Bezpečnost na internetu - hesla
Jak se chovat na internetu aspoň trosku bezpečně a znepříjemnit tím práci hackerům.
Úvod
Před nějakou dobou uniklo na internetu velké množství hesel a registračních mailů. Není důležité, z jakých serverů, protože to nebyl ani první, ani poslední únik. V čem je problém:
1. servery uchovávaly heslo v nezašifrované podobě
2. útočník se dostal ke kombinaci registrační e-mail a heslo
Bod 1) je jednoznačně chyba na straně provozovatele služby. Heslo nemá být uchováváno v čitelné podobě, ale pouze ve formě tzv. hashe - je to vlastně jen jednoznačný kontrolní součet. Při přihlašování se pak vaše identita ověřuje tak, že se zkontroluje uživatelské jméno a z hesla, které zadáte se spočítá kontrolní součet. Ten se pak ověří s hodnotou, kterou má provozovatel uloženu.
Pokud jste zaregistrovali, vyšla ven informace, že hesla v čitelné podobě uchovával mnoho let i FaceBook! To je o hodně větší průšvih, protože lidé kvůli pohodlnosti používají na mnoha místech na internetu přihlášení přes FB.
Bod 2) je průšvih pro vás, pokud používáte stejné heslo k mailu i pro jiné služby na internetu, kde se tímto heslem registrujete.
Můžete namítnou, že šlo o nějakou nedůležitou službu - nějaký server pro stahování programů, registrace v hotelu, nákup lístků, bazar, kde inzerát už dávno neplatí... Ale věnujte prosím pozornost scénáři, který je popsán níže.
Scénář
1. Z nějaké internetové služby (nějaké stránky) unikly údaje o uživatelích.
2. Útočník dostane mail, kterým jste registrovali a heslo, kterým jste se registrovali
3. Útočník se pokusí přihlásit k vašemu e-mailu s heslem, které dostal. Pokud se mu to nepodaří, pokračuje k bodu 9.
4. Útočník projde poštu ve vaší schránce a najde další servery, ke kterým jste se kdy registrovali, protože si necháváte veškerou poštu ve schránce - proč ne, místa je tam přece dost...
5. Útočník se dostane pro něj k zajímavým registracím (PayPal, Steam, bankovnictví, cloudová úložiště, ...). Obvykle se dozví přihlašovací jméno, ale ne heslo. Takže co dál? Požádá o změnu hesla. Odkaz na změnu hesla mu přijde do schránky, ke které má nyní přístup.
6. Útočník přes odkaz změní heslo třeba k vašemu PayPal účtu a je uvnitř. Pokud tam máte nějaké peníze, vyluxuje účet. Na úložištích může najít zajímavé zálohy, dokumenty, fotokopie dokladů, ...
7. Takto útočník pokračuje a hledá pro něj zajímavé weby. Třeba jste správce nějakých jiných stránek a přes váš přístup se pak dostane k další databázi uživatelů.
8. Útočník po sobě smaže stopy - vymaže všechny e-maily, které inicioval včetně odstranění zpráv z koše.
9. Útočník ve finále pošle vyděračský mail s tím, že vás dlouho sleduje, že vám do počítače nainstaloval zadní vrátka a má přístup ke všem vašim údajům, včetně webkamery, na které si vás zaznamenával, jak si doma užíváte atd. atd. Pro větší důvěryhodnost uvede i heslo, ke kterému se dostal. Třeba se někdo lekne a zaplatí.
Závěr a poučení
1. Nepoužívejte na internetu stejná hesla pro všechny účty. Vím, je to otravné, ale aspoň nepoužívejte stejné heslo k mailové schránce a ke zbytku internetu. Už jen tohle dokáže útočníkovi znepříjemnit život.
2. Nejsem příznivce přihlašování se pomocí služeb jako Google, FaceBook apod. do jiných služeb na internetu. Chápu, že je to jednodušší, ale pokud se někdo dostane k vašemu GMail účtu, dostane se i tam, kde jste se přes něj registrovali.
3. U důležitých věcí si nastavte 2-faktorové ověřování. Já vím, je to další nepříjemné "obtěžování", ale je to pro vaši bezpečnost.
4. Na závěr zbývá jen přidat upozornění, že nemáte klikat v mailu na odkazy. Pokud vám nějaká banka (PayPal apod.) napíše, že potřebuje něco nastavit, určitě se k té informaci dostanete i tak, že se do té banky přihlásíte. Pokud je to něco důležitého, vyskočí to na vás jako první věc po přihlášení.
Jenže k té schránce (pokud je stále ještě aktivní) má přece přístup i majitel. Takže je tou změnou hesla varován a může podniknout nějaké kroky k obraně.
Podle mě je problém hlavně v tom, že ten server (správce) dopustil, aby se mu někdo cizí hrabal nekontrolovaně v útrobách.
Článek je určitě přínosný jako varování, ale běžným uživatelům moc nepomůže, když je problém v bezpečnosti dat na serverech.
Ale majitel do běžné internetové schránky nechodí každou chvilku. Jsou lidé, kteří se tam kouknou jednou denně večer nebo ani to ne. Ne každý má nastaveného klienta, který mu maily stahuje na počítač.
Takže je spousta času na to, si nechat vyžádat změnu hesla, ten mail po sobě smazat a pak jej smáznout i z koše. A majitel neví, že k nějaké žádosti a následné změně hesla došlo.
To mohla být třeba nějaká chyba redakčního systému, který používá. Za to pak majitel přímo nemůže. Může za to, aby udržoval systém aktuální a nenechával tam staré děravé verze.
- Také nejsem priznivce, ale to nic nezmeni na situaci, ze tento zpusob prihlasovani nebo registrace je cim dal vice "rozšířenější" (bohuzel nevyhnes se tomu) a touto formu registrace pouziva vic a vic poskytovatelu svojich WEB strankach nebo i WEB_APP, protoze je to pro uzivatele zkratka "pohodlnejsi".
* Na nekterych webech se muzes registrovat, reagovat jen timto zpusobem.
- Nikomu se nehce na kazdé WEB strance, forumpokazdé vytvaret novy ucet jen proto aby pridal prispevek, nebo se zaregistroval, ale i pro samotného poskytovatele WEB stranky nebo aplikace at za reklamnim ucelem, nebo pohodli nebo moznou ztratou nového uzivatele ktery odesel protoze nechce vyplnovat registracni formular.
- Zpravidla bych spis doporucil jak tomu dnes mladez rika zalozit prihlasovaci "FAKE" ucet at "Google", "Facebook" nebo "Twiter" a prihlasovat nebo nachat komentare na strance ktera tento zpusob identifikace vyzaduje exluzivne jen timto "Fake" uctem. Jak kvuli zachovani identity, tak mozného pokusu napadeni totoho "bezhodnotného" uctu.
* Samozrejme nepouzivat pro tento ucet to samé heslo
Nikdy jsem nebyl fanouškem toho, mít e.maily někde na internetu. Nepotřebuji tuhle funkcionalitu.
Maily stahuji do PC (Outlook, před sto lety Outlook Express) a ihned je na serveru mažu.
BOD 9 mě dostal. Pukám za břicho
Ono je i důležité dávat pozor, jak vypadají odkazy, na které se kliká, případně z jejich struktury je vidět, jestli jsou šmírovací. Když tak parametry odstranit a/nebo otevřít pres proxy a nebo jde-li o článek, pokusit se ho najít přes vyhledávač (a samozřejmě mít vyhledávač bez cookie, přepisování URL, to jsme pak v kruhu a celé na nic to je)
+ použít blokátor redirectů (aspoň mezi různými doménami)
PS: otázka do pléna: Znáte nějak dobrý doplně do chromium, safari ,FF na blokování redirectů? Opera 12 to kdysi uměla , stačilo jen nastavit v nastavení, ale stejně jako další mraky užitečných nastavení v rámci chromovatění byly vypuštěny. + To samé na referera
Ke správě hesel: ideálně mít pokaždé jiné heslo. Ale to je pro mnoho lidí moc složité. Trochu bych pravidlo zmírnil, že na nekritické věci tedy by odlišné být nemuselo, ale na kritické ano (nejen mezi sebou - bankovnictví,mail,login do systému, e-občanka , ale také odvozeně - heslo z kritických účtů nesmí stejné jako na registraci na komentář pod aeronet). Ale co je kritické, je subjektivní... Pokud některé účty mezi s sebou mají vztah (vložen kontaktní mail ) také musí být odlišná.
Pěkný článek. Ještě by určo stálo za úvahu napsat "pokračování", jak si udělat bezpečná a lehce zapamatovatelná hesla, jelikož uživatelé mají často problém se zapamatováním si hesla, tak mají tendenci dělat si jména, rodná čísla a podobné blbiny.
A takové ty finty, jak je i ze "skákal pes" heslo v zeleném.
http://www.passwordmeter.com/
Klidně se toho ujmi.
Vždy mi to připomene ten fór
jablko
červenéjablko
cervenejablko
Cervenejablko...
určitě je dobrý zmínit i https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/ způsoby odhadování složitosti hesla a potažmo generátory hesel ze slovníků, aby se vědělo, jak zkoušení hesel probíhá,
Dnes přišel další podobný mail. Ukradené heslo, pod tím obrázek, bitcoin adresa a další obrázekm aby to podle textu neodchytil antispam.
nejake heslo
bitcoin adresa
Vzhledem ke své paranoie vím přesně, kterému serveru heslo patřilo (bezvýznamný server se software), navíc heslo bylo použito pouze pro ten konkrétní server. Vím, že únik tohoto hesla nic neohrozil a že se útočník nikam nedostal.