Bezpieczeństwo

Oglądaj się za siebie

10 października 2019

Oglądaj się za siebie

Czasem i mnie zdarza się wymyślić jakiś clickbaitowy tytuł :), ale gdy odsuniemy na bok żarty, okaże się, że ma on sporo sensu. Wpadłem bowiem ostatnio na ciekawe badanie, przeprowadzone na zlecenie firmy 3M. Dam sobie rękę uciąć, że badanie przeprowadzane z założoną tezą, biorąc pod uwagę, że zleceniodawca produkuje m.in. filtry na ekran monitora, uniemożliwiające osobom postronnym zobaczenie, co też tam wypisujemy. Ale nie zmienia to faktu, że badanie to bezdyskusyjnie zwraca uwagę na problem, którego wielu z nas nie widzi…

Wystarczy 15 minut

Dla zwykłych internautów – dokładne przyglądanie się potencjalnym phishingowym mailom. Dla firmowych specjalistów od procedur – polityki bezpieczeństwa haseł. Dla tych zajmujących się techniczną stroną cyberbezpieczeństwa – firewalle. I wiecie co? To wszystko o kant… tzn. i tak się nie przyda, gdy przestępca mimochodem stanie za nami i zobaczy jakie hasło wpisujemy.

Przyznajcie się sami przed sobą – czy zawsze wpisując hasło patrzycie, czy ktoś się Wam nie przygląda? Mnie w pracy akurat przychodzi to łatwo, bo za plecami mam kaloryfer i ścianę :), ale co gdy pracujemy zdalnie? Żyjemy w czasach, w których niczym nienormalnym nie jest otwarty laptop w bistro, kawiarni, czy przestrzeni co-workingowej. A tam, logując się, czy zestawiając połączenie VPN, mało kto patrzy za siebie… Tymczasem, według badania Instytutu Ponemon, zleconego przez Visual Privacy Advisory Council i wspominane 3M, w 45% badanych przypadków od spojrzenie na monitor i ręce ofiary do wpisania w odpowiednie miejsce przejętych poświadczeń logowania minęło zaledwie 15 minut!

Do phishingu jeden krok

Kwestia „shoulder surfingu” i ogólnie niefrasobliwości idealnie wpisuje się w trwające obecnie kampanie, rozsiewające trojana Emotet. Będące ich źródłem maila przychodzą z maili udających adresy osób, z którymi korespondujemy. Co więcej, są… odpowiedziami na faktyczne mailowe konwersacje, co tym bardziej może zmylić ofiarę (na stronie CERT Orange Polska przeczytacie bardziej szczegółowy opis). Skąd przestępcy mają dostęp do takich wiadomości? Ano stąd, że musieli dostać się do skrzynek „nadawców”. A jak się do nich dostali? Mogli przy pomocy złośliwego oprogramowania, a mogli po prostu zerknąć w kawiarni na to, jak się logowałeś/aś…

Jak na lunchu – to nie w pracy

Oczywiście Emotet i pokrewne to tylko jeden ze sposobów, w jaki przestępcy mogą wykorzystać naszą niefrasobliwość. By wykraść tajne dane z korporacji, nie trzeba włamywać się do komputera jej prezesa. Wystarczy znaleźć jeden słaby punkt, na najniższym szczeblu. Takim punktem może być jeden pracownik, który podczas przerwy lunchowej w pobliskim centrum handlowym nie zdejmie wiszącego na wierzchu identyfikatora z nazwiskiem, poskarży się podczas głośnej rozmowy z kolegami na złych ludzi z konkurencyjnego wydziału, aż wreszcie nie zauważy, logując się do sieci podczas szybkiego obiadu, że nie tylko on widzi wpisywany przez siebie login i hasło.

Nie namawiam Was do wpadania w obsesję i manię prześladowczą. Ale sami przyznacie, że warto być świadomym tego typu zagrożeń.

Udostępnij: Oglądaj się za siebie

Bezpieczeństwo

Najgorsze hasła 2017

4 stycznia 2018

Najgorsze hasła 2017

Kocham Was ludzie. Serio. Stali czytelnicy pewnie spodziewają się, że piszę to nieco ironicznie i tak, mają rację 🙂 Przeczytałem coroczne podsumowanie, zbierające najgorsze hasła z wykradzionych baz, autorstwa firmy SplashData. Idio… tzn. wyjątkowo niefrasobliwych internautów wciąż nie brakuje. I dobrze – dzięki nim tacy jak ja mają pracę 🙂

Hasła roku? Liderem 123456!

Od trzech lat niezmiennie najczęściej wybieranym hasłem wśród internautów jest 123456. Zdaję sobie oczywiście sprawę, iż nie mamy pewności, czy mówimy o grupie reprezentatywnej (raport bazuje tylko na odszyfrowanych częściach wykradzionych baz danych), tym niemniej fakt, iż 3 procent przeanalizowanych haseł to „123456” nas przeraża, a przestępców rzecz jasna cieszy. Cała reszta z top 100 (nie chciałem Was zanudzać na blogu, poniżej „zaledwie” Top 30) to w zasadzie niezmiennie te same idiotyczne hasła, których złamanie zajmuje profesjonalistom ułamki sekund.

Dlaczego hasła są takie ważne?

Tym, którzy są tu regularnie, nie muszę tłumaczyć 🙂 Jak jednak widać po statystykach, wciąż są tacy, którym trzeba. Spytam więc, czy wychodząc z domu zamykacie drzwi? A w jaki sposób? Na haczyk, czy jednak na patentowe zamki? No właśnie. A przecież jedyną różnicą między naszymi aktywami i pasywami offline i online jest tylko sposób dostępu. Są tak samo wartościowe i tak samo można je ukraść.
Polecam również poświęcony tematowi film – to zaledwie 5 wartych obejrzenia minut.

No i na koniec obiecane „topowe” hasła.

Najpopularniejsze hasła 2017 (top 30)
1 123456 11 admin 21 hello
2 password 12 welcome 22 freedom
3 12345678 13 monkey 23 whatever
4 qwerty 14 login 24 qazwsx
5 12345 15 abc123 25 trustno1
6 123456789 16 starwars 26 654321
7 letmein 17 123123 27 jordan23
8 1234567 18 dragon 28 harley
9 football 19 passw0rd 29 password1
10 iloveyou 20 master 30 1234

Udostępnij: Najgorsze hasła 2017

Bezpieczeństwo

Jak mocne jest Twoje hasło?

28 września 2017

Jak mocne jest Twoje hasło?

Człowiek to istota – hmmm – powiedzmy, że nie wypada użyć określenia „głupia”, powiedzmy więc, że po prostu lubimy chodzić na skróty. Ale o tym, że jesteśmy uparci można już powiedzieć i taka jest prawda. Upór to nie tylko cecha mojego 11-letniego syna – również wielu z nas. Na przykład wtedy, gdy zakładamy konto w nowym serwisie i wymyślamy doń hasło.

Tak, tak – dawno nie było o moim koniku :), a wpadłem ostatnio na ciekawy materiał o badaniach Carnegie Mellon University. To nie byle jaka uczelnia i nie chodzi oto, że „hamerykańska”. To przede wszystkim „dom” dla centrum koordynacyjnego CERT, miejsce w którym ostatecznie przyznaje się prawo do używania nazwy Computer Emergency Response Team (ma je m.in. nasz CERT Orange Polska).

Hasło na skróty

Każdy twierdzi, że jego hasła są świetne i nie do złamania, a gdy przychodzi do kolejnych wycieków, po raz kolejny okazuje się, że gros odhashowanej bazy to „12345678”, „Password”, „ILoveYou!”, czy inne tego typu konstrukcje „nie do złamania”. Zastanówcie się sami, czy tworząc hasła, nie chodzicie przypadkiem na skróty? Czy przy konieczności użycia wielkich i małych liter nie zaczynacie hasła wielką? A w ilu przypadkach, jeśli hasło ma zawierać cyfry i znaki specjalne, kończy się ciągiem „1!” (oczywiście bez cudzysłowów)? Kto jest bez grzechu, niech pierwszy rzuci kamieniem. No własnie. A przestępcy też o tym wiedzą.  Do tego stopnia, że ustawiwszy łamanie wykradzionej bazy na schemat Wmmmmmcz (gdzie W to wielka litera, m to mała, c to cyfra, a z to znak specjalny) przy odpowiednio silnym sprzęcie w ciągu kilku/nastu sekund rozszyfrują przynajmniej połowę bazy. Słabo, nie?

Dobre hasło? Sprawdź sam/a!

Naukowcy z CMU przeanalizowali miliony dostępnych w różny sposób haseł i przygotowali bazujący na przygotowanej przez siebie sztucznej sieci neuronowej tester haseł. Bazując na popularności formy, treści i stylu haseł, po wpisaniu naszej propozycji nie tylko dowiemy się, czy jest słaba, średnia, czy silna, ale również – w przypadku uwag – przeczytamy dlaczego coś jest nie tak i co powinniśmy zrobić, by utrudnić wyważenie bramy do naszego cyfrowego świata. Trochę edukacyjnie, jak nasza CyberTarcza, która nie tylko mówi: „Wylecz infekcję”, ale także wyjaśnia na czym polega związane z nią ryzyko.

Powiecie: „Ale co ty nam mówisz, chcesz, żebyśmy wpisali nasze hasła na jakiejś stronie?”. W sumie to będzie nawet mieć sporo racji, sam przed tym przestrzegam. Tutaj mamy jednak pewność, że to witryna CMU, oczywiście z transmisją zabezpieczoną przez https. Dla spokoju ducha jeśli chcecie sprawdzić jakieś hasło, zmieńcie w nim kilka cyfr, liter, czy znaków, żeby było bliźniaczo podobne do testowanego, ale jednak nie takie samo.

Jeśli jesteście gotowi na wyzwanie, zajrzyjcie na https://cups.cs.cmu.edu/meter/. Sprawdziłem kilka moich – było na zielono i bez uwag, ale ja nie jestem do końca normalny 😉

Udostępnij: Jak mocne jest Twoje hasło?

Reklama

Dziś zmienia się z Orange

31 stycznia 2011

Dziś zmienia się z Orange

Właśnie wystartowaliśmy z kampanią, w której przypominamy, że przedłużając z nami umowę można dostać nawet 40 proc. więcej minut do wykorzystania w taryfach Delfin, Pelikan i Pantera. To zarazem pierwszy spot , którym pojawia się nowy podpis, zwany z angielska claim. Zamiast „together we can do more” jest  „dziś zmienia się z Orange”. Hasło będzie pojawiać się w naszej komunikacji marketingowej w ofertach Orange nie tylko w Polsce, ale także innych krajach. Ma pokazywać, w jaki sposób dostarczane przez nas technologie mogą zmienić życie klientów na lepsze. Jestem ciekawy, jak podoba się Wam nasz nowy claim?

Udostępnij: Dziś zmienia się z Orange

Bezpieczeństwo

Chcesz iść na łatwiznę? Twitter Ci nie pozwoli

18 czerwca 2010

Chcesz iść na łatwiznę? Twitter Ci nie pozwoli

Jak pisałem w jednej z wcześniejszych notek, znaczną część haseł, używanych przez internautów, można złamać przy użyciu techniki brute force w ciągu kilku sekund. By ustrzec swoich użytkowników przed mogącymi z tego wyniknąć kłopotami, administratorzy najpopularniejszego mikrobloga na świecie, Twittera, stworzyli listę haseł niedozwolonych.

Czarna lista haseł do Twittera liczy 370 pozycji. Administratorzy serwisu nie zdradzają, czy skorzystali z istniejącej bazy, czy oparli się na hasłach, wybieranych wcześniej przez własnych użytkowników. Jeśli właściwa jest ta druga odpowiedź, to biorąc pod uwagę sięgającą nawet kilkadziesiąt milionów liczbę byłych i obecnych użytkowników serwisu oraz ich przekrój społeczny, można to uznać za grupę dość reprezentatywną.

Jeśli hasło wpisane przez nas znajduje się na czarnej liście – zobaczymy komunikat „Too obvious” (zbyt oczywiste) i zostaniemy poproszeni o jego ponowne ustalenie. Wśród zabronionych haseł, oprócz „123456”, „qwerty”, czy „asdfgh”, znajdziemy również „twitter”, „trustno1” (nie ufaj nikomu), „internet” i… „orange” 🙂 Jeśli więc nie chce się Wam wymyślać bardziej skomplikowanego hasła, z Twittera nie skorzystacie.

Powiecie: „To tylko mikroblog, nawet jeśli ktoś złamie hasło, to co złego może może się stać?”. Na samym Twitterze faktycznie niewiele, poza podszywaniem się pod nas rzecz jasna. Sprawa wygląda jednak inaczej, jeśli tym samym hasłem posługujemy się również w innych serwisach. Według wyników wielu badań robi tak – o zgrozo! – nawet ponad połowa użytkowników sieci. Jakby tego było mało, niewiele mniej niż 50 proc. internautów w ogóle nie zmienia haseł. Czym to grozi? Polecam choćby lekturę wcześniejszego wpisu o botnetach.

Niewątpliwie wygodnie byłoby mieć jeden klucz od mieszkania, samochodu, pokoju w pracy i jeszcze paru innych rzeczy, ale wygoda przestałaby się liczyć, gdyby ktoś nam ten klucz ukradł… Tak samo jest z hasłami: logowanie się w ten sam sposób do portali internetowych, komunikatorów, paneli użytkownika w usługach takich jak choćby Neostrada, czy też wreszcie do banku, na pewno ułatwia życie. Do momentu, kiedy ktoś przejmie nasze hasło…

Wtedy taki człowiek ma szerokie pole do popisu: może zapoznać się z naszą prywatną pocztą, wysyłać w naszym imieniu pogróżki, kupić coś jako my w serwisie aukcyjnym i nie zapłacić, z czystej złośliwości zmienić parametry usług TP, z których korzystamy i wiele innych możliwości.  Ile wtedy czasu stracimy na „odkręcanie” spraw, ewentualne wizyty na policji… Wtedy zysk czasowy na łatwiejszych hasłach okazuje się iluzoryczny – tłumaczy Karol Więsek, ekspert ds. zabezpieczeń systemów teleinformatycznych w TP SA. – Jak sobie poradzić z zapamiętaniem haseł? Wybieraj hasła łatwe do zapamiętania, kojarzące się z czymś: „DzienDobryK0mputerku!”, „6.TrudneHaselko:Tak!”, „TuNieMaSpamu!?:-0”. Proste, prawda? Jeśli poradzimy sobie z zapamiętywaniem takich skojarzeń, to nawet systematyczne zmienianie haseł, przynajmniej do kluczowych serwisów, nie będzie problemem. Pamiętajmy, że nasze bezpieczeństwo w sieci zależy głównie od nas samych i warto być świadomym, odpowiedzialnym użytkownikiem – dodaje Karol Więsek.

Na koniec jak zawsze pytanie do Was – ilu haseł używacie i jak często je zmieniacie? Zapraszam do dyskusji w komentarzach.

 

Źródło: http://techcrunch.com/ 

Udostępnij: Chcesz iść na łatwiznę? Twitter Ci nie pozwoli

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej