Słyszeliście, że ostatnio w mediach dość sporo mówi się o zabezpieczaniu korespondencji e-mail? Nie każdy z nas jest celem wysokiej wartości (High Value Target, HVT), ale każdy z nas przez swoją niefrasobliwość może narazić się na ryzyka, związane z wyciekiem korespondencji. Naruszenie prywatności, wgląd w nasze intymne/wrażliwe treści, kradzież tożsamości (podszywanie się pod nas), okradanie (jako my) naszych znajomych, czy wreszcie dostęp do (ważnych) danych naszego pracodawcy. To nie wszystkie z potencjalnych ryzyk, związanych z uzyskaniem przez osobę niepowołaną dostępu do naszego konta e-mail. To nie muszą być dane ważne dla bezpieczeństwa państwa, by zrobiło nam się gorąco…
Jak się chronić? Na szczęście dla znaczącego ograniczenia ryzyka nie trzeba wiele. W dzisiejszych zaganianych czasach szkoda nam czasu na czynności, które wydają się zbędne. Jeśli jednak zdamy sobie sprawę, że zmiana naszych przyzwyczajeń względem kont e-mail, czy social mediowych, tak naprawdę nie zajmie nam o wiele więcej czasu – łatwiej będzie się do tego przyzwyczaić.
Po pierwsze – hasło
Od lat się mówi, że hasło to przeżytek, że kto to wszystko spamięta, żeby od haseł odchodzić. Co do zasady – absolutnie się zgadzam! Tylko, że w przypadku konta mailowego nikt nie wymyślił sensownej alternatywy. Dodatek do hasła – tak (o tym później), ale zastępstwo hasła jeszcze nie.
Choć są firmy, w których niezmiennie trwa podejście „bardzo-długie-totalnie-losowe-hasła-zmieniane-co-miesiąc” od tego na szczęście już się odchodzi. Nie powiem Wam, jaka jest polityka haseł w Orange Polska, ale zdradzę, że hasła zmieniamy rzadziej, niż co miesiąc. Dzięki temu nie zdarzają się sytuacje, gdy pół firmy loguje się, wpisując: „Czerwiec21!”, a przy zmianie hasła – „Lipiec21!”. Takie podejście mobilizuje do tego, żeby wymyślić hasło realne do zapamiętania, a jednocześnie wystarczająco trudne. Ja na szkoleniach podaję przykład znanego tylko Tobie zwrotu, zdania, np.:
Litwo, ojczyzno moja! Ty jesteś jak zdrowie!
Z którego można wziąć pierwsze litery i znaki przestankowe, by powstało:
L,om!Tjjz!
Trudne? Trudne. Łatwe do zapamiętania, jeśli znamy punkt wyjścia? No ba! Może tylko trochę za krótkie. Jeśli z serwisu, z którego korzystasz, wycieknie baza haseł, z prawdopodobieństwem graniczącym z pewnością złodziej spróbuje złamać te do 8, ew. do 12 znaków. 13- i dłuższych nie będzie mu się opłacało.
W przypadku haseł przede wszystkim polecam korzystanie z menedżera haseł (jest ich sporo w sieci). Ja sam jednak kilka podstawowych haseł: do menedżera haseł (ha!), banku, czy sieci firmowej pamiętam w głowie. Uwierzcie mi, nawet jeśli jest to pokręcone 20-znakowe hasło, po wpisaniu go 30. raz i tak je zapamiętacie.
Po drugie – zaskocz oszusta
Wyobraź sobie gościa, który w jakiś sposób wszedł w posiadanie Twoje hasła. Z uśmiechem godnym Don Pedro, szpiega z Krainy Deszczowców wpisuje je, potwierdza i… wyskakuje mu monit o wpisanie drugiego składnika uwierzytelnienia!
Ha!
Chyba nie potrafię sobie skojarzyć żadnego poważnego serwisu, który nie udostępnia możliwości uwierzytelniania dwuskładnikowego. O co chodzi? W skrócie – konfigurujemy odpowiednią aplikację (SMSowe 2FA odradzam, wiadomość z kodem łatwiej przechwycić/podejrzeć, ale to temat na inny tekst). Po więcej zapraszam do lektury tekstu na blogu, poświęconego 2FA. Ja, ze względu na częste zmiany telefonów, korzystam z aplikacji Authy, polecam również Google Authenticator.
Specyficzną odmianą 2FA jest klucz sprzętowy. W Orange Polska używamy dedykowanego rozwiązania kryptograficznego, które pozwala nam zalogować się do sieci korporacyjnej, podpisać cyfrowo maila, czy zaszyfrować go. Ogólnodostępne rozwiązanie, np. Yubikey, generuje jednorazowy, specyficzny dla konkretnego egzemplarza kod po dotknięciu guzika w kluczu wetkniętym w gniazdo USB komputera. W lepszej wersji klucz można przytknąć do telefonu i autoryzować się przez NFC.
Po trzecie – patrzysz w ekran? Uważaj!
Podejście „mnie nikt nie zaatakuje, jestem bezwartościowy dla przestępcy” to pierwszy krok do porażki. Każdy z nas jest wartościowy dla przestępcy. Jeśli jesteś HVT, można od Ciebie wykraść dane, które następnie można sprzedać, czy opublikować w sieci. Konto na Facebooku zwykłego internauty można wykorzystać do podsunięcia jego przyjaciołom oszustwa „na BLIKa”. No i wreszcie – kto z nas nie ma danych, których zaszyfrowanie byłoby dla nas duuużym kłopotem? Zdjęcia dzieci, niedokończona praca magisterska, dokumentacja projektowa… To nie jest tak, że nikt tego nie widzi! Kilkukrotnie, czy to w pociągu, czy w samolocie, miałem możliwość zajrzenia na ekran laptopa siedzącego przede mną współpasażera (co ciekawe, akurat we wszystkich przypadkach były to osoby zajmujące się prawem) i przeczytania dokładnych szczegółów toczonych przez nich spraw, taktyki procesowej, nawet danych wrażliwych klientów!
Warto wyrobić w sobie przyzwyczajenie zasłaniania klawiatury, gdy w przestrzeni publicznej wpisujemy hasła, czy PINy!
Nie tylko przy bankomacie, ale także logując się do komputera w „kawiarnia office”, czy „park office”. Ściany mają uszy, a drzewa mają oczy. Czasem by wykraść dane logowania nie trzeba wcale wrzucać ofierze trojana…
Po czwarte – myśl, co i gdzie klikasz
…ale można. Na ten temat sam napisałem już chyba gigabajty treści, więc warto przypomnieć tylko w krótkich bulletach:
- Jeśli nie spodziewałeś się tego maila – nie klikaj linków i nie otwieraj załączników!
- Jeśli dodatkowo nie znasz nadawcy – jeszcze bardziej nie klikaj i nie otwieraj!!! (znając nadawcę możesz się z nim zawsze skontaktować i upewnić, czy to aby na pewno on)
- Logując się na jakąkolwiek stronę, albo wpisując na niej dane wrażliwe, upewnij się, czy to na pewno właściwy adres (ostatnio nasze systemy wyłapały domenę gov-pl.in, jak sądzicie, co w niej jest nie tak?)
- Nie ufaj absurdalnie wyjątkowym okazjom – zdarzają się tak rzadko, że nie warto podejmować ryzyka
- Rozdzielaj tożsamości – nie mieszaj spraw (i kont e-mail) prywatnych i służbowych. Wyrób w sobie nawyk wyjątkowej ostrożności przy korzystaniu z maila i infrastruktury w pracy
Dbajcie o siebie. Niech każdy Wasz mail pozostanie Waszym.
