Bezpieczeństwo

Każde hasło da się zapamiętać

14 lutego 2019

Każde hasło da się zapamiętać

Hasło… Pierwsza i najważniejsza brama do naszej cyfrowej tożsamości. W zasadzie do wielu, bowiem liczba serwisów online, z których na codzień korzystam, w przypadku wielu (a może i większości) z nas przekroczyła setkę. A skoro korzystamy ze stu serwisów, to przecież nikt nie przy zdrowych zmysłach nie stworzy dla każdego z nich odrębnego hasła, prawda?

Cóż – a właśnie, że nieprawda.

Z ilu haseł korzystasz?

Zanim wpadniecie na pomysł, żeby coś mi wytknąć, powiem sam – tak, zainspirowałem się dzisiejszym wpisem na Niebezpieczniku. Co więcej – nawet polecam wszystkim przeczytanie go (gdy skończycie już mój, rzecz jasna). Po pierwsze, znajdziecie tam szczegółową instrukcję korzystania z jednego z menedżerów haseł (bo to o nich będę pisał). Po drugie – cóż, lubimy się z redakcją Niebezpiecznika, więc czemu nie dzielić się z Wami wartościowymi treściami, które można tam znaleźć? Poza tym nasze grupy docelowe czytelników nieco się jednak różnią.

Ale dobra, do rzeczy. Tak, można, a wręcz powinno się, mieć odrębne hasło do każdego serwisu z którego korzystamy. Ja sam nie rzucę pierwszy kamieniem. Mam pewne „dyżurne” hasło, którego używam do sporej liczby witryn. Na swoją obronę napiszę, że to tylko takie, gdzie nie ma nawet jednego bita moich danych wrażliwych. Reszty haseł… nawet nie znam. Nigdy nie widziałem ich na oczy, ale ważne, że wszystko wie o nich mój menedżer. Menedżer haseł oczywiście 🙂

Hasło w Menedżerze

Menedżer haseł to aplikacja, która zarządza wszystkimi używanymi przez Ciebie hasłami. Nie tylko je przechowuje, ale także – a może przede wszystkim? – wymyśla, zgodnie z podanymi przez Ciebie wytycznymi (długość, rodzaje znaków – wielkie/małe litery, cyfry, znaki specjalne – czy stopień skomplikowania). Programy tego typu po zintegrowaniu z przeglądarką pozwalają w momencie założenia konta na automatyczne wygenerowanie i zapisanie hasła doń, dzięki czemu – jak wspominałem wcześniej – nie musisz go nawet widzieć. W sumie to dobrze, po co komu 30-znakowe losowe hasło, i tak nikt tego nie zapamięta 🙂

Menedżer może albo trzymać Twoje hasła w pliku lokalnym (KeePass, z którego korzystamy m.in. w Orange Poslska, 1Password), bądź w swojej chmurze (LastPass, z którego korzystam prywatnie). Nawet jednak w tym ostatnim rozwiązaniu baza haseł jest rozszyfrowywana lokalnie na Twoim urządzeniu i nigdy nie jest w takiej formie dostępna w żadnym innym miejscu, niż Twój komputer, czy urządzenie mobilne. W efekcie nawet w przypadku wycieku danych (czy też zgubienia przez Ciebie komputera/pendrive z offline’ową bazą haseł) przestępca nie będzie w stanie się do niej dostać. Musiałby znać główne, zabezpieczające bazę, hasło. Nie muszę oczywiście mówić, że akurat ono musi być ekstremalnie silne. Jeśli pozwala na to menedżer – obowiązkowo zabezpieczone również drugim składnikiem (uwierzytelnianie dwuskładnikowe, 2FA).

Czy każde hasło nadaje się do menedżera?

O ile korzystanie z menedżera na początku może wydawać się skomplikowane, szybko się do niego przyzwyczajamy i staje się absolutnie automatyczne. Do tego stopnia, że czasami, gdy zapomnę zalogować się do mojego, wchodząc na znaną mi stronę patrzę jak sroka w gnat na okienko logowania dziwiąc się, dlaczego nie wpisuje się tam moje hasło? Są tylko trzy hasła, których tam nigdy nie umieszczam, trzymając je jedynie w głowie. Do Gmaila, do banku i rzecz jasna do naszej Sieci Korporacyjnej. Akurat w tych trzech miejscach czuję się bezpieczniej, gdy z nikim i niczym się nimi nie dzielę. A pozostałe? Cóż, nie wiem, jak mogłem żyć bez menedżera haseł.

Udostępnij: Każde hasło da się zapamiętać

Bezpieczeństwo

Nie będzie haseł, nie będzie czego kraść?

11 kwietnia 2018

Nie będzie haseł, nie będzie czego kraść?

World Wide Web Consortium (W3C), odpowiedzialne za standardy obowiązujące w sieci internet, ogłosiło, że Google, Microsoft, and Mozilla dołączyły do projektu pozwalającego używać autentykacji biometrycznej przy korzystaniu z internetu. Oznacza to – ni mniej, ni więcej – że w naszych przeglądarkach do logowania będziemy mogli używać twarzy, głosu i odcisków palców, bez konieczności instalowania dodatkowych rozwiązań zewnętrznych.

Było to możliwe dzięki opublikowaniu przed FIDO (Fast IDentity Online) Alliance standardu Web Authentication (WebAuthn), definiującego jak przeglądarki mogą używać komponentów na stronach WWW w odniesieniu do hardware’owych czytników, bez użycia oprogramowania firm trzecich. WebAuthn dopuszcza również użycie rozwiązania zewnętrznego, jak fizyczny „klucz”, czy smartfon, przy użyciu połączenia USB, Bluetooth, czy NFC.

Śmierć haseł?

Co to znaczy dla nas, jako użytkowników internetu? W dłuższej perspektywie zapewne śmierć haseł, przynajmniej w odniesieniu do zwykłego użytkownika sieci. Palce nosimy przy sobie, głos i twarz też, a co więcej – wykradnięcie ich przy wykorzystaniu phishingu jest niemożliwe. To nie loginy i hasła, które niefrasobliwie potrafimy podawać na tacy przestępcom.

Pytanie oczywiście w jaki sposób developerzy wdrożą te rozwiązania w życie. Wielokrotnie byliśmy świadkami udanych prób ataku na systemu rozpoznawania twarzy w telefonach, które dawało się oszukać zdjęciem i akurat ten sposób logowania do banku nie budzi zaufania. Głos? Tu już bardziej, ale przy założeniu, że np. będziemy wypowiadać jakieś abstrakcyjne hasło, w rodzaju: „Gwiazda ma koła z różowego szpinaku”. W innym przypadku, mając świadomość, że nasz głos można nagrać na różne sposoby, nie znając szczegółów jego analizy, ciężko byłoby zaufać również tej metodzie. Najlepsze wydają się być skany tęczówki i odcisku palca – oczywiście przy założeniu, że nie instalujemy na telefonie nieznanego oprogramowania. A co jeśli mamy dostęp do informacji o ciężarze strategicznym (czy to dla kraju, czy przedsiębiorstwa)? Cóż – tu pozostają hasła, albo wycieranie wszystkiego, czego dotkniemy w miejscach publicznych. Za prezydentem USA chodzą odpowiedzialni za tym funkcjonariusze Secret Service…

Zdjęcie autorstwa Andri Koolme (Flickr) na licencji CC-BY-2.0

Udostępnij: Nie będzie haseł, nie będzie czego kraść?

Bezpieczeństwo

Czy moje hasło wyciekło?

8 marca 2018

Czy moje hasło wyciekło?

Stali czytelnicy bloga znają zapewne bazę wycieków haseł Have I Been Pwned, której polską wersję można znaleźć na stronie CERT Orange Polska. Witryna prowadzona przez Australijczyka Troya Hunta, jednego z najbardziej znanych i medialnych (a to nie zawsze idzie w parze) ekspertów bezpieczeństwa IT gromadzi wszystkie wycieki loginów i haseł z ostatnich lat, pozwalając na sprawdzenie, czy nasze dane autoryzacyjne nie znalazły się w którymś z nich. Kilkanaście dni temu Troy zdecydował się uprawnić w istotny sposób swój serwis.

Czy ukradli mój login…

Zasada działania Have I Been Pwned jest prosta. Wchodzimy na stronę, wpisujemy login, witryna odpytuje bazę, czy się tam znalazł, po chwili dostajemy informację zwrotną. Na zielono (jest ok), bądź na czerwono, z informacją, skąd wyciekły nasze dane. Mechanizmy szyfrowania wpisywanych danych powodują, że nasz login w czystej formie nie będzie hulał nigdzie po świecie. Sam Troy Hunt zapewnia też, że nie gromadzi treści zapytań. Biorąc pod uwagę, że cały świat od lat korzysta z jego serwisu i wszystko jest w najlepszym porządku, nie sposób w to nie wierzyć – notabene stąd hostowana na naszej stronie polska wersja.

A co byście powiedzieli na możliwość sprawdzenia, czy gdzieś nie wyciekło nasze… hasło? Wiem, to brzmi nieco szaleńczo i mnie na pierwszy rzut mózgu włosy na głowie stanęły dęba. No bo przecież kompletnie inną sprawą jest wpisanie na stronie loginu, a czym innym naszego hasła, którego mamy przecież za żadne skarby nikomu nie podawać!

…i hasło?

Uwierzcie mi, że czuję się abstrakcyjnie, namawiając Was na coś takiego. No to może parę słów opisu. Z niespotykanie szczegółowego opisu usługi (w sumie nic dziwnego, chodzi o nasze hasła), wynika (w skrócie) iż są one wielokrotnie i w rozbudowany sposób szyfrowane po stronie przeglądarki, a następnie w specyficzny, niestandardowy sposób przesyłane w formie odpytania do bazy wycieków, gdzie oczywiście nie jest zachowywane. Chętnych zapraszam do zapoznania się z pełną treścią dokumentu. Ja po jego przeczytaniu, dodając do tego renomę i zaufanie do Hunta w bezpieczniackim świecie, wpisałem tam jedno z moich haseł. Takie, o którym wiedziałem, że znalazło się w przynajmniej jednym wycieku. Zwrotnie dostałem informację sugerującą nieużywanie tego hasła, bowiem w bazach pojawia się dwukrotnie. W sumie to niewiele w porównaniu do niemal 21 milionów dla „123456” ale wciąż o dwa razy za dużo, prawda? Na szczęście inne, nieco istotniejsze hasło, które wpisałem, wyświetliło się na zielono.

Jeśli mielibyście ochotę zajrzeć – czy to w celu sprawdzenia istniejącego hasła, czy przetestowania, czy nowe nie jest zbyt łatwe, wejdźcie pod adres https://haveibeenpwned.com/Passwords (specjalnie bez linka – zaznaczcie go i wklejcie do przeglądarki). Przed skorzystaniem upewnijcie się, czy strona pokazuje zieloną kłódkę, z certyfikatem wystawionym na Have I Been Pwned (Troy Hunt) (AU). A potem już tylko życzę samych zielonych plansz.

Udostępnij: Czy moje hasło wyciekło?

Bezpieczeństwo

Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

22 lutego 2018

Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

Postanowiłem „ukraść” Michałowi czwartkowy tekst o bezpieczeństwie. Powód? Natrafiłem na historię naszego klienta, który (zapewne) zapewnił darmowy transfer całej okolicy…  i zdecydowałem się nią podzielić.

Sprawa trafiła do nas przez przypadek. Ktoś w serwisie Targeo.pl ustawił adres biura prasowego, jako adres do kontaktu dla Orange Polska. Jeden z klientów skorzystał z niego i dostaliśmy jego reklamację. Dotyczyła, niskiej prędkości internetu. Klient nie mógł nawet odpalić strony w przeglądarce, o pobieraniu czegokolwiek nie wspominając.

Nad sprawą się pochyliliśmy i przesłaliśmy do wyjaśnienia przez kolegów zajmujących się obsługą klienta. Wrócili do nas szybko i co się okazało? Że klient korzysta z łącza o prędkości kilkudziesięciu Mb/s, a transfer przebiegał wręcz modelowo w obie strony. Właśnie… modelowo. Tak bardzo, że przez łącze przepływało w pojedynczej sesji nawet 200 GB danych. I tak dzień po dniu. Dlaczego? Ktoś widocznie znalazł WiFi, które było praktycznie niezabezpieczone i postanowił z niego skorzystać. Klient mógł także zostać częścią botnetu lub w inny sposób udostępnić swój komputer. W każdym z tych przypadków dobre hasło i dodatkowe zabezpieczenia załatwiłyby sprawę.

Historia skończyła się dobrze, choć z niewielkimi perypetiami. Na wszelki wypadek klient otrzymał nowy modem, a koledzy z BOK pomogli mu go zabezpieczyć. Po drodze okazało się jednak, że jakiś amator cudzej własności skorzystał z fragmentu sieci (proza życia) biegnącej do klienta, ale to też naprawiliśmy. Nasz klient odzyskał szybkość kilkudziesięciu mega i spokój. Bezcenne 😉

 

Udostępnij: Krótka historia, dlaczego warto dbać o hasło (i nie tylko)

Bezpieczeństwo

Czy moje hasło też wyciekło?

21 grudnia 2017

Czy moje hasło też wyciekło?

Przeszło 10 milionów loginów i odszyfrowanych haseł w domenie .pl, a w sumie 1,4 miliarda par login-hasło – tyle znalazło się na opublikowanej w ostatnich dniach w sieci największej liście wycieków danych autoryzacyjnych z całego świata.

Kluczowe pytanie: czy powinienem/powinnam się bać? Odpowiedź brzmi: to zależy. Znacząca część odszyfrowanych haseł to efekt wycieku sprzed 5 lat z serwisu LinkedIn, istnieje więc możliwość, że ówczesne ofiary zdążyły już zmienić swoje hasło. Co jeśli nie? A przede wszystkim: jak sprawdzić, czy jestem na tej liście?

Sprawdź swój adres

Odpowiedź na drugie pytanie jest najprostsza. Wystarczy wejść na polską wersję serwisu HaveIBeenPwned umieszczoną na witrynie naszego CERTu i wpisać adres e-mail, co do którego mamy obawy. Można go wpisać bez ryzyka, Waszych maili nie gromadzimy my, ani anglojęzyczny serwis, do którego z naszej strony trafia zapytanie. Jeśli strona zaświeci się na czerwono, też nie ma powodów do paniki, tym niemniej zalecamy:

  • natychmiastową zmianę hasła z danego serwisu oraz innych miejsc, gdzie do logowania używaliśmy tej samej pary login-hasło
  • uruchomienie w serwisach, które na to pozwalają, uwierzytelniania dwuskładnikowego
  • zachowanie szczególnej ostrożności w przypadku dziwnych maili: twój adres jest znany publicznie, więc stanowisz cel dla ukierunkowanego phishingu

Spokojnych świąt. Najlepiej analogowych 🙂 – w dzisiejszym świecie nawet do Netflixa nie jest potrzebny tablet, wystarczy Orange TV i dekoder ICU100 🙂

Udostępnij: Czy moje hasło też wyciekło?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej