Chciałbym, aby pierwszy artykuł był jak najbardziej ogólny, a jednak żeby niósł ze sobą garść przydatnych informacji. Nie będę szczególnie oryginalny – najważniejsze jest, aby wskazówki, które dzisiaj podam, pojawiały się jak najczęściej i aby jak najwięcej osób się z nimi zapoznało. To są naprawdę podstawowe zasady bezpieczeństwa w sieci. Czasy nastały jakie nastały i wydaje mi się, że musimy pogodzić się z faktem, iż walka o nasze bezpieczeństwo w sieci będzie coraz trudniejsza. Jednak nawet te kilka prostych metod (jeśli zostaną zastosowane prawidłowo) pozwoli na znaczące jego podniesienie.
Poniżej krótka infografika, a pod nią postaram się wyłuszczyć, o co chodzi w zamieszczonych na grafice hasłach.
Uwierzytelnianie dwuskładnikowe
W idealnym świecie każdy z nas powinien kupić sobie parę kluczy U2F (jeden do używania na co dzień i drugi na wypadek zgubienia/uszkodzenia pierwszego). Powinniśmy używać ich wszędzie, gdzie to jest możliwe. Jest to w zasadzie jedyny sposób uwierzytelniania dwuskładnikowego niepodatny na ataki hakerskie. Jedynym sposobem przełamania tego zabezpieczenia jest fizyczne wejście w posiadanie klucza. Jednak takie rozwiązanie ma wadę – klucze trzeba kupić. Ceny zaczynają się od stu kilkudziesięciu złotych. Jeśli jednak chcemy kupić parę kluczy, to może się okazać, że trochę to nadszarpnie nasz miesięczny budżet. Z drugiej strony, jeśli alternatywą jest utrata pieniędzy albo tożsamości… 😉
Ale nie ma tego złego! Są bezpłatne alternatywy dla kluczy U2F. Praktycznie każdy szanujący się portal czy medium społecznościowe umożliwia włączenie drugiego składnika uwierzytelniania w formie elektronicznej. Aplikacje takie jak Google Authenticator czy Microsoft Authenticator mają miliony pobrań i zapewniają całkiem wysoki poziom ochrony użytkownikowi. Pod warunkiem jednak, że nikt nie uzyska nieautoryzowanego dostępu do Waszego telefonu.
Trzecią opcją jest autoryzacja przez SMS, która jest lepsza niż żadna… Ale prawdę mówiąc zastanówcie się, czy jeśli jakiś portal/aplikacja umożliwiają tylko autoryzację przez SMS, to czy w ogóle warto dalej z niej korzystać i czy nie poszukać jakiejś alternatywy.
Menedżer haseł
To chyba w ogóle powinno być na pierwszym miejscu jako podstawowa zasada bezpieczeństwa. Ale już zrobiłem grafikę 🙂 Używanie tego samego hasła w wielu miejscach jest absolutnie niedozwolone! Jeśli wyciekną Wasze dane dla jednego portalu (a zdarza się to co chwilę), złodziej danych w prezencie otrzymuje dostęp do wszystkich kont, w których używacie tego samego hasła. Wyobraźcie sobie scenariusz, w którym wyciekają dane klientów sklepu z elektroniką, a Wy przy okazji tracicie konto na Facebooku i wszystkie pieniądze w banku… Brzmi znajomo?
Dlatego generujcie losowe hasła dla każdego konta i przechowujcie je w menedżerze haseł. Jest ich masa do wyboru, także bezpłatnych. Nawet te wbudowane w przeglądarkę (Firefox, Chrome) są lepszym wyjściem, niż reuse haseł.
Jeśli chcecie sprawdzić, czy (a raczej kiedy i gdzie) Wasze dane wyciekły, sprawdźcie projekt Have I Been Pwned.
Adres, pasek stanu, certyfikat
Święta trójca sprawdzania tego, czy znajdujemy się w miejscu, w którym powinniśmy się znaleźć. Po kolei:
Pasek stanu to niewielki element graficzny który pojawia się w lewym, dolnym rogu przeglądarki w momencie, kiedy najedziecie kursorem na jakiś link. Jeśli dostajecie od kogoś linki w jakiejkolwiek formie, pamiętajcie, że wcale nie muszą one Was przenieść tam, gdzie Wam się wydaje. Na przykład ja teraz Wam mówię, że ten link prowadzi na Stronę Główną Facebooka, a wcale tak nie jest. I nie trzeba do tego żadnych umiejętności. Dlatego zachęcam do sprawdzania na pasku stanu, gdzie faktycznie prowadzi klikany link. To samo tyczy się obrazków, w które klikacie!
Adres domeny, na którą przechodzimy, powinien być przez nas sprawdzany zawsze, jeśli nie wpisujemy go „z palca” albo nie wybieramy z zakładek w przeglądarce. Zasada jest taka sama, jak przy pasku stanu. Jeśli coś się nie zgadza w adresie, omijajmy go szerokim łukiem. Wykupowanie domen o adresach brzmiących podobnie do zaufanych podmiotów to bardzo popularny rodzaj ataków scammerskich. Sam niedawno dostałem maila, że mam nieuregulowane płatności w serwisie Netulfix 😉
Certyfikat SSL, czyli magiczna kłódeczka koło adresu strony – święty Graal wszystkich, którzy twierdzą, że są specjalistami od cyberbezpieczeństwa. 😀 Oczywiście nie umniejszając, jest to bardzo ważny element bezpieczeństwa strony. Niemniej jednak mówi on nam tylko o tym, że przesyłane dane (np. dane osobowe czy logowania) są na stronie szyfrowane. W zasadzie każdy może taki certyfikat mieć (nawet ja mam). Dlatego też należy zachować czujność – w pierwszej kolejności sprawdzamy, czy jesteśmy pod dobrym adresem. Dopiero potem, czy jest kłódeczka. Bo jeżeli wpiszemy dane na stronie, na której nie powinniśmy, to żadne szyfrowanie nam nie pomoże. Dla świętego spokoju możecie kazać swojej przeglądarce, aby łączyła Was przez HTTPS wszędzie, gdzie to jest możliwe.
Weryfikacja informacji
To powinien być zawsze jeden z naszych priorytetów, chociaż dzisiaj znajdujemy się w wyjątkowo trudnej sytuacji. Masowa dezinformacja rosyjskich fabryk trolli daje się nam wszystkim we znaki. Dlatego tak ważne jest sprawdzanie źródeł informacji. Niestety nie mam na to gotowej recepty. Czasem scenariusze są naprawdę przemyślane i dopracowane tak, że dopiero specjaliści (dziennikarze, OSINT-owcy) są w stanie dociec prawdy. Najczęściej jednak są do bzdury wypisywane na portalach społecznościowych czy komunikatorach. Dlatego generalna zasada jest taka: jeśli nie jesteś w stanie sprawdzić jakiejś informacji w oficjalnych źródłach (rządowych, samorządowych, NGO, zaufanych mediach) to możesz przyjąć, że to fake. Najlepsze, co możesz wtedy zrobić, to zgłaszać takie posty administracji portalu. Świetnym przykładem takiej inicjatywy jest profil Demaskujemy dezinformację na Twitterze.
Weryfikacja rozmówcy
Mówią o tym wszyscy, to i ja powiem. Od co najmniej dwóch lat jesteśmy w czołówce światowej jeśli chodzi o ilość ataków scammerskich na 100 000 mieszkańców. Serio, top 10 na świecie, w końcu jesteśmy w jakiejś czołówce! A tak poważnie mówiąc, to jest to poważne zagrożenie, szczególnie dla naszych portfeli, bo na tym skupia się większość ataków.
Wiemy, że podszycie się pod numer telefonu to kaszka z mleczkiem, więc jak sprawdzić, czy faktycznie dzwoni do nas konsultant firmy, której nazwa wyświetliła nam się na telefonie? Cóż, pomału pojawiają się takie rozwiązania jak to od mBanku, które pozwala na zweryfikowanie konsultanta w naszej apce bankowej w trakcie rozmowy. Jednak chociaż jest to rewelacyjne rozwiązanie, to jednak jest to kropla w morzu potrzeb. Dlatego na ten moment w zasadzie jedynym pewniakiem jest rozłączenie się i oddzwonienie na infolinię, z której rzekomo się z nami kontaktowano. Pamiętajcie, żeby numer wpisać „z palca”, a nie oddzwaniać! Żeby konsultantowi nie było przykro, możemy poprosić o rozmowę właśnie z nim. niech nie traci prowizji, to jest ich główne źródło zarobku 😉
Podstawowe zasady bezpieczeństwa w sieci – podsumowanie
Tak jak powiedziałem na początku – ten artykuł jest nie wyczerpuje tematu Waszego bezpieczeństwa w sieci. Ba! On go nawet dobrze nie rozpoczyna! Jednak jest to zbiór dobrych praktyk, od których warto zacząć, aby w ogóle myśleć o własnym bezpieczeństwie. Spisanie wszystkiego zajmuje całkiem dużo czasu. Dlatego też w kolejnych postach będę starał się przybliżyć kolejne łatwe do zastosowania rozwiązania oraz rozwinąć te aspekty, które tutaj potraktowałem skrótowo ze względu na zbiorczy charakter wpisu. Proszę, dawajcie znać, co sądzicie i zadawajcie pytania. Wtedy łatwiej będzie mi przygotować kolejne materiały, bo będę wiedział, jakich informacji poszukujecie!
Odkryj więcej z Bezpieczny Blog
Zapisz się, aby otrzymywać najnowsze wpisy na swój adres e-mail.
7 komentarzy do “Podstawowe zasady bezpieczeństwa w sieci”