Bezpečnost na internetu - hesla
Jak se chovat na internetu aspoň trosku bezpečně a znepříjemnit tím práci hackerům.
Úvod
Před nějakou dobou uniklo na internetu velké množství hesel a registračních mailů. Není důležité, z jakých serverů, protože to nebyl ani první, ani poslední únik. V čem je problém:
1. servery uchovávaly heslo v nezašifrované podobě
2. útočník se dostal ke kombinaci registrační e-mail a heslo
Bod 1) je jednoznačně chyba na straně provozovatele služby. Heslo nemá být uchováváno v čitelné podobě, ale pouze ve formě tzv. hashe - je to vlastně jen jednoznačný kontrolní součet. Při přihlašování se pak vaše identita ověřuje tak, že se zkontroluje uživatelské jméno a z hesla, které zadáte se spočítá kontrolní součet. Ten se pak ověří s hodnotou, kterou má provozovatel uloženu.
Pokud jste zaregistrovali, vyšla ven informace, že hesla v čitelné podobě uchovával mnoho let i FaceBook! To je o hodně větší průšvih, protože lidé kvůli pohodlnosti používají na mnoha místech na internetu přihlášení přes FB.
Bod 2) je průšvih pro vás, pokud používáte stejné heslo k mailu i pro jiné služby na internetu, kde se tímto heslem registrujete.
Můžete namítnou, že šlo o nějakou nedůležitou službu - nějaký server pro stahování programů, registrace v hotelu, nákup lístků, bazar, kde inzerát už dávno neplatí... Ale věnujte prosím pozornost scénáři, který je popsán níže.
Scénář
1. Z nějaké internetové služby (nějaké stránky) unikly údaje o uživatelích.
2. Útočník dostane mail, kterým jste registrovali a heslo, kterým jste se registrovali
3. Útočník se pokusí přihlásit k vašemu e-mailu s heslem, které dostal. Pokud se mu to nepodaří, pokračuje k bodu 9.
4. Útočník projde poštu ve vaší schránce a najde další servery, ke kterým jste se kdy registrovali, protože si necháváte veškerou poštu ve schránce - proč ne, místa je tam přece dost...
5. Útočník se dostane pro něj k zajímavým registracím (PayPal, Steam, bankovnictví, cloudová úložiště, ...). Obvykle se dozví přihlašovací jméno, ale ne heslo. Takže co dál? Požádá o změnu hesla. Odkaz na změnu hesla mu přijde do schránky, ke které má nyní přístup.
6. Útočník přes odkaz změní heslo třeba k vašemu PayPal účtu a je uvnitř. Pokud tam máte nějaké peníze, vyluxuje účet. Na úložištích může najít zajímavé zálohy, dokumenty, fotokopie dokladů, ...
7. Takto útočník pokračuje a hledá pro něj zajímavé weby. Třeba jste správce nějakých jiných stránek a přes váš přístup se pak dostane k další databázi uživatelů.
8. Útočník po sobě smaže stopy - vymaže všechny e-maily, které inicioval včetně odstranění zpráv z koše.
9. Útočník ve finále pošle vyděračský mail s tím, že vás dlouho sleduje, že vám do počítače nainstaloval zadní vrátka a má přístup ke všem vašim údajům, včetně webkamery, na které si vás zaznamenával, jak si doma užíváte atd. atd. Pro větší důvěryhodnost uvede i heslo, ke kterému se dostal. Třeba se někdo lekne a zaplatí.
Závěr a poučení
1. Nepoužívejte na internetu stejná hesla pro všechny účty. Vím, je to otravné, ale aspoň nepoužívejte stejné heslo k mailové schránce a ke zbytku internetu. Už jen tohle dokáže útočníkovi znepříjemnit život.
2. Nejsem příznivce přihlašování se pomocí služeb jako Google, FaceBook apod. do jiných služeb na internetu. Chápu, že je to jednodušší, ale pokud se někdo dostane k vašemu GMail účtu, dostane se i tam, kde jste se přes něj registrovali.
3. U důležitých věcí si nastavte 2-faktorové ověřování. Já vím, je to další nepříjemné "obtěžování", ale je to pro vaši bezpečnost.
4. Na závěr zbývá jen přidat upozornění, že nemáte klikat v mailu na odkazy. Pokud vám nějaká banka (PayPal apod.) napíše, že potřebuje něco nastavit, určitě se k té informaci dostanete i tak, že se do té banky přihlásíte. Pokud je to něco důležitého, vyskočí to na vás jako první věc po přihlášení.