Jak to fajnie, jak w momencie szukania pomysłu na tekst, ten przychodzi do mnie sam. Słyszeliście pewnie o problemach, jakie minionej nocy miał Twitter, czy raczej jedni z jego najbardziej opiniotwórczych użytkowników. Jeśli nie korzystacie z serwisu społecznościowego spod znaku niebieskiego ptaka: wg. opisu Twittera, charakterystycznym niebieskim znakiem oznaczane są konta firm/osób publicznych zweryfikowane jako autentyczne.

Dokładnie tych samych osób, które w nocy ze środy na czwartek chciały wszystkim zainteresowanym pomnażać bitcoiny. Czy raczej – tak to miało wyglądać.

Przelej mi bitcoiny, dam Ci drugie tyle

Były prezydent USA rozdający bitcoiny, tak po prostu? Nie tylko on – jeszcze Elon Musk, Bill Gates, Jeff Bezos, Apple, firmy powiązane z kryptowalutami… Zbyt piękne, żeby było prawdziwe? No jasne, ciekawe, czy ktokolwiek się na to nabrał. Jak to się stało? Po dłuższy, wyjaśniający sytuację artykuł, pozwolę sobie odesłać Was do The Verge, gdzie świetnie to opisano. Dla niecierpliwych: przestępcy przy użyciu socjotechnicznego tricku przejęli kontrolę nad komputerem jednego z pracowników Twittera. Tam wykorzystali wewnętrzne narzędzie firmy po to, by… zresetować hasła celebrytów (i mieć dostęp do nowych, rzecz jasna). Efekt – początkowo „zweryfikowani” nie mogli pisać żadnych tweetów, a później Twitter wprowadził (nieidealny) mechanizm uniemożliwiający wrzucanie adresów portfeli Bitcoinowych.

Drugi składnik Cię (zazwyczaj) uratuje

Skoro po wyjaśnienia odsyłam Was na zewnątrz, to po co w ogóle o tym piszę? Ano po to, że taka sytuacja to wyjątkowa okazja do tego, by przypomnieć o tym, że uwierzytelnianie dwuskładnikowe… Dobra, tutaj akurat by pewnie nie pomogło (zakładam, że przynajmniej jeden z zaatakowanych używa 2FA), ale akurat tego typu spektakularne ataki zdarzają się ekstremalnie rzadko. Dodatkowo, nikt z nas nie jest HVT (high value target, cel wysokiej wartości) na tyle, by – cóż, by wypłacać innym bitcoiny 😉 Dlatego, by uchronić zwykłego internautę przed atakiem nieco niższym poziomie wyrafinowania, 2 Factor Authentication wystarczy (o czym zresztą pisałem na blogu jakiś czas temu).

O co chodzi z tym 2FA? Jeśli już wiecie, to: po pierwsze – bardzo dobrze; po drugie zaś – wiecie, dlaczego warto to wytłumaczyć tym, którzy tą wiedzą jeszcze nie dysponują. O ile główne hasło możemy określić mianem „czegoś, co wiem”, 2FA to „coś, co mam”. I o ile ten pierwszy składnik możemy na różne sposoby stracić, z drugim tak łatwo nie będzie. I wtedy, jeśli przestępca/oszust wpisze nasz login i wykradzione hasło, zamiast uśmiechać się od ucha i zacierać ręce, zobaczy informację: „Podaj drugi składnik”. Whoopsie.

Zazwyczaj wystarczy aplikacja

Dla zastosowań służbowych warto, by 2FA był fizycznym urządzeniem (np. w przypadku pracowników Orange Polska w celu nawiązania połączenia VPN z siecią firmową niezbędny jest przypominający pendrive’a token kryptograficzny). W życiu codziennym wystarcza aplikacja, zmieniająca co 60 sekund losowy ciąg sześciu cyfr. Ja np. w ten sposób zabezpieczam 8 kont/serwisów, w tym Google, Microsoft, Twitter rzecz jasna, czy Amazon. Początkowo używałem aplikacji mobilnej Google Authenticator. Od pewnego czasu, z racji na to, iż często zmieniam testowane telefony, przerzuciłem się na Authy. Podstawową różnicą między nimi jest fakt, iż Authy trzyma moje klucze w formie zaszyfrowanej na swoich serwerach, a w momencie instalacji jej na kolejnym telefonie wymaga wpisania klucza deszyfrującego bazę, ściągniętą na urządzenie docelowe.

Jak znaleźć serwisy, wspierające 2FA? Na tej stronie znajdziecie te najpopularniejsze, a dodatkowo szczegółowy opis włączania w nich tej właśnie funkcjonalności. Największą chyba listę witryn i aplikacji obsługujących uwierzytelnianie dwuskładnikowe znajdziecie natomiast tutaj.

Włączcie 2FA. Po prostu. Nie warto dawać szansy złym ludziom.

Cały czas staramy się  zwiększać liczbę miejsc, w których możecie zarejestrować numer na kartę. Do blisko 20 000 punktów rozsianych po Polsce dołączyły teraz także… Wasze domy. Jako pierwszy operator, wprowadziliśmy rejestrację kart prepaid za pośrednictwem listonoszy. Dokładnie rzecz ujmując  e-listonoszy, wyposażonych w odpowiednie urządzenia.  Jak się domyślacie, nie byłoby to możliwe bez współpracy z Pocztą Polską.

Przy każdym tekście dotyczącym rejestracji prepaid pytaliście, czy wprowadzimy rejestrację bez konieczności wychodzenia z domu, zwracając uwagę na potrzeby osób z niepełnosprawnościami czy ograniczoną mobilnością. To właśnie z myślą o nich wdrożyliśmy tę możliwość, jednak nie ograniczamy jej wyłącznie do tej grupy.

Listonosze, otrzymali  teraz specjalne tablety oraz instrukcję w jaki sposób przeprowadzić rejestrację, dlatego nie ma obawy o bezpieczeństwo danych osobowych. Zresztą stykają się z nimi na co dzień, dostarczając nam wszystkim listy. Aby się zarejestrować wystarczy poprosić o to swojego listonosza. Rejestracja odbywa się on-line. W zasięgu e-listonoszy posiadających niezbędne wyposażenie jest nieco ponad 75 proc. rejonów kodów pocztowych w kraju. Na stronie zarejestrujnuimer.pl można sprawdzić czy do nas również dociera e-listonosz. Wkrótce usługa będzie dostępna na terenie całego kraju.

Co ważne – klienci Orange nie ponoszą żadnych dodatkowych kosztów za rejestrację.

P.S.

Nie wiem czy widzieliście, ale teraz możecie polecić Waszym znajomym rejestrację numeru prepaid w Orange. Na bardzo fajnych warunkach. Pisał o tym Wojtek na Twitterze:

Zaproście znajomego do rejestracji #prepaid w Orange. Dostaniecie oboje 60 dni no limit na rozmowy/SMS i 200GB neta. https://t.co/QxgwZscTAM pic.twitter.com/x0HRypvGAe

— Wojtek Jabczyński (@RzecznikOrange) December 14, 2016

Jak to fajnie, jak w momencie szukania pomysłu na tekst, ten przychodzi do mnie sam. Słyszeliście pewnie o problemach, jakie minionej nocy miał Twitter, czy raczej jedni z jego najbardziej opiniotwórczych użytkowników. Jeśli nie korzystacie z serwisu społecznościowego spod znaku niebieskiego ptaka: wg. opisu Twittera, charakterystycznym niebieskim znakiem oznaczane są konta firm/osób publicznych zweryfikowane jako autentyczne.

Dokładnie tych samych osób, które w nocy ze środy na czwartek chciały wszystkim zainteresowanym pomnażać bitcoiny. Czy raczej – tak to miało wyglądać.

Przelej mi bitcoiny, dam Ci drugie tyle

Były prezydent USA rozdający bitcoiny, tak po prostu? Nie tylko on – jeszcze Elon Musk, Bill Gates, Jeff Bezos, Apple, firmy powiązane z kryptowalutami… Zbyt piękne, żeby było prawdziwe? No jasne, ciekawe, czy ktokolwiek się na to nabrał. Jak to się stało? Po dłuższy, wyjaśniający sytuację artykuł, pozwolę sobie odesłać Was do The Verge, gdzie świetnie to opisano. Dla niecierpliwych: przestępcy przy użyciu socjotechnicznego tricku przejęli kontrolę nad komputerem jednego z pracowników Twittera. Tam wykorzystali wewnętrzne narzędzie firmy po to, by… zresetować hasła celebrytów (i mieć dostęp do nowych, rzecz jasna). Efekt – początkowo „zweryfikowani” nie mogli pisać żadnych tweetów, a później Twitter wprowadził (nieidealny) mechanizm uniemożliwiający wrzucanie adresów portfeli Bitcoinowych.

Drugi składnik Cię (zazwyczaj) uratuje

Skoro po wyjaśnienia odsyłam Was na zewnątrz, to po co w ogóle o tym piszę? Ano po to, że taka sytuacja to wyjątkowa okazja do tego, by przypomnieć o tym, że uwierzytelnianie dwuskładnikowe… Dobra, tutaj akurat by pewnie nie pomogło (zakładam, że przynajmniej jeden z zaatakowanych używa 2FA), ale akurat tego typu spektakularne ataki zdarzają się ekstremalnie rzadko. Dodatkowo, nikt z nas nie jest HVT (high value target, cel wysokiej wartości) na tyle, by – cóż, by wypłacać innym bitcoiny 😉 Dlatego, by uchronić zwykłego internautę przed atakiem nieco niższym poziomie wyrafinowania, 2 Factor Authentication wystarczy (o czym zresztą pisałem na blogu jakiś czas temu).

O co chodzi z tym 2FA? Jeśli już wiecie, to: po pierwsze – bardzo dobrze; po drugie zaś – wiecie, dlaczego warto to wytłumaczyć tym, którzy tą wiedzą jeszcze nie dysponują. O ile główne hasło możemy określić mianem „czegoś, co wiem”, 2FA to „coś, co mam”. I o ile ten pierwszy składnik możemy na różne sposoby stracić, z drugim tak łatwo nie będzie. I wtedy, jeśli przestępca/oszust wpisze nasz login i wykradzione hasło, zamiast uśmiechać się od ucha i zacierać ręce, zobaczy informację: „Podaj drugi składnik”. Whoopsie.

Zazwyczaj wystarczy aplikacja

Dla zastosowań służbowych warto, by 2FA był fizycznym urządzeniem (np. w przypadku pracowników Orange Polska w celu nawiązania połączenia VPN z siecią firmową niezbędny jest przypominający pendrive’a token kryptograficzny). W życiu codziennym wystarcza aplikacja, zmieniająca co 60 sekund losowy ciąg sześciu cyfr. Ja np. w ten sposób zabezpieczam 8 kont/serwisów, w tym Google, Microsoft, Twitter rzecz jasna, czy Amazon. Początkowo używałem aplikacji mobilnej Google Authenticator. Od pewnego czasu, z racji na to, iż często zmieniam testowane telefony, przerzuciłem się na Authy. Podstawową różnicą między nimi jest fakt, iż Authy trzyma moje klucze w formie zaszyfrowanej na swoich serwerach, a w momencie instalacji jej na kolejnym telefonie wymaga wpisania klucza deszyfrującego bazę, ściągniętą na urządzenie docelowe.

Jak znaleźć serwisy, wspierające 2FA? Na tej stronie znajdziecie te najpopularniejsze, a dodatkowo szczegółowy opis włączania w nich tej właśnie funkcjonalności. Największą chyba listę witryn i aplikacji obsługujących uwierzytelnianie dwuskładnikowe znajdziecie natomiast tutaj.

Włączcie 2FA. Po prostu. Nie warto dawać szansy złym ludziom.