LP nie zna już mojego hasła (a przecież wszyscy straszą że nie podawać ich nikomu) a ja nie muszę pamiętać dziwnych haseł i dzięki temu mam różne a nie wszędzie dupa.8

    Przy logowaniu na serwis – LP ładnie uzupełnia "swoją" część hasła, ja dopisuje swoją i klikam "zaloguj".

    Można te prefiksy i sufiksy oczywiście modyfikować: do haseł pocztowych @, do sklepów $ do banków %. Albo do bloga xpil.eu XP … EU. Albo cokolwiek innego – grunt że nawet LP nie zna całego hasła. Wydaje mi się to niezłym zabezpieczeniem na wypadek jakiejś wtopki.

    1. No jest to jakieś dodatkowe zabezpieczenie, aczkolwiek znając lwią część hasła (tą zapisaną w LP), hipotetyczny włamywacz może pokusić się o brute-force i sprawdzać kombinacje podobne do tych, które opisujesz.

      Ja robię identyczny trick z danymi karty kredytowej: zapisując je gdziekolwiek, modyfikuję niektóre cyfry, żeby w razie jakiegoś włamu nie było bubu.

      Z innej beczki, pamiętam zimny pot spływający po plechach po sławetnej kradzieży telefonu w centrum Dublina. Wtedy jeszcze używałem (z lenistwa) opcji "zapamiętaj hasło" w LastPass. Od tamtej pory wolę się za każdym razem logować długim i niewygodnym hasłem, niż ryzykować taki stres.

Skomentuj xpil Anuluj pisanie odpowiedzi

Komentarze mile widziane.

Jeżeli chcesz do komentarza wstawić kod, użyj składni:
[code]
tutaj wstaw swój kod
[/code]

Jeżeli zrobisz literówkę lub zmienisz zdanie, możesz edytować komentarz po jego zatwierdzeniu.