Dostęp do domu? A może konta? Obowiązują takie same zasady!

Dostęp do domu, czy do konta? Obowiązują takie same zasady...
Powyższy plakat ma na celu przypomnienie, że czy w życiu realnym, czy wirtualnym zasady dotyczące bezpieczeństwa pozostają niezmienne.
Drzwi zazwyczaj używamy do zaznaczenia, że to co jest za nimi nie musi być widoczne stojąc przed nimi, a jeśli dodatkowo są wyposażone w działający zamek, to przepuszczają jedynie te osoby, które potrafią je otworzyć.
Tak samo jest z kontem w usłudze cyfrowej, lokalnej czy sieciowej - ten kto potrafi odblokować zabezpieczenie (lub je obejść) jest w stanie dotrzeć do informacji chronionych tym zabezpieczeniem.
Innym razem poruszymy temat jakości możliwych mechanizmów zabezpieczeń, zarówno w przypadku drzwi jak i konta, teraz skupmy się na ich roli.

Gdzie mieszkasz?

Osoba obca przechodząca obok zamkniętych drzwi nie jest w stanie wskazać które są interesujące dla niej, jeśli nie posiada wskazówek identyfikujących co za nimi znajdzie. Mieszkanie Jana Kowalskiego może mieć tabliczkę "Jan Kowalski" i kwestia znalezienia tego mieszkania w bloku do którego wszedł Jan nie jest większym kłopotem. Jednak gdy jest to wyłącznie numer, a w okolicy brakuje informacji o spisie lokatorów to zadanie jest trudniejsze.
Podobnie sytuacja ma się z loginem - używanie loginu jawnie identyfikującego któregokolwiek z nas ułatwia dostęp do naszego konta - połowa wymaganych informacji jest już znana. Pozostaje hasło.

Kim jestes?


Wizjer to prymitywne ale nadzwyczaj skuteczne narzędzie do pobieżnej oceny tego, kto żąda dostępu do naszego mieszkania czy domu - wystarczy spojrzeć, zazwyczaj można rozpoznać osoby znane, wraz z jej towarzyszącymi jak i okolicznościami sytuacji przed drzwiami. Oczywiście oświetlenie się liczy i nasza odporność na presję sytuacyjną - jednak zawsze to więcej niż zwykła identyfikacja głosowa zniekształcona przez drzwi.
A jak z kontem? Czy samo wizualne podobieństwo do znanej strony logowania wystarczy do tego aby w formularzu cyfrowym wprowadzić login i hasło? Lepiej się upewnić. Sprawdzić domenę a nawet cały adres internetowy. Pamiętajmy liczy się wyłącznie to, co między https:// a kolejnym / i to czytając od tego właśnie znaku / - dla przykładu https://sci-ikb.blogspot.com/ powinniśmy czytać tak: identyfikujemy pierwszy / po // i czytając od tyłu to co mamy między najbliższą kropką to domena która prezentuje stronę - w tym wypadku blogspot.com. Zatem adres https://sci-ikb.blogspot.com-czytaj.to/ prowadzi do strony w domenie czytaj.to a nie blogspot.com. Bądźcie również czujni na zabiegi związane ze zwielokrotnieniem znaku - lub _ w formie ---------------------------------- czy też ________________________ które przesuwają na małych ekranach realny adres poza pole widzenia jak w przypadku https://sci-ikb.blogspot.com-----------------------------------------------------------------------czytaj.to/. Sztuczek oszuści znają wiele, My mamy do dyspozycji zdrowy rozsądek i spostrzegawczość - warto zrobić z nich użytek. Zwróćcie również uwagę, że sama obecność certyfikatu SSL nie gwarantuje prawdziwości informacji zawartych w certyfikacie, czy podanych w adresie strony nim zabezpieczonych. Do tego celu służy specjalny certyfikat zwany EV SSL czy SSL EV od extended validation czyli rozszerzona weryfikacja. Każdy kto chce używać tego certyfikatu musi przejść szczegółowy i rygorystyczny proces potwierdzenia tożsamości podmiotu i związku z informacjami podawanymi w certyfikacie. To dlatego większość banków używa właśnie tego certyfikatu. Jak to rozpoznać? Możecie sprawdzić tutaj lub tutaj.

Pokaż mi swój klucz

Hasło czyli klucz. W przypadku drzwi do domu, klucz i zamek stanowią komplet - im bardziej odporne na manipulację czy uszkodzenie tym skuteczniej chronią przed włamaniem. Dostępne powszechnie zamki posiadają oznaczenia klas odporności, które definiują minimalny czas potrzebny do "pokonania" zamka. Choć czasy te wydają się być krótkie - wyobraźcie sobie Waszą reakcję na majstrowanie kogoś obcego przy drzwiach sąsiada przez co najmniej 6 minut! Tyle wytrzymuje zamek klasy C. Warto się zastanowić.
W przypadku konta, niewiele zazwyczaj wiemy o zamku, możemy jednak postarać się aby klucz do niego był równie utrudniający włamanie jak zamek klasy C. W tym celu warto zapamiętać jedno: im nasze hasło mniej ma jawnego związku z publicznie przekazanymi informacjami na nasz temat, tym lepiej - bez względu na jego długość. Drugim kryterium jest właśnie długość. To ona decyduje ile czasu maszyny i algorytmy muszą poświęcić na uzyskanie Waszego hasła w postaci, jaką ktoś obcy może użyć do zalogowania na Wasze konto. Sprawdźcie sami, jak czas niezbędny do "złamania" hasła rośnie z jego długością. Jeśli wierzycie na słowo - to teraz warto zmienić je w czyn - od dzisiaj nie stosujcie haseł a wyrażenia hasłowe. Czy to 3-4 słowa bez wyraźnego związku ogólnego albo mające znaczenie dla Was, czy to zdanie bądź powiedzonko, które lubicie, ale którego nie da się Wam przypisać jednoznacznie. Takie hasło- to dopiero HASŁO! A do tego łatwo je zapamiętać i skutecznie utworzyć ich tyle ile tylko trzeba, zmieniając kilka słów - specyficznych dla danej usługi.
Ale uwaga, niestety nie wszystkie usługi są dostosowane do współczesnych wymagań (zamki są starego typu) i akceptują tylko proste klucze - maksymalnie 8-15 znaków i do tego mają wymogi wielkich, małych liter, znaków specjalnych i cyfr - średniowiecze! Wtedy nie pozostaje nic innego jak porzucić taką usługę, albo zażądać zmiany zamków!

Na wszelki wypadek

Jeden zamek to co najmniej 6 minut, a drugi taki? Może już nie warto się męczyć? Jeśli nie jesteście "upatrzonym" celem i ktoś się nie zawziął, dodatkowy zamek zazwyczaj zniechęca (poza sytuacją kompletnego odludzia, gdzie dodatkowy zamek oznacza cenne przedmioty w środku).
W przypadku usługi cyfrowej - dodatkowe zabezpieczenie znacznie komplikuje możliwość przejęcia konta - i to ważne, nie zawsze zalogowania, bo zazwyczaj ułatwiamy sobie życie tworząc "zaufane" urządzenia, które przecież można ukraść czy zgubić, albo nawet na chwile zostawić. Dla takich urządzeń, dodatkowe zabezpieczenie konta w formie drugiego czynnika uwierzytelnienia czyli potwierdzenia naszej tożsamości nie musi być wymagane do logowania, ale na szczęście zazwyczaj jest wymagane do wprowadzenia istotnych zmian na koncie (jak zmiana hasła, dodanie nowego urządzenia zaufanego, itp). Oczywiście drugi czynnik nie uchroni nas w zupełności, tak samo jak drugi zamek nie powstrzyma zdeterminowanego włamywacza, ale zdecydowanie utrudni mu pracę i podniesie koszt całej operacji. Dlatego jeśli jeszcze tego nie używasz, skonfiguruj jak najszybciej czy to w formie dodatkowego potwierdzenia SMS-em (podatne gdy masz złośliwe oprogramowanie na telefonie), kodem ze zdrapki, dodatkowym urządzeniem, dedykowaną aplikacją (podatne jeśli aplikacja jest źle zabezpieczona, albo złośliwe oprogramowanie umieszcza fałszywy obrazek na wierzchu aplikacji), lub innym preferowanym przez dostawcę Twojej usługi cyfrowej. Większość kont społecznościowych umożliwia ustawienie tego zabezpieczenia. Jeśli nie wiesz jak, sprawdź tutaj.

Zaufana pomoc w akcji


Bywają sytuacje, gdy chronić musimy zbyt wiele drzwi w budynku (np. jako właściciel hotelu czy pensjonatu, albo pracodawca) i obciążanie tym obowiązkiem ludzi używających tej przestrzeni jest zwyczajnie nierozsądne z uwagi na błędy jakie mogą popełnić. W tej sytuacji logicznym wydaje się zatrudnienie zaufanego strażnika, którego praca polegać będzie na pilnowaniu porządku i tego czy drzwi są używane zgodnie z zasadami jakie określasz. Taki strażnik może stanowić poważny problem, jeśli nie jest uczciwy wobec Ciebie, tak samo jak w sytuacji, gdy Ty nie ufasz jemu - co prowadzi do generowania kosztów i znikomej użyteczności.
Sytuacja jest analogiczna w przypadku mnogości kont cyfrowych, dotyczy jednak nie specyficznych ludzi a praktycznie każdego, głównie z uwagi na dobrą praktykę posiadania unikalnego hasła do każdej usługi cyfrowej - do czego gorąco zachęcamy. Jak sobie poradzić z dziesiątkami szybko zmieniającymi się w setkę kont albo i więcej? Poprzez stosowanie menadżerów haseł. I jedna kluczowa uwaga - zaufanie to Twoja wiara w skuteczność i bezpieczeństwo używanego produktu. Wiarę tę można budować w oparciu o fakty lub plotki. Fakty w świecie programowania to wyniki testów penetracyjnych, znalezione podatności i reakcja na nie przez producenta oprogramowania. Plotki to subiektywne oceny recenzentów i pozorna wiedza oparta na przeczuciu lub ironicznie braku rzetelnej wiedzy. Zakres użycia menadżerów haseł powinien być zawsze świadomy. Jeśli informacje czy "zasięg" transakcji możliwych do realizacji z poziomu konta usługi cyfrowej jest dla nas krytyczny i nie ufamy zupełnie usłudze menadżera haseł - to sprawa jest jasna. Jeśli mamy wątpliwości - zarówno wstrzemięźliwość jak i poszukiwanie wiedzy są dobrymi strategiami. Przyjmijmy zatem podejście zbliżone do znanego z życia - zatrudnijmy strażnika w takim zakresie w jakim mamy do niego zaufanie. A zaufanie budujmy na faktach a nie plotkach.

Ochroń +5
Rozwaga +5

O programie


Powyższy tekst jest elementem Programu Bezpieczeństwa Bardziej Osobistego mającego za zadanie rozwój kompetencji osobistych w zakresie wspierającym ogólno pojęte bezpieczeństwo w ramach modelu "bezpieczeństwo w Twoich rękach":
Ręka lewa (od serca, prywatna):
A.szacunek (zdolność do ograniczonego zaufania i rozpoznawania wpływu emocji)
B.prywatność (zdolność do powściągliwości w ujawnianiu informacji i ocenie jej wartości - choć ogólnie dotyczy dowolnej czynności)
C.rozwaga (zdolność  do oceny sytuacji i oszacowania konsekwencji podjętych akcji)
D.asertywność (zdolność do samodzielnego podejmowania decyzji i dbania o swoją przestrzeń życiową)
E.wzór (zdolność do działania i pokonywania trudności wynikających z przyzwyczajeń)

Ręka prawa (społeczna, do pracy):
1.identyfikuj (wiedza na temat swojej roli w procesie i wpływu na otoczenie)
2.ochroń (znajomość ograniczeń narzędzi stosowanych w procesie)
3.wykryj (znajomość przewidywanego toku procesu i gotowość do odnotowania odchyleń do normy)
4.reaguj (zdolność do przekazania uwag związanych z niespodziewanymi zmianami w procesie)
5.odzyskaj (zdolność do utrzymania lub odtworzenia procesu w wyniku niespodziewanego zaburzenia)

Wszystkie materiały autorstwa IKB dostępne są na licencji CC BY, SA i są do pobrania tutaj.

Popularne posty