Nie używaj tego samego hasła!

Nie używaj tego samego hasła!

 

Większości z nas nie interesują nas hasła, loginy.

Chcemy po prostu skorzystać z danej usługi.

Korzystamy z wielu usług i jak tu zapamiętać wszystkie hasła?

 

Kończy się na tym, że podajemy te same hasło - wszędzie!

Wiele osób wybiera naprawdę proste hasła.

Najpopularniejszych haseł to:

"123456", "123456789", "qwerty", "12345678", "111111", "1234567890", "1234567", "password", "123123", "987654321", "qwertyuiop", "mynoob", "123321", "666666", "18atcskd2w", "7777777", "1q2w3e4r", "654321", "555555", "3rjs1la7qe", "google", "1q2w3e4r5t", "123qwe", "zxcvbnm", "1q2w3e", ...

 

Używanie tego samego hasła jest niebezpieczne!

 

Dlaczego?

Jeśli używasz tego samego hasła w wielu usługach, i dana usługa zostanie zhakowana (nie jest to rzadkie), to twoje dane do logowania mogą być użyte do zalogowania się w pozostałych (innych) usługach!

Reset hasła?

Jeśli używasz tego samego hasła do maila, to mail może być użyty do zmiany hasła w ważnych usługach w których masz nawet inne hasło!

Karty kredytowe?

Tu warto wiedzieć, że karty kredytowe są ubezpieczone.
Gdy zobaczysz cudze płatności, lub sprzedający nie wywiąze się z umowy, to waro skorzystać z formularza charge back w twoim banku (wystawca karty).

 

Dane osobowe?

PESEL, adres zamieszkania, karty kredytowe, ..

Te dane mogą być użyte do uzyskania dostępu do innych usług.

Brałeś kredyt?
Bank twierdzi, że tak :D

 

Kto by chciał hakować moje konto?

Po pierwsze, zazwyczaj atakuje się nie daną osobę, lecz dany serwis / grupę użytkowników.

 

Pozyskane dane później można wykorzystać lub sprzedać.

Najłatwiej sprzedać dane które łatwo zmonetyzować.
Popularne sa dane osobowe, numery kart, piny, hasła, konta bankowe.
 

Ważny numer karty, można sprzedać za 0,5 USD, gdy mamy nazwisko i PIN i to może już kosztować 4-5 x więcej - 2-2,5 USD.
Dane dostępowe do kont bankowych sprzedaje się w zależności od ilości środków dostępnych na koncie. Za 10 USD można kupić konto ze 100-500 USD. Za konto 20000+ USD, zapłacimy 70 USD.

Jednak można sprzedać znacznie więcej.

Pamiętaj, że dane łatwo można łączyć. Jesli w zhakowanym serwisie nie podałeś prawdziwych danych, to w innym serwisie z tym samym loginem/hasłem takie dane mogłeś już podać!

 

Poza atakami na konkretne usługi, wiele ataków odbywa się w pełni automatycznie.
Istnieją systemy które 'pukają' do serwerów i sprawdzają co da się zrobić. Czy serwery są podatne, czy uda sie włamać wykorzystując znany błąd.

 

Gdy brałeś kredyt, lub kupiłeś coś na raty?

Co było potrzebne?
Jakie dane?
Czy te dane w jakiejś formie znajdują się w usługach z których korzystasz?

 

Skradzone dane? Zdarza się.

Duże firmy przeznaczają dużo pieniędzy by zapewnić odpowiednie bezpieczeństwo, jednak i tak co chwilę słychać o nowym włamaniu!

 

Czy 3 miliardy kont to dużo?

Na marginesie: 3 miliardy to 3 000 000 000.

Tak się składa, że tyle kont wyciekło w 2013 roku z Yahoo.

 

Adult Friend Finder (Adult Friend Finder, Penthouse.com, Cams.com, iCams.com, Stripshow.com)? W 2016 wyciekło: 412.2 miliony kont.

eBay? W 2014 roku wyciekło 145 milionów kont.

Uber? W 2016 wyciekło 57 milionów kont

Sony's PlayStation Network? W 2011 zhakowane zostało 77 milionów kont.

 

Według GUSu w Polsce mamy 38 milionów ludzi.
To znaczy w przytoczonych przykładach wyciekło więcej danych użytkowników niż w Polsce mamy ludzi!

 

 

Czy moje dane wyciekły?

 

Moje dane do logowania zostały przechwycone m.in przez widoczne wyżej usługi.
Według (haveibeenpwned.com).
Warto wiedzieć, że z pewnością lista jest znacznie dłuższa!

 

 

On the afternoon of Tuesday, September 25, our engineering team discovered a security issue affecting almost 50 million accounts. We’re taking this incredibly seriously and wanted to let everyone know what’s happened and the immediate action we’ve taken to protect people’s security.

https://newsroom.fb.com/news/2018/09/security-update/

 

Nawet jeśli twoje konto nie znalazło się na liście, to nie znaczy, że twoje dane gdzieś nie krążą w sieci!

Wspomniany serwis zawiera jedynie ubublicznione dane z wycieków.

Wiele serwisów nie przyznaje się do włamań/wycieków, czasem administrator nawet nie wie, że taki incydent miał miejsce!
Czasem trudno określić, jakie dane napastnik mógł pozyskać.
 

Jak Twoje hasła są przechowywane? (Ciekawostka)

Każda usługa z której korzystasz musi mieć możliwość sprawdzenia, czy to to ty.
Zazwyczaj wykorzystuje się do tego celu hasła.
Zakładając, że skoro znasz hasło, to musisz być ty.

Najprostrzym sposobem, byłoby gdyby przy rejestracji zapisywać twoje hasło.
Wtedy przy logowaniu można sprawdzić, czy te hasła są te same.

Jednak w takim przypadku każdy kto uzyskał by dostęp do takich danych (np. haker) poznał by twoje hasło.

Dlatego serwisy internetowe (zazwyczaj) nie przechowują twojego hasła, przynajmniej w takiej formie w której wpisujesz!

Zamiast tego przechowuje się odpowiednio przekształcone twoje hasło.

Dla przykładu gdy wpiszesz hasło:

"123456",

to dany serwis przekształci twoje hasło.

Gdyby serwis użył tzw. funkcji skrótu MD5 bezpośrednio na podanych przez Ciebie danych, to otrzymałby:

E10ADC3949BA59ABBE56E057F20F883E

I właśnie taka wartość została by zapisana w bazie danych jako twoje hasło!

ciąg "123456" po przekrztałceniu przez MD5 zawsze da "E10ADC3949BA59ABBE56E057F20F883E", zatem można traktować je jak twoje hasło

Magia, co nie?

 

Można by pomyśleć, że w takiej sytuacji nie ma co się martwić.

ALE

  • Udało mi się spotkać z systemami, gdzie hasło przechowywane jest w sposób jawny (w takiej formie jak wpisałeś, a pani przy okienku, nie raz była nawet chętna podać moje hasło!!)
    Na szczęście, zdarza się to naprawdę rzadko!
  • Sam przekształcenie hasła to nie wszystko!
    W niektórych sytuacjach, dość łatwo można 'złamać' zabezpieczenie i 'zgadnąć' jakie było oryginalne hasło.
    Takim rażącym przykładem nieodpowiedniego zabezpieczenia haseł mogłby być podany przykład powyżej (użycie starego MD5 bezpośrednio na haśle).

 

 

Krzyżówka inspirowana hasłami i podpowiedziamy z wycieku Adobe.
Taką krzyżówki można rozwiązywać na zed0.co.uk/crossword/.
Czy jesteś w stanie zgadnąć jakie było hasło na podstawie podpowiedzi?
Z Adobe wyciekło 38 mln danych kont.


 

 

Jak się zabezpieczyć?

 

Warto używać różnych haseł w różnych serwisach.

Pomocne mogą okazać się menadżery haseł.

 

Menadżery haseł

KeePass

Jednak szybko odkryjesz, że naprawdę trudno zapamiętać tak wiele różnych haseł (do banku, do maila, do facebooka, do ...).
Dlatego naprawdę warto skorzystać z tzw. managerów haseł.
Osobiście polecam KeePassXC (lub inną odmianę KeePass'a).

Korzystając z takiego programu, będziesz musiał pamiętać jedynie jedno hasło - hasło główne.
Znając hasło główne moższ odszyfrować wszystkie zapisane wcześniej hasła.
Dlatego z łatwością możesz dodawać kolejne hasła, których nie będziesz musiał pamiętać (wystarczy hasło główne).
Jednak każdy kto będzie miał dostęp do twojego pliku i hasła, będzie w stanie odczytać wszystkie hasła.
Jednak jest to nadal lepsza (bezpieczniejsza) opcja niż używanie tych samych haseł!

Działa na: Windows/Linux/Mac.

 

NSA?

Niektórzy twierdzą, że amerykańska agencja NSA, być może jest w stanie odszyfrować taką bazę danych bez twojego hasła.
Jednak nadal lepiej jest korzystać z takiego programu niż używać tych samych haseł!

 

LastPass

To bardzo wygodny manager haseł, który integruje się z twoją przeglądarką.
Twoje hasła przechowywane są w 'chmurze' - na serwerach LastPass.
Jednak nawet producent nie ma dostępu do twoich danych.
To dobrze, w przypadku ewentualnego włamania twoje 'hasła nie wypłyną'.
Jednak gdy zapomnisz hasła głównego - nikt Ci nie pomoże! Nie odzyszkasz zapomnianego hasła, bo nikt go nie ma.

 

W LastPass istnieje opcja zapamiętania hasła gównego w przeglądarce.
Jednak istnieją sposoby by ukraść takie hasło główne!

LastPass oferuje bardzo wygodne autouzupełnianie!

 

 

Autouzupełnianie

Autouzupełnianie przez przeglądarkę, czy zewnetrzny manager haseł np. LastPass, ma dobre i złe strony.

 

Dobre

Przez przypadek nie wpiszesz hasła, na stronie podobnej np. do strony twojego banku! (system sprawdza adres URL).

 

Złe

Twoje hasło gdzieś jest zapisane.
Jeśli jest zapisane, to być może istnieje sposób jego odczytania!

 

 

Podobał Ci się ten artykuł?

Jeśli tak, to zarejestruj się aby otrzymywać powiadomienia o nowych artykułach poszerzających perspektywę. A mając szerszą perspektywę, możesz podjmować lepsze decyzje! (a to Twój czas, pieniądze, zdrowie, ..)


Dobre? - polub i poleć innym
Polub StartHerePL: Zdrowie
Polub StartHerePL: Biznes
Polub StartHerePL: InfoTechnologia

Newsletter?

Najpierw jakoś potem jakość. Prawie wszystkie artykuły cały czas aktualizuję :) Możesz spotkać: literówki, niedokończone zdania itp. Wszelkie uwagi są mile widziane! michal @ starthere.pl