Też macie wrażenie, że nie nadążacie za pędem codzienności i permanentnie coś Was omija? Nasz mózg stara sobie z tym radzić, i odsiewać kwestie, które wydają mu się mniej istotne, już na poziomie podświadomości. Przez święta, gdy bieg wydarzeń trochę zwolni, warto się zastanowić, czy aby wewnętrzny firewall nie powstrzymuje także naszego myślenia o bezpieczeństwie.

„Trudne hasło? Przecież ja go w życiu nie zapamiętam! Uwierzytelnianie dwuskładnikowe? Nie mam na to czasu, po co mi to? A poza tym przecież ja jestem tylko małym szaraczkiem, cyber-przestępca szuka dużych pieniędzy, więc uderza w większych ode mnie”. Często tak myślicie?

Cyber-przestępca tymczasem nie szuka dużych pieniędzy – szuka przede wszystkim pieniędzy łatwych. Jak już wielokrotnie pisałem na Blogu Technologicznym hasło to frontowe drzwi do naszych danych, naszej prywatności, i tylko od nas zależy, czy będą drewniane i zeżarte przez korniki, czy stalowe, antywłamaniowe, z mnóstwem bolców i atestowanym zamkiem. Idę o zakład, że przynajmniej 30% (a pewnie i z 50%) Czytelników Bloga Technologicznego ma na sumieniu małe bezpieczniackie grzeszki. A ilu z nas poniosło już w związku z tym jakieś strony i może nawet o tym nie wie? Akurat w przypadku cyber-bezpieczeństwa czas to może nie zawsze pieniądz, ale na pewno czas poświęcony nad wypracowaniem bezpiecznego schematu naszych zachowań w sieci przekłada się na większy spokój. Problemy cytowanego na wstępie statystycznego malkonenta są naprawdę łatwe do pokonania. Można np. korzystać z menedżera haseł (KeePass, LastPass, kilka innych – w wystarczającej w większości przypadków wersji podstawowej są darmowe), logować się doń jednym silnym hasłem (i to faktycznie trzeba zapamiętać, ale po wielu powtórzeniach samo wchodzi w głowę) + tokenem do uwierzytelniania dwuskładnikowego (małe urządzenie USB, które można np. przypiąć do kluczy, generujące długie hasło jednorazowe). Ile na  tym tracę dziennie? Pełen cykl uruchomienie menedżera na komputerach w pracy i w domu zajmuje mi po 15 sekund, trochę dłużej w przypadku smartfonu. Niech to będzie łącznie nawet półtorej minuty przez 20 dni w miesiącu – oznacza to, że choć „tracę” na tym przez miesiąc całe pół godziny. Zyskuję za to mnóstwo świętego spokoju, wiedząc, że moje hasła mają od 12 znaków w górę (niestety wciąż mamy do czynienia z serwisami, pozwalającymi na maksymalnie 12-znakowe hasła), są kompletnie niezrozumiałym losowym bełkotem, nie muszę ich pamiętać i nawet w razie wycieku z jednego serwisu, pozostałe są bezpieczne. Tym którzy twierdzą, że dalej nie warto, polecam lekturę ostatnich informacji o wyciekach haseł, że wspomnę tylko o Sony, LinkedIn, czy Evernote.

To tylko półtorej minuty dziennie – rozmowa na korytarzu, chwila zamyślenia, czy kilka przeciągłych ziewnięć…

Wesołych Świąt!

Jeden z niedawnych wpisów na Hardcore Security Lab przypomniał mi, że obiecałem Wam kontynuację tematu Bezpiecznej Poczty TP, czyli naszego rozwiązania kryptograficznego, opartego na infrastrukturze klucza publicznego (PKI) . Szyfrowanie i uwierzytelnianie poczty to bowiem tylko jedno z jego zadań.

Konieczność regularnej zmiany haseł, wymuszana przez firmowe polityki bezpieczeństwa, traktowana jest przez użytkowników jako zło – nomen omen – konieczne. Nie dziw więc, że cytowane przez blog HCSL badania trzech naukowców z Uniwersytetu Północnej Karoliny wykazały, iż w znacznej części przypadków monitowani o zmianę użytkownicy dodają do „bazowego” hasła np. kolejne cyfry, zmieniając 1 na 2, potem 2 na 3 i tak dalej. Efekt jest przewidywalny – w przypadku cytowanych badań w 90 proc. przypadków nowe hasło można było odkryć na podstawie poprzednich.
Nie da się ukryć, że mechanizmy działające w ludzkim mózgu niejako niezależnie od nas starają się upraszczać nam życie. Choćby wtedy, gdy na etapie podświadomości filtrują z zalewu wiadomości te, które są dla nas istotne, a odrzucają to, co w IT nazwalibyśmy po prostu spamem. I tu z pomocą, zarówno użytkownikom, jak i pracodawcy, przychodzi Bezpieczna Poczta (BPTP). W TP bowiem w procesie logowania domenowego zamiast nazwy użytkownika i hasła  wystarczy włożyć do portu USB token BPTP i wpisać jego alfanumeryczny PIN. PIN to rzecz jasna też hasło i na tej samej zasadzie można go odgadnąć. W tym przypadku jednak znajomość PINu, osiągnięta w dowolny sposób (podejrzenie, brute force, ukradnięcie użytkownikowi kartki z PINem 🙂 ) bez posiadania tokena nic nie da. Oczywiście można również ukraść token, ale jest to łatwiejsze do odnotowania, niż zwykłe podsłuchanie/złamanie hasła, więc siłą rzeczy uwierzytelnienie jest wyraźnie silniejsze.
– BPTP daje użytkownikowi możliwość autoryzacji za pomocą certyfikatu kryptograficznego wszędzie, gdzie są ku temu techniczne możliwości, np. do firmowego VPNa, sieci Wi-Fi, czy też przy szyfrowaniu dysku – wyjaśnia Leszek Gerwatowski, kierownik Działu Bezpieczeństwa Aplikacji, w Telekomunikacji „guru” od systemów opartych na PKI. – Zunifikowanie tych możliwości w jednym kluczu USB nie tylko zmniejsza koszty, ale też ułatwia obsługę systemu i powoduje, że w przypadku problemów z zagubieniem, czy kradzieżą, wystarczy zastrzec tylko jeden token – tłumaczy. Przede wszystkim jednak korzystanie z BPTP (w niektórych przypadkach autoryzacja tokenem jest warunkiem dostępu, czy skorzystania z usługi) znacznie obniża ryzyko nieautoryzowanego dostępu do wrażliwych obszarów sieci korporacyjnej. Kilka dni temu, 7 stycznia, udało się co prawda złamać 768-bitowy klucz RSA, ale szacuje się, iż złamanie kilobitowego (a taki stosowany jest w BPTP) nastąpi najwcześniej w… 2020 roku.