Dwuetapowa weryfikacja i menadżer haseł, to dziś konieczność. Podpowiadam jak zabezpieczyć hasło bezstresowo

Bezpieczeństwo to rzecz, o jaką dbamy niemalże priorytetowo. Każdemu na nim zależy, więc w życiu codziennym stosujemy się do ogólnie przyjętych zasad poprawiających jego jakość – te reguły stały się oczywistością, ponieważ mówię tutaj o takich rzeczach jak przechodzenie przez jezdnię w wyznaczonym miejscu, czy zapinanie pasów bezpieczeństwa podczas jazdy samochodem. Od małego jesteśmy uczeni (i sami później uczymy własne dzieci), że nie wolno w pełni ufać obcym osobom oferującym nam przysłowiowego cukierka na placu zabaw. Wszyscy znamy te zasady, jednak czy pamiętamy o zachowaniu rozwagi w naszym drugim życiu? Rozumiem przez to bezpieczeństwo w sieci i ochronę własnych danych przed osobami, które tylko czekają na ich wykradnięcie.

Powiązane:Tak szybko można złamać Twoje hasło w 2022 roku

Na przestrzeni ostatnich kilkudziesięciu lat znaczna część naszego życia została przeniesiona do Internetu. To jest fakt, który raczej nieprędko ulegnie zmianie i rozwój sieci nadal będzie postępował. Nieograniczone możliwości związane z byciem online to kusząca perspektywa dla wielu osób nie tylko tych, które chcą po prostu mieć dostęp do wszystkiego co oferuje świat, ale i dla tych chcących w niemoralny sposób zarobić na życie.

Sieć może wydawać się radosnym i kolorowym miejscem, jednak nie brakuje w niej mrocznych zakamarków, w których możemy stracić nasze dane. Źródło: SuttleMedia / Pixabay.

Wraz z rozwojem Internetu, cyfrowi przestępcy ciągle opracowują nowe metody oszustw i włamań, mających na celu okradnięcie nas z tego co obecnie jest niezwykle cenne, czyli dostępu do różnego rodzaju kont internetowych oraz danych. Te wrażliwe informacje mogą sprzedawać w „podziemiu internetowym” do przeróżnych celów lub czasami próbować wyłudzić od poszkodowanych osób jakąś kwotę pieniędzy.

Tak samo jak mamy sposoby na „tradycyjnych” włamywaczy to i w tym przypadku musimy się zastanowić, jak możemy poprawić nasze bezpieczeństwo w sieci? Otóż sposobów jest wiele, nie każdy je zna dlatego w tym artykule chciałam przybliżyć kilka z nich, wytłumaczyć na jakiej zasadzie one działają, dlaczego są ważne oraz przedstawić wady i zalety poszczególnych rozwiązań. Mam nadzieję, że będzie to inspiracja do podjęcia kroków zapewniających w jakimś stopniu ochronę naszych danych w sieci.

Sposobów jest wiele, tylko jak one działają?

Według mnie najważniejszą zasadą jest pamiętanie, że nie wolno ufać wszystkiemu, co widzimy. Ograniczone zaufanie tak na prawdę jest kluczowym elementem podczas poruszania się w przestrzeni internetowej.

Przeróżne złośliwe oprogramowania, przesyłane drogą mailową, często są ukryte za linkami, które teoretycznie powinny przenosić nas do autentycznej strony internetowej (jest to jednak temat na inny artykuł, ponieważ te praktyki są również niezwykle rozbudowaną i ciekawą sprawą), a w rzeczywistości mogą nam sprezentować wątpliwą przyjemność w postaci złośliwego oprogramowania śledzącego.

Oczywiście jest to jeden przykład z wielu, które funkcjonują i tak na prawdę nie ma jednego sposobu na całkowitą ochronę własnych danych w Internecie – mamy jednak dostęp do narzędzi pomagających nam w znacznym stopniu zabezpieczyć się przed nieautoryzowanym użyciem naszych kont. Warto zrozumieć jak one działają i jak możemy je usprawnić, żeby dostosowały się do ciągle zmieniających się sposobów kradzieży.

Weryfikacja dwuetapowa (2FA)

Weryfikacja dwuetapowa (ang. two-factor authentication, 2FA) to metoda pozwalająca na uwierzytelnienie logowania użytkownika za pomocą dwóch składników – pierwszy z nich to hasło wpisywane przy logowaniu do konta, a drugi to na przykład losowo wygenerowany token przesyłany na adres mailowy czy wiadomością SMS lub dane biometryczne (np. odcisk palca, czy skan twarzy).

Istnieją również programy, takie jak Google Authenticator, przechowujące tymczasowe tokeny do zsynchronizowanych z aplikacją kont. Życie tych kodów trwa z reguły kilka-kilkanaście sekund i po upływie określonego czasu, generuje się kolejny nowy token.

Wygenerowane kody możemy skopiować i wkleić do wybranych aplikacji | Źródło: Google Authenticator / materiały własne

Warto stosować 2FA, ponieważ nawet jeśli ktoś przechwyci hasło do naszego konta, logowanie i tak zostanie utrudnione przez wymóg podania drugiego składnika uwierzytelniającego. To rozwiązanie brzmi jak coś, co rzeczywiście jest nas w stanie ochronić, jednak muszę ostudzić ten entuzjazm – weryfikację dwuetapową również można oszukać.

Wcześniej wspomniałam o tym, że nie ma rozwiązania w stu procentach ochraniającego nas, dlatego rodzi się kolejne pytanie – co możemy zrobić, aby 2FA było bardziej skuteczne? Możemy zainwestować w fizyczny klucz zabezpieczający.

Fizyczny klucz U2F

Klucz U2F (ang. Universal 2nd Factor Key) jest to fizyczny nośnik przechowujący zaszyfrowany klucz dostępu do konta. Z reguły wygląda jak zwykły pendrive – aby dokonać autoryzacji logowania należy go wpiąć do urządzenia, na którym podejmujemy próbę połączenia się z kontem. Mówię tutaj „urządzenia”, ponieważ mam na myśli zarówno komputery stacjonarne jak i laptopy, tablety, czy telefony – oprócz portów USB, niektóre z kluczy U2F obsługują technologię NFC, a jeszcze inne łączą oba te sposoby na integracje ze sprzętem.

Aby połączyć klucz z wybranym kontem, musimy się najpierw dowiedzieć, czy dana platforma wspiera taki sposób autoryzacji. Sporo serwisów oferuje taką możliwość, więc wystarczy odszukać odpowiednią opcję w ustawieniach konta, choć to czasami może być uporczywe ze względu na poukrywanie tych funkcjonalności w obrębie serwisu. Dalej już powinniśmy zostać pokierowani przez kreator klucza i cała operacja zajmie kilka minut.

Yubico to jeden z głównych producentów kluczy U2F | Źródło: Yubico.

Niewątpliwie największą zaletą sprzętowych kluczy U2F jest ich fizyczna forma. Dopóki ktoś nie wejdzie w posiadanie tego urządzenia, bardzo ciężko będzie mu zdobyć kod uwierzytelniający logowanie. Jeśli jakaś osoba nabierze się na fałszywy link i wprowadzi dane logowania, to pomimo przechwycenia hasła i loginu, dostęp do konta będzie praktycznie niemożliwy. Klucze U2F są wyposażone w mechanizmy bezpieczeństwa chroniące nas przed atakami phishingowymi. Dodatkowo ich uniwersalność pozwala używać je wielokrotne na różnych urządzeniach i platformach.

Koncepcja działania klucza U2F brzmi tak, jakby to było panaceum na wszystkie problemy związane z wykradnięciem danych logowania. Warto jednak mieć na uwadze kilka wad. Faktem jest to, że klucz U2F zapewnia nam potężną ochronę przed różnymi atakami, ale jeśli na naszym urządzeniu będzie działało złośliwe oprogramowanie, wirtualny złodziej może podjąć próbę przechwycenia danych lub konta pomimo stosowania zewnętrznej ochrony (np. wykradając dane aktualnej sesji).

Inne wady (mniej dramatyczne), jakie mogę wskazać to na przykład koszty związane z zakupem U2F – ceny w Internecie zaczynają się od około 140 złotych, ale możemy wydać znacznie więcej bo nawet kilka tysięcy złotych. To może być problematyczne, ponieważ jak to mówią, przezorny zawsze ubezpieczony i warto posiadać dwa takie klucze w wypadku gdyby jeden z nich się zgubił, zepsuł albo został skradziony.

Silne hasła dostępu i menedżery haseł

Często słyszymy z różnych źródeł o tym, aby stosować silne hasła dostępu. Niestety większości z nas najzwyczajniej w świecie nie chce się wymyślać i zapamiętywać kombinacji ciągu znaków różnych dla każdego z posiadanych kont. Zainspirowany tym zjawiskiem zespół odpowiedzialny za narzędzie do przechowywania haseł NordPass poprosił niezależnych badaczy, aby opracowali dla nich badanie dotyczące 200 najpopularniejszych haseł na przestrzeni od 2019 do 2022 roku. Zebrana lista obejmowała użytkowników z różnych państw, a top 5 haseł prezentuje się w następujący sposób:

• 123456 (do złamania w mniej niż sekundę)
• admin (do złamania w mniej niż sekundę)
• 12345678 (do złamania w mniej niż sekundę)
• 123456789 (do złamania w mniej niż sekundę)
• 1234 (do złamania w mniej niż sekundę)

Te kombinacje stanowią otwartą furtkę dla wszystkich osób chcących uzyskać nieautoryzowany dostęp do konta i zdecydowanie nie możemy ich zaliczyć do kategorii „Silne hasła”.

Aby hasło było skuteczne, musimy je znacząco wzmocnić. Na pewno musi być ono wystarczająco długie, żeby liczba kombinacji ułożenia znaków w poprawnej kolejności, była na tyle wysoka i na tyle czasochłonna do rozpracowania, że aż prawie niemożliwa (nie chcę zagłębiać się w zagadnienia kryptograficzne oraz matematyczne, ponieważ obawiam się, że mogłoby nie wystarczyć mi na to strony). Zaleca się używanie hasła o długości przynajmniej 16 znaków, przy czym i tak jest to uznawane za absolutne minimum.

Hakerzy często są przedstawiani w filmach niemal jak magicy. W praktyce do włamania często wystarczą bardzo proste metody, bo użytkownik sam zostawia otwarte drzwi. Źródło: Sinousxl / Pixabay.

Im bardziej losowe hasło tym lepiej – zapewni nam to na przykład użycie całkowicie losowych znaków z klawiatury (litery, cyfry, znaki specjalne), czy kombinacja w ogólne niepowiązanych ze sobą wyrazów (np. RakietaKubekButyDługopisŚwiatło). Dodatkowo nigdy nie używaj tego samego hasła do wielu kont. Zapamiętanie ich wszystkich może być uciążliwe, dlatego zamiast zapisywać je w pliku .txt na komputerze (zaufajcie, lepiej tego nie robić) skorzystajmy z pomocy menedżera haseł.

Takie oprogramowanie posiada opcję weryfikacji, czy wybrane przez użytkownika hasło jest wystarczająco silne i przechowywać je wszystkie w jednym miejscu. Stosując niniejsze rozwiązanie musimy w zasadzie zapamiętać tylko jedno hasło – to do menedżera haseł.

Istnieją również na rynku menedżery wbudowane bezpośrednio w przeglądarkę oraz takie oferujące nam rozszerzenie do niej. Dzięki temu pola przeznaczone do wprowadzenia danych logowania zostaną automatycznie uzupełnione oraz w przypadku, gdy oprogramowanie zauważy, że dana strona jest sfałszowaną kopią podszywającą się pod oryginał, automatyczne uzupełnianie nie zadziała.

Oczywiście ograniczone zaufanie do tego typu rozwiązań jest jak najbardziej zrozumiałe. Wystarczy tylko, że nieupoważniona osoba wejdzie w posiadanie hasła do menedżera i tak na prawdę możemy pożegnać się ze wszystkimi zapamiętanymi danymi logowania. Pomimo zapewnień producentów o stosowaniu szyfrowania danych oraz odpowiednich zabezpieczeń chroniących to co dla nas cenne, nie mamy pewności na ile one są skuteczne i czy są odpowiednio dobrane. Musimy też wiedzieć, że obecne złośliwe oprogramowania potrafią wykradać wprowadzane dane.

Podsumowanie

Wszystkie opisane rozwiązania musimy potraktować jak „systemy alarmowe” ostrzegające nas przed włamywaczami. Wspomnę jeszcze raz, że żadne rozwiązanie nie jest w stanie nas ochronić na 100%, ale na pewno skutecznie utrudnią podjętą próbę kradzieży.

Poruszając się w sieci, musimy kierować się rozwagą, ostrożnością i ograniczonym zaufaniem do treści, które są nam dostarczane - nie ma sensu też popadać w zbędną paranoję, ale dobrze jest żyć z poczuciem, że podjęliśmy kroki pozwalające na ochronę naszych danych.

Wszystkie przedstawione sposoby zostały opisane tak, aby zachęciły do zgłębiania wiedzy na temat zabezpieczania danych logowania w sieci. Mam nadzieję, że wzbudziłam ciekawość do dalszego poszukiwania i podjęcia takich rozwiązań na własnym podwórku.

Czytaj więcej:Luka w zabezpieczeniach systemu WebOS: jeśli posiadasz telewizor LG, zaktualizuj oprogramowanie

Anita "anison99" Zych

Anita "anison99" Zych

Zainteresowanie technologią oraz światem gier komputerowych rozwijała od najmłodszych lat, rozpoczynając ją od największych klasyków w branży. Zafascynowana rozgrywką w Diablo II, przygodami Bezimiennego w Górniczej Dolinie oraz rozwijaniem cywilizacji w Age Of Empires, chciała kreować własne historie nieustraszonych bohaterów dzięki rysunkowi i pisaniu pierwszych komiksów. W późniejszych latach pogłębiała swoją wiedzę na temat technologii dzięki podjęciu studiów ściśle związanych z inżynierią oprogramowania. Dzięki temu poznała nowe możliwości, jeśli chodzi o gamedev – projektowanie modeli 3D, rysunki koncepcyjne oraz budowanie świata wirtualnego stały się dla niej bardziej przystępne dzięki zrozumieniu zasad programowania. W przyszłości chciałaby stworzyć własną grę.