Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Bezpečnost na internetu - hesla

Jak se chovat na internetu aspoň trosku bezpečně a znepříjemnit tím práci hackerům.

Úvod

Před nějakou dobou uniklo na internetu velké množství hesel a registračních mailů. Není důležité, z jakých serverů, protože to nebyl ani první, ani poslední únik. V čem je problém:
1. servery uchovávaly heslo v nezašifrované podobě
2. útočník se dostal ke kombinaci registrační e-mail a heslo

Bod 1) je jednoznačně chyba na straně provozovatele služby. Heslo nemá být uchováváno v čitelné podobě, ale pouze ve formě tzv. hashe - je to vlastně jen jednoznačný kontrolní součet. Při přihlašování se pak vaše identita ověřuje tak, že se zkontroluje uživatelské jméno a z hesla, které zadáte se spočítá kontrolní součet. Ten se pak ověří s hodnotou, kterou má provozovatel uloženu.
Pokud jste zaregistrovali, vyšla ven informace, že hesla v čitelné podobě uchovával mnoho let i FaceBook! To je o hodně větší průšvih, protože lidé kvůli pohodlnosti používají na mnoha místech na internetu přihlášení přes FB.

Bod 2) je průšvih pro vás, pokud používáte stejné heslo k mailu i pro jiné služby na internetu, kde se tímto heslem registrujete.

Můžete namítnou, že šlo o nějakou nedůležitou službu - nějaký server pro stahování programů, registrace v hotelu, nákup lístků, bazar, kde inzerát už dávno neplatí... Ale věnujte prosím pozornost scénáři, který je popsán níže.

Scénář

1. Z nějaké internetové služby (nějaké stránky) unikly údaje o uživatelích.
2. Útočník dostane mail, kterým jste registrovali a heslo, kterým jste se registrovali
3. Útočník se pokusí přihlásit k vašemu e-mailu s heslem, které dostal. Pokud se mu to nepodaří, pokračuje k bodu 9.
4. Útočník projde poštu ve vaší schránce a najde další servery, ke kterým jste se kdy registrovali, protože si necháváte veškerou poštu ve schránce - proč ne, místa je tam přece dost...
5. Útočník se dostane pro něj k zajímavým registracím (PayPal, Steam, bankovnictví, cloudová úložiště, ...). Obvykle se dozví přihlašovací jméno, ale ne heslo. Takže co dál? Požádá o změnu hesla. Odkaz na změnu hesla mu přijde do schránky, ke které má nyní přístup.
6. Útočník přes odkaz změní heslo třeba k vašemu PayPal účtu a je uvnitř. Pokud tam máte nějaké peníze, vyluxuje účet. Na úložištích může najít zajímavé zálohy, dokumenty, fotokopie dokladů, ...
7. Takto útočník pokračuje a hledá pro něj zajímavé weby. Třeba jste správce nějakých jiných stránek a přes váš přístup se pak dostane k další databázi uživatelů.
8. Útočník po sobě smaže stopy - vymaže všechny e-maily, které inicioval včetně odstranění zpráv z koše.
9. Útočník ve finále pošle vyděračský mail s tím, že vás dlouho sleduje, že vám do počítače nainstaloval zadní vrátka a má přístup ke všem vašim údajům, včetně webkamery, na které si vás zaznamenával, jak si doma užíváte atd. atd. Pro větší důvěryhodnost uvede i heslo, ke kterému se dostal. Třeba se někdo lekne a zaplatí.

Závěr a poučení

1. Nepoužívejte na internetu stejná hesla pro všechny účty. Vím, je to otravné, ale aspoň nepoužívejte stejné heslo k mailové schránce a ke zbytku internetu. Už jen tohle dokáže útočníkovi znepříjemnit život.
2. Nejsem příznivce přihlašování se pomocí služeb jako Google, FaceBook apod. do jiných služeb na internetu. Chápu, že je to jednodušší, ale pokud se někdo dostane k vašemu GMail účtu, dostane se i tam, kde jste se přes něj registrovali.
3. U důležitých věcí si nastavte 2-faktorové ověřování. Já vím, je to další nepříjemné "obtěžování", ale je to pro vaši bezpečnost.
4. Na závěr zbývá jen přidat upozornění, že nemáte klikat v mailu na odkazy. Pokud vám nějaká banka (PayPal apod.) napíše, že potřebuje něco nastavit, určitě se k té informaci dostanete i tak, že se do té banky přihlásíte. Pokud je to něco důležitého, vyskočí to na vás jako první věc po přihlášení.

Předmět Autor Datum
Takže co dál? Požádá o změnu hesla. Odkaz na změnu hesla mu přijde do schránky, ke které má nyní pří…
IQ37 04.04.2019 15:42
IQ37
Jenže k té schránce (pokud je stále ještě aktivní) má přece přístup i majitel. Takže je tou změnou h…
Jan Fiala 04.04.2019 16:43
Jan Fiala
Nejsem příznivce přihlašování se pomocí služeb jako Google, FaceBook apod. do jiných služeb na inte…
XoXoChanel 04.04.2019 16:05
XoXoChanel
Nikdy jsem nebyl fanouškem toho, mít e.maily někde na internetu. Nepotřebuji tuhle funkcionalitu. Ma…
L-Core 04.04.2019 20:36
L-Core
BOD 9 mě dostal. Pukám za břicho Ono je i důležité dávat pozor, jak vypadají odkazy, na které se kl…
Vit Lahoda 04.04.2019 21:19
Vit Lahoda
Pěkný článek. Ještě by určo stálo za úvahu napsat "pokračování", jak si udělat bezpečná a lehce zapa…
Kráťa 05.04.2019 18:23
Kráťa
Klidně se toho ujmi.
Jan Fiala 05.04.2019 19:55
Jan Fiala
Vždy mi to připomene ten fór jablko červenéjablko cervenejablko Cervenejablko... :-)
Kráťa 06.04.2019 11:55
Kráťa
určitě je dobrý zmínit i https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-e…
stejj 06.04.2019 10:34
stejj
Dnes přišel další podobný mail. Ukradené heslo, pod tím obrázek, bitcoin adresa a další obrázekm aby… poslední
Jan Fiala 19.04.2019 12:50
Jan Fiala

Takže co dál? Požádá o změnu hesla. Odkaz na změnu hesla mu přijde do schránky, ke které má nyní přístup.

Jenže k té schránce (pokud je stále ještě aktivní) má přece přístup i majitel. Takže je tou změnou hesla varován a může podniknout nějaké kroky k obraně.

V čem je problém:
1. servery uchovávaly heslo v nezašifrované podobě

Podle mě je problém hlavně v tom, že ten server (správce) dopustil, aby se mu někdo cizí hrabal nekontrolovaně v útrobách.

Článek je určitě přínosný jako varování, ale běžným uživatelům moc nepomůže, když je problém v bezpečnosti dat na serverech.

Jenže k té schránce (pokud je stále ještě aktivní) má přece přístup i majitel. Takže je tou změnou hesla varován a může podniknout nějaké kroky k obraně.

Ale majitel do běžné internetové schránky nechodí každou chvilku. Jsou lidé, kteří se tam kouknou jednou denně večer nebo ani to ne. Ne každý má nastaveného klienta, který mu maily stahuje na počítač.
Takže je spousta času na to, si nechat vyžádat změnu hesla, ten mail po sobě smazat a pak jej smáznout i z koše. A majitel neví, že k nějaké žádosti a následné změně hesla došlo.

Podle mě je problém hlavně v tom, že ten server (správce) dopustil, aby se mu někdo cizí hrabal nekontrolovaně v útrobách.

To mohla být třeba nějaká chyba redakčního systému, který používá. Za to pak majitel přímo nemůže. Může za to, aby udržoval systém aktuální a nenechával tam staré děravé verze.

Nejsem příznivce přihlašování se pomocí služeb jako Google, FaceBook apod. do jiných služeb na internetu. Chápu, že je to jednodušší, ale pokud se někdo dostane k vašemu GMail účtu, dostane se i tam, kde jste se přes něj registrovali.

- Také nejsem priznivce, ale to nic nezmeni na situaci, ze tento zpusob prihlasovani nebo registrace je cim dal vice "rozšířenější" (bohuzel nevyhnes se tomu) a touto formu registrace pouziva vic a vic poskytovatelu svojich WEB strankach nebo i WEB_APP, protoze je to pro uzivatele zkratka "pohodlnejsi".
* Na nekterych webech se muzes registrovat, reagovat jen timto zpusobem.

- Nikomu se nehce na kazdé WEB strance, forumpokazdé vytvaret novy ucet jen proto aby pridal prispevek, nebo se zaregistroval, ale i pro samotného poskytovatele WEB stranky nebo aplikace at za reklamnim ucelem, nebo pohodli nebo moznou ztratou nového uzivatele ktery odesel protoze nechce vyplnovat registracni formular.

- Zpravidla bych spis doporucil jak tomu dnes mladez rika zalozit prihlasovaci "FAKE" ucet at "Google", "Facebook" nebo "Twiter" a prihlasovat nebo nachat komentare na strance ktera tento zpusob identifikace vyzaduje exluzivne jen timto "Fake" uctem. Jak kvuli zachovani identity, tak mozného pokusu napadeni totoho "bezhodnotného" uctu.
* Samozrejme nepouzivat pro tento ucet to samé heslo :-D

BOD 9 mě dostal. Pukám za břicho

Ono je i důležité dávat pozor, jak vypadají odkazy, na které se kliká, případně z jejich struktury je vidět, jestli jsou šmírovací. Když tak parametry odstranit a/nebo otevřít pres proxy a nebo jde-li o článek, pokusit se ho najít přes vyhledávač (a samozřejmě mít vyhledávač bez cookie, přepisování URL, to jsme pak v kruhu a celé na nic to je)
+ použít blokátor redirectů (aspoň mezi různými doménami)

PS: otázka do pléna: Znáte nějak dobrý doplně do chromium, safari ,FF na blokování redirectů? Opera 12 to kdysi uměla , stačilo jen nastavit v nastavení, ale stejně jako další mraky užitečných nastavení v rámci chromovatění byly vypuštěny. + To samé na referera

Ke správě hesel: ideálně mít pokaždé jiné heslo. Ale to je pro mnoho lidí moc složité. Trochu bych pravidlo zmírnil, že na nekritické věci tedy by odlišné být nemuselo, ale na kritické ano (nejen mezi sebou - bankovnictví,mail,login do systému, e-občanka , ale také odvozeně - heslo z kritických účtů nesmí stejné jako na registraci na komentář pod aeronet). Ale co je kritické, je subjektivní... Pokud některé účty mezi s sebou mají vztah (vložen kontaktní mail ) také musí být odlišná.

Dnes přišel další podobný mail. Ukradené heslo, pod tím obrázek, bitcoin adresa a další obrázekm aby to podle textu neodchytil antispam.

nejake heslo
[86635-ndjwyprwqai-png]
bitcoin adresa
[86634-lnzarjzrwdw-png]

Vzhledem ke své paranoie vím přesně, kterému serveru heslo patřilo (bezvýznamný server se software), navíc heslo bylo použito pouze pro ten konkrétní server. Vím, že únik tohoto hesla nic neohrozil a že se útočník nikam nedostal.

Zpět na články Přidat komentář k článku Nahoru