Filtrowanie wszystkich postów po tagu "hasła." Wyczyść filtr

Często piszemy na tym blogu jak oszczędzać pieniądze, jak ograniczać zbędne wydatki i jak szukać różnych, większych i mniejszych, wycieków z domowego budżetu. Czyli piszemy trochę o tym, jak chronić własne pieniądze przed samym sobą – przed złymi nawykami, niekorzystnymi decyzjami finansowymi i impulsywnymi zakupami.

Ale nie pomijajmy innego ważnego tematu – jak chronić pieniądze przed innymi. Przed złodziejami, hakeram i innymi nieuczciwymi osobami.

Dziś bankowość elektroniczna to już właściwie codzienność. Co tu dużo mówić, cała idea Kontomierza opiera się na tym, że korzystacie z bankowości internetowej :).

W związku z tym, że to już tak powszechny kanał dostępu do naszych pieniędzy, bywa on celem ataków, prób wyłudzeń loginów i haseł i innego typu nieuczciwych praktyk. Wystarczy poczytać wpisy na Niebezpieczniku, by przekonać się, że takie rzeczy po prostu się zdarzają. I zdecydowanie nie jest to coś, o czym możemy powiedzieć, że „nas to nie dotyczy”. Dotyczy.

Warto zadbać o swoje bezpieczeństwo w internecie, zwłaszcza gdy w grę wchodzą prawdziwe pieniądze. Nasze pieniądze – te odłożone na codzienne wydatki, przeznaczone na większe zakupy, na emeryturę itp.

Oto kilka zasad, które pozwolą Wam zachować większy poziom bezpieczeństwa.

Przy logowaniu się do banku sprawdzaj pasek adresu przeglądarki

Znajduje się tam kilka ważnych rzeczy, na które trzeba zwrócić uwagę. Po pierwsze – sam adres. Oszuści w mailach phishingowych będą kierować nas na strony łudząco podobne do modułu logowania naszego banku.

O to podobieństwo będą dbać też odpowiednio maskując adres strony. Czyli jeżeli na przykład logujesz się do mBanku, to w pasku adresu powinien znaleźć się adres: online.mbank.pl/pl/Login

kreatywni oszuści mogą wymyślić podobne domeny, które na pierwszy rzut oka będą wyglądać niemal identycznie jak oryginał, ale zamiast do systemu transakcyjnego, będą prowadzić po prostu do modułu wyłudzającego loginy i hasła.

Łatwo sobie wyobrazić takie „kreatywne” adresy, np. „online.rnbank.pl/pl/Login” (m zamienione na r i n). O pomyłkę nietrudno.

W pasku adresu znajdują się jeszcze inne istotne rzeczy. Adres poprzedzony powinien być przedrostkiem https://, co oznacza bezpieczne połączenie.

Przy adresie powinien widnieć symbol kłódki. To oznacza, że połączenie jest szyfrowane. Po kliknięciu w kłódkę powinny pojawić się informacje o certyfikacie – o tym, czy jest aktualny i czy został wydany dla tej instytucji, na której stronie właśnie jesteś.

Adres najlepiej wpisywać bezpośrednio w pasku przeglądarki, „z ręki”. Lepiej nie polegać na „ulubionych”. Skoro istnieje złośliwe oprogramowanie, które potrafi podmienić numer konta przy przelewie, to pewnie gdzieś też istnieje takie, które podmienia „ulubione” docelowe adresy logowania do stron banków internetowych.

I jeszcze jedno. Logujmy się tylko z zaufanych komputerów, takich co do których mamy pewność, że nie mają zainstalowanych żadnych keyloggerów ani innego złośliwego oprogramowania. Czyli odpadają wszelkie kafejki internetowe i publiczne biblioteki.

Ostrożnie z mailami

W mailach od banków też warto sprawdzać, z jakiej domeny są wysyłane. Ale to o wiele za mało.

Przy elektronicznej korespondencji z bankiem najlepiej przyjąć trzy zasady:

1. Żaden pracownik banku nie będzie prosił Cię o podanie loginu i/lub hasła za pośrednictwem maila. Jeżeli otrzymałeś mail z taką treścią, to coś musi być nie tak i warto zwiększyć czujność.

2. Nie klikamy w mailach w linki, które prowadzą do stron logowania (banki w ogóle nie powinny takich linków zamieszczać w korespondencji). Zamiast tego, jeżeli sprawa z maila wymaga od nas zalogowania się do systemu, to logujemy się samodzielnie, „ręcznie” – według zasad opisanych wcześniej.

3. Nie otwieramy linków i załączników z maili z podejrzanych źródeł. I to dotyczy nie tylko maili związanych z finansami, ale wszelkiej podejrzanej i spamowej korespondencji. Taki klik w link czy załącznik może ostatecznie doprowadzić do tego, że nieświadomie zainstalujemy na swoim komputerze złośliwe oprogramowanie, które otworzy drogę do pozyskania naszych danych.

Hasła

Dziś banki na ogół wymagają, by hasła spełniały podstawowe wymagania bezpieczeństwa. Czyli aby były odpowiednio długie (stąd np. wymagane minimum 8 znaków) i zawierały znaki specjalne, cyfry, wielkie i małe litery.

Ale o hasło można dbać nie tylko przy jego tworzeniu.

Warto zmieniać je co jakiś czas.

Hasło powinno być unikalne dla strony, do której się logujesz. Nie stosuj w swoim banku np. tego samego hasła, którego używasz w mailu czy w serwisach społecznościowych.

Trzymaj swoje hasło w tajemnicy. Nie zdradzaj go, nie zapisuj na kartce czy – tym gorzej – w nieszyfrowanym pliku na komputerze.

--

Znacie jeszcze jakieś rady, które pomagają w zwiększeniu bezpieczeństwa w korzystaniu z bankowości internetowej? Wpiszcie je w komentarzach poniżej.

Fot. Flickr / Theen

Ogólne Bezpieczeństwo haseł dla użytkowników i programistów

Klucz
Głośne wpadki

Ostatnio głośno jest o wpadkach z hasłami w poważnych (wydawałoby się) serwisach:

 
To skłania do głębszej refleksji - jak zarządzać własnymi hasłami do setek serwisów i usług? Jak profesjonalnie trzymać hasła w aplikacjach webowych?
 
Dla użytkowników: jak bezpiecznie i wygodnie zarządzać własnymi hasłami?

Bezwzględnym wymogiem jest posiadanie innego hasła do każdego serwisu / usługi. W niedawnej aferze na forum 4chan, użytkownikom zagranicznego katolickiego serwisu randkowego zszargano dobre imię wśród najbliższych (w realu). Atakujący w imieniu użytkowników wysłali do ich najbliższych pocztę, gdzie Ci rzekomo przyznają się do skrajnych ekscesów seksualnych i chorób zakaźnych. Ci użytkownicy mieli takie same hasło w serwisie randkowym i w poczcie (lub np. na facebooku). Kupowano także w ich imieniu sprośne gadżety (to samo hasło do serwisu PayPal). Niedbając o hasła w Internecie, narażasz swoje dobre imię w realu.

Używaj menadżera haseł (np. bezpłatny KeePass dla Windows lub komercyjny 1Password na Macu). Taki program bezpiecznie zapamięta za ciebie setki różnych haseł, dzięki czemu będziesz mógł stosować inne hasło w każdym serwisie i usłudze. Co więcej, dobry menadżer haseł będzie Cię automatycznie logował do serwisów i usług, czyniąc posługiwanie się wieloma hasłami wygodniejszym niż ręczne posługiwanie się jednym hasłem. Dobry menadżer wygeneruje Ci także silne hasła zgodne z najlepszymi praktykami. Wystarczy, że zapamiętasz jedno główne hasło do bazy programu. Co więcej, baza haseł KeePass jest silnie zaszyfrowana, dzięki czemu możesz ją wygodnie przesyłać pocztą lub przenosić na kluczu USB.

Zapoznaj się z dobrymi praktykami tworzenia silnych haseł, albo - najlpepiej - powierz tą funkcję swojemu menadżerowi haseł. Dobre hasło nie może zawierać słów w żadnym języku, nie może zawierać faktów (np. dat), musi zawierać małe i duże litery, cyfry i znaki specjalne ("krzaczki"), i musi mieć w zależności od zastosowania przynajmniej 8-16 znaków.

Nigdy nie wysyłaj haseł ani innych wrażliwych danych pocztą. Wszystko co wysyłasz pocztą traktuj jako upublicznione. Pamiętaj, że poczta zasadniczo nie jest szyfrowana i każdy system / osoba pomiędzy nadawcą i odbiorcą potencjalnie może ją podejrzeć.

Szczególną troską otocz hasła do poczty. Pamiętaj, że przejęcie poczty oznacza przejęcie wszystkich innych kont, nawet jeśli masz do nich inne hasła. Dzieje się tak ze względu na powszechnie stosowane mechanizmy resetowania haseł  (atakujący sprawdzi, w jakich serwisach masz konta i zresetuje tam hasła).

Jeśli używasz do logowania klucza prywatnego, pamiętaj o silnym passphrase. Dla wygody warto używać wtedy agenta kluczy (np. pageant na Windows), dzięki czemu hasło podajesz tylko raz przy uruchomieniu agenta.

Odchodząc od komputera, zawsze zablokuj pulpit (Win+L na Windows), aby nikt nie miał okazji podejrzeć haseł, poczty i innych otwartych danych. Wyrób sobie dobry nawyk Win+L.

Dla programistów: jak profesjonalnie implementować obsługę haseł w aplikacjach webowych?

Przy rejestracji użytkownik powinien widzieć wskaźnik siły hasła, ostrzegający na czerwono przed słabymi hasłami. Jeśli użytkownik w ramach swojego konta będzie miał dostęp do wrażliwych danych osób trzecich, należy nie tylko poinformować o słabym, ale także wymusić silne hasło.

Hasło w żadnym scenariuszu nie może być wysłane pocztą. Każdą wiadomość przesłaną pocztą należy traktować jako upublicznioną, ponieważ protokoły pocztowe z reguły nie są szyfrowane. Należy zdać sobie sprawę, że wiadomości często idą otwartym tekstem i każdy system/osoba pomiędzy nadawcą i odbiorcą może je odczytać.

W bazie danych nigdy nie trzyma się haseł. Przechowuje się ich skróty kryptograficzne. Dzięki temu administratorzy bazy danych nie znają haseł użytkowników, a w razie kradzieży bazy, haseł nie znają również atakujący. Do stworzenia skrótów kryptograficznych pod żadnym pozorem nie można wykorzystywać własnej roboty algorytmów. Należy skorzystać ze sprawdzonych rozwiązań. Obecnie zaleca się SHA-2 lub bcrypt (wariant Blowfish). Słabszy, ale dopuszczalny jest SHA-1, używany powszechnie w takich protokołach jak PGP, SSL, SSH, TLS. Niedopuszczalny jest MD5.

Hasła muszą być solone przed utworzeniem skrótu kryptograficznego. Sól to losowy ciąg znaków, który dodaje się do hasła tuż przed utworzeniem skrótu z całości. Zabezpiecza to przed atakami typu bruteforce + rainbow tables. Rainbow tables to metoda ataku brute force z przygotowanym słownikiem skrótów popularnych haseł. Dzięki losowej soli, nasze skróty są inne, zatem gotowa tabela w żaden sposób nie usprawni atakującemu żmudnego ataku brute force.

Sól musi być indywidualna dla każdego użytkownika. Sól powinna być wielokrotnie dłuższa od typowego hasła (np. 40-znakowa).

W przypadku zgubionego hasła, użytkownik powinien otrzymywać link umożliwiający zmianę hasła. Zauważmy, że link daje czasowy dostęp do konta - dlatego powinien szybko wygasać, np. po 24h. Przy wyższych wymaganiach bezpieczeństwa ta metoda może być uzupełniona o dodatkowe pytanie "osobiste" lub weryfikację SMS-em.

Rejestracja i logowanie, a także wszystkie inne fragmenty serwisu gdzie przesyłane są wrażliwe dane, powinny być po HTTPS. Wszystko co poszło protokołem HTTP należy traktować jako upublicznione.

Pamiętajmy także o filtrowaniu logów aplikacji - nie można dopuścić do sytuacji, gdzie w ramach logowania parametrów żądania w logach znajdzie się login i hasło lub inne wrażliwe dane.

(naturalnie kontomierz.pl spełnia wszystkie powyższe zalecenia)

Podsumowanie

Stosowanie powyższych dobrych praktyk nie tylko radykalnie zwiększy Twoje bezpieczeństwo - da Ci także poczucie profesjonalizmu i kontroli nad swoją cyfrową tożsamością.

Nowe zasady dotyczące cookies. Używamy plików cookies do zapewnienia Ci wygodnego korzystania z serwisu, gromadzenia danych analitycznych i statystycznych oraz wyświetlania reklam dostosowanych do Twoich preferencji i przeglądanych treści. Kontynuując przeglądanie zgadzasz się na wykorzystanie plików cookies w powyższym celu przez nas (Kontomierz.pl sp. z o.o.) i naszych partnerów. Możesz zmienić warunki przechowywania i dostępu do plików cookies, w tym zablokować te pliki, w ustawieniach przeglądarki. W związku z korzystaniem z serwisu przetwarzamy również dane osobowe. Zapoznaj się z polityką prywatności Kontomierz.pl, aby dowiedzieć się więcej o przetwarzaniu Twoich danych osobowych i plikach cookies.