Ostatnie dni pokazały jak ważne są dobre praktyki w kwestii haseł i danych, których używamy w internecie. Tylko z poprzednich dwóch tygodni możemy wymienić ogromny wyciek loginów oraz haseł do kont Polaków, o którym pisały i mówiły prawie wszystkie media w kraju, umieszczenie w publicznej chmurze informacji z samochodów Toyota czy blokadę kart płatniczych po wycieku najprawdopodobniej u jednego z partnerów e-commerce operatora kart. Można zadać sobie pytanie: jakie zagrożenie niesie z sobą taki wyciek czy kradzież danych oraz w jaki sposób można minimalizować jego skutki.
Dane wyciekały, wyciekają i będą wyciekać
Na tapecie mamy tylko ostatnie dwa tygodnie! Jeśli przyjrzymy się dłuższej historii, możemy bez najmniejszych problemów zauważyć, że takich sytuacji jest o wiele więcej. Często możemy mówić o ataku – na firmę czy na użytkownika, ale czasami możemy spotkać się z zaniedbaniem lub błędem w sztuce. Tak było w przypadku przywołanego wycieku danych klientów Toyoty. Był to zwykły błąd ludzki – dane, zamiast znaleźć się w prywatnej, zabezpieczonej chmurze, trafiły do chmury publicznej. Wniosek, który płynie z analizy wielu przypadków jest jeden – nie ma systemów w 100% bezpiecznych, a obsługują je ludzie, zatem zawsze musimy liczyć się z upublicznieniem naszych danych.
Zagrożenia po ataku czy kradzieży danych
Co zatem może nam grozić, jeśli nasze dane wyciekną lub zostaną wykradzione? Utrata danych do małoznaczącego portalu, to zwykle niewielka sprawa. Upublicznienie tych danych wśród innych w internecie także nie stanowi poważnego zagrożenia, ale… No właśnie – diabeł tkwi w szczegółach. Jeśli jesteśmy nieroztropni i wykorzystujemy te same dane (login, adres email, hasło) w wielu miejscach, to istnieje ryzyko włamania się na nasze inne konta. Dodatkowo, jeśli nie wiemy dokładnie do jakich danych cyberprzestępca miał dostęp, musimy zakładać, że do wszystkich. A wtedy zagrożenie jest znacznie poważniejsze, bo w prosty sposób można powiązać nasze dane z adresem zamieszkania, innym adresem poczty elektronicznej, wykorzystywanym do resetowania hasła lub numerem PESEL czy serią i numerem dokumentu tożsamości. Skorelowanie tych danych w prosty sposób może prowadzić do kradzieży tożsamości, a wtedy musimy być przygotowani na poważne konsekwencje, w tym np. zaciągnięcie na nasze dane kredytu.
Jak zmniejszyć skutki utraty danych?
Przede wszystkim nie używaj tych samych haseł w różnych miejscach. Jeśli na mało ważnym portalu korzystasz z tego samego hasła co do bankowości elektronicznej, natychmiast zmień je (najlepiej w portalu, który dla Ciebie ma większe znaczenie). Zawsze, o ile to możliwe, korzystaj z dodatkowego składnika uwierzytelniania (token w aplikacji na smartfona, hasło jednorazowe na SMS czy email), a najlepiej zainwestuj w sprzętowy klucz do uwierzytelniania. Dzięki 2FA (two-factor authentication), czyli uwierzytelnianiu dwuskładnikowemu, wyciek czy kradzież danych nie umożliwiają bezpośredniego dostępu do naszego konta. W takim przypadku dostajemy jeśli nie gwarancję ochrony dostępu, to przynajmniej dodatkowy czas, na zmianę hasła.
Tyle haseł… Jak to spamiętać?
Zapamiętanie bardzo dużej liczby haseł jest niestety niemożliwe. Jak zatem można sobie z tym radzić? W zasadzie są dwie opcje – jedna dobra, ale nieoptymalna, gdyż bazuje na schemacie. Przykładowo hasło każdorazowo zawiera w sobie nazwę portalu dla którego jest wygenerowane (dla utrudnienia zapisaną wspak). Oprócz tego w jego skład wchodzi stały ciąg znaków (na początku i na końcu). Możemy także umieścić pierwszą i ostatnią literę loginu do tego portalu. W tej formie spełniamy warunek unikalności haseł, ale… jeśli wycieknie więcej haseł, powiązanych z tym samym adresem email lub loginem, to w prosty sposób można złamać schemat wykorzystywany do ich generowania. Drugą metodą, która jest przez nas polecana, jest wykorzystanie menedżerów haseł. To rozwiązanie zmusza nas do zapamiętania tylko jednego, najlepiej bardzo skomplikowanego hasła, które wykorzystywane jest do odblokowania szyfrowanej bazy danych. W bazie tej znajdują się nasze wszystkie dane dostępowe do różnych portali, systemów i kont. W tym przypadku nasze dane są na tyle bezpieczne, na ile bezpiecznie obchodzimy się z hasłem do menedżera. Aplikacje te mają zwykle wbudowane generatory bezpiecznych haseł, a dzięki dodatkowym wtyczkom, pozwalają automatycznie wprowadzać poświadczenia. Takie automatyczne uzupełnianie danych może być także dodatkowym zabezpieczeniem, gdyż weryfikuje adres portalu, do którego się logujemy. Jeśli adres jest różny od zapisanego w bazie, automatyczne uzupełnianie danych nie zadziała. Warto dodać także, że klucze sprzętowe do uwierzytelniania także mogą być wyposażone w bezpieczny magazyn haseł. Warto jednak zadać sobie pytanie, czy zlokalizowanie na jednym nośniku poświadczeń i drugiego składnika uwierzytelniania, jest na pewno bezpieczne.
Dobre praktyki w kwestii haseł
W trakcie naszego szkolenia pokazujemy i omawiamy jak budować bezpieczne hasła. Jakich znaków używać, z jakich zrezygnować. Dlaczego długość hasła jest ważna. Omawiamy kwestie korzystania z menedżerów haseł oraz pokazujemy czym jest 2FA i dlaczego nigdy nie powinniśmy udostępniać kodu osobom postronnym, nawet kiedy podają się za pracownika działu IT firmy. Nasze wieloletnie doświadczenie w bezpieczeństwie IT oraz liczne przypadki ataków, które analizowaliśmy wspólnie z naszymi klientami, pozwoliły stworzyć kurs cyberbezpieczeństwa w środowisku VR. Company Unhacked zawiera kwintesencję wiedzy, która skutecznie kształtuje świadomość pracowników. Jednocześnie ciekawa forma przekazu oraz wymuszone zaangażowanie w trakcie rozgrywki sprawiają, że kursant skutecznie przyswaja przedstawiane zagadnienia. Żeby się o tym przekonać, trzeba spróbować! Zaproś nas do siebie, a zrobimy show, którego nie zapomnisz!