Jak być bezpieczniejszym w Internecie?

Włamał Ci się ktoś kiedyś na konto Instagrama albo Facebooka? A może na skrzynkę pocztową? Albo na Twojego bloga na WordPressie?

Niezależnie, czy odpowiedź brzmi tak, czy też nie, powinieneś zadbać o podstawy bezpieczeństwa. Kieruję ten artykuł do osób podobnych do mnie, które działają aktywnie w internecie, social mediach, mają blogi, strony, sklepy i dostęp do dziesiątek zewnętrznych narzędzi.

Samo posiadanie bloga na WP wiąże się z korzystaniem z kilku usług i przechowywaniem kilku dostępów do nich:

  • Dane logowania do WordPressa,
  • Dane do bazy danych,
  • Dane do konta FTP,
  • Dane do dostawcy hostingu

To tylko podstawy, zwykle za tym stoją jeszcze co najmniej:

  • Oczywiście skrzynka pocztowa,
  • System do mailingu,
  • Statystyki,
  • Monitoring Internetu,
  • Konta w social media,
  • Pośrednik płatności,
  • Dostawca domen,
  • Narzędzie do TODO, czy zarządzania projektami,
  • Backup w chmurze,
  • System do fakturowania,
  • Narzędzie do landingów,
  • Coś do tworzenia grafik,

I jeszcze długo mógłbym wymieniać.

Jeśli nie we wszystkich, to w znacznej większości tych serwisów logujesz się przy użyciu maila. Co może się stać, gdy ktoś uzyska dostęp do Twojej skrzynki pocztowej? Może również uzyskać dostęp do tych pozostałych usług.

Co się może stać, gdy ktoś uzyska dostęp do bazy danych Twojego bloga? W zasadzie może przejąć całą stronę albo wykraść dane klientów.

Podobny wyciek danych klientów może nastąpić, gdy ktoś dostanie się do Twojego systemu fakturowania albo do systemu mailingowego. Wyobrażasz sobie konsekwencje takiej akcji?

Po co ktoś miałby włamać się na Twoją stronę? Przecież strona jest mało znacząca i nie ma tam istotnych danych. W zasadzie nie zawsze chodzi o Twoją stronę, ona wciąż może działać, lecz na serwerze intruz zainstaluje oprogramowanie, które będzie wykorzystywać jego zasoby.

Powodów włamań może być wiele, ich skutków jeszcze więcej. Stracisz dostęp do konta, dane zostaną wykradzione, co w efekcie może sprawić, że Twój biznes padnie… przynajmniej na jakiś czas.

Nie masz wpływu na wszystko, czasem zawiodą zabezpieczenia po stronie danego serwisu, wtedy jesteś bezradny. Masz jednak wpływ, na wiele innych czynników, które zwiększą Twoja bezpieczeństwo i zminimalizują ryzyko włamań.

I właśnie kilkoma, takimi zaleceniami, chciałem się z Tobą podzielić.

Żadne z nich, nie daje gwarancji bezpieczeństwa, ale zawsze, w jakimś stopniu je poprawia.

Osobne hasło do każdego serwisu

Dlaczego, to jest takie ważne? Załóżmy, że w serwisie X wyciekły dane – hasła wraz z mailami. Dostęp do tego serwisu jest akurat mało wartościowy, ale warto sprawdzić, czy dane pasują do innych serwisów. Ups… to hasło pasuje też do Facebooka, Mailerlite i Dropboxa. Pozamiatane 🙂

Osobne hasło, do każdego serwisu, to wręcz konieczność. Nie tylko do serwisów i narzędzi, ale również osobne hasła do Twoich stron, baz danych i serwerów.

Ok, ale jak to spamiętać? Bez obaw, o tym za chwilę 🙂



Ustawiaj dłuuuugie hasła

Hasło to jest tylko ciąg znaków. Teoretycznie, każde hasło, da się złamać. Kwestia ustawienia dostępnych znaków w odpowiedniej kolejności. Czasem może to trwać kilkanaście sekund, czasem setki lat – kwestia mocy obliczeniowej 🙂

Oczywiście, zależy nam, by złamanie naszego hasła, trwało jak najdłużej. Aby to osiągnąć, w zasadzie można zrobić 2 rzeczy:

  • Zwiększyć ilość użytych znaków,
  • Zwiększyć długość hasła.

Orientacyjnie, do dyspozycji mamy znaki na klawiaturze. Zacznijmy od „a” do „z” jest ich nie wiele. Gdy zaczniemy używać dodatkowo wielkich liter (A – Z), zwiększamy sobie dostępną ilość znaków dwukrotnie.

Do tego możemy dołożyć cyfry 0 – 9, to dodatkowe 10 znaków.

I jeszcze tzw. znaki specjalne, czyli np: )*^$@<:}]

Jest takie ciekawe narzędzie howsecureismypassword, które po wpisaniu hasła, potrafi stwierdzić, jak długo zajmie jego złamanie. Dzięki niemu zyskasz ciekawy obraz.

bezpieczeństwo hasła

Spójrz na kilka przykładów haseł

kasia – zostanie złamane w 300 mikrosekund

kasia123 – złamanie tego zajmie już minutę

kAsIa123 – aż 2 godziny

kasia123@$% – a tego 5 lat

Im większy zasób znaków i im dłuższe hasło, tym dłużej zajmie ich złamanie. Przejdźmy teraz do przykładów haseł, których powinieneś używać

rDCpnKu2Tn3MBMRvE8V_YX – 22 znaki – 252 sekstyliony lat – trochę długo 🙂

kZjZXk97up_pcxx – 15 znaków – 16 miliardów lat

Jak takie hasło zapamiętać? O tym za chwilę, z tego akapitu zapamiętaj, by tworzyć długie hasła.

Podaję Ci jeszcze link, do prostego narzędzia online, które pomoże Ci wygenerować dobre hasło passwordsgenerator.net

Logowanie dwuetapowe

Gdy robisz w banku przelew, zazwyczaj musisz potwierdzić operację poprzez przepisanie kodu z SMS lub zatwierdzenie transakcji w aplikacji. Wiele serwisów internetowych również wprowadziło dwuetapową weryfikację, by zalogować się na konto.

Dlaczego takie rozwiązanie jest bezpieczniejsze?

Nawet gdy wycieknie hasło do Twojego konta w jakimś serwisie, to aby się do niego zalogować, trzeba potwierdzić to logowanie właśnie w aplikacji albo kodem z SMS. To znacząco utrudnia dostęp do Twojego konta…

Oczywiście można przejąć dostęp do SMS, czy aplikacji, chociażby poprzez kradzież telefonu, czy wyrobienie duplikatu karty SIM. Jest to jednak bardzo mało prawdopodobne, przez co, znacząco zwiększa bezpieczeństwo.

Tam, gdzie tylko się da, włącz weryfikację dwuetapową.

weryfikacja dwuetapowa

Nie loguj się poprzez Facebook

Głównym zagrożeniem jest tutaj przejęcie dostępu do Facebooka a potem, po kolei do pozostałych serwisów, do których logowałeś się, używając Facebooka.

Nie bądź leniwy podczas rejestracji, podaj email, hasło… a potem ustaw weryfikację dwuetapową 🙂

Gdzie zapisywać te długie hasła?

Będąc średnioaktywnym użytkownikiem Internetu, różnych haseł i danych logowania może być nawet kilkaset. Możesz próbować zapamiętać te długie hasła, ale zapewne po wykuciu jednego z nich poddasz się na zawsze 🙂

Z pomocą przychodzą managery haseł. Czyli takie programy, które przechowują Twoje loginy i hasła w sposób zaszyfrowany. Co ważne, musisz posiadać hasło główne, by odszyfrować dostęp do pozostałych haseł.

Dzięki takiemu rozwiązaniu nie musisz pamiętać danych dostępowych a możesz mieć ich wiele, z długim, trudnym hasłem i do każdego serwisu osobnym.

Przykładowe managery haseł, to np: keepass.info, 1password.com

menager haseł

Jak, przykładowo działa 1password? Podajesz email i tworzysz konto w takim serwisie. Otrzymujesz przestrzeń do przechowywania haseł.

Wszystkie dane są zaszyfrowane. Do ich odszyfrowania potrzebujesz głównego klucza – który generuje serwis oraz sam ustalasz główne hasło dostępu. Możesz korzystać z wersji przeglądarkowej lub pobrać aplikację na komputer, czy też wtyczkę do przeglądarki.

Aby zalogować się do aplikacji po raz pierwszy, musisz wprowadzić główny klucz oraz Twoje główne hasło. Potem wystarczy używać hasła głównego.

Od teraz, gdy chcesz zalogować się np. na FB, wchodzisz na stronę logowania, otwierasz wtyczkę, podajesz główne hasło i w okienka podstawiają się rzeczywiste dane logowania.

Co więcej, aplikacje tego typu posiadają generator długich i bezpiecznych haseł oraz od razu zapamiętują je, podczas rejestracji w serwisach.

Gdzie nie zapisywać haseł?

Hasła zapisywane w przeglądarce nie zawsze i nie wszędzie są przechowywane w bezpieczny sposób. Podobnie dane zapisane w programie FileZilla. Przechowywane są one w sposób niezaszyfrowany. Ktoś, kto uzyska dostęp do Twojego komputera, może takie hasła w prosty sposób odczytać.

Mówiąc dostęp do komputera, mam na myśli nie tylko fizyczny dostęp, ale również przejęcie kontroli poprzez instalację oprogramowania.

Publiczne WiFi

Cieszysz się jak dziecko, gdy uda Ci się połączyć z publicznym WiFi, w restauracji, na uczelni, w pociągu… A to kolejne zagrożenie.

Takie transmisje nie są szyfrowane. Ktoś mający również dostęp do tej sieci może podsłuchiwać przesyłane przez Ciebie dane. Przesz to może przechwycić część przesyłanych przez Ciebie informacji, albo np. podmienić strony, z którymi chcesz się połączyć…

Aby tego uniknąć, warto zainstalować VPN. To prosta aplikacja, która zaszyfruje Twoje połączenie. Nikt nie będzie w stanie dowiedzieć się, z jakimi stronami się łączysz, ani jakie dane z nich przesyłasz.

Aplikacją wartą uwagi jest Nord VPN

Bezpieczeństwo WordPress

Jeśli blogujesz, masz stronę, sklep i korzystasz z WordPress, to również mam kilka specjalnych zaleceń, dla Ciebie 🙂

  • Aktualizuj WordPressa,
  • Aktualizuj wtyczki,
  • Zablokuj dostęp do wp-admin,
  • Możesz włączyć logowanie dwuetapowe,
  • Ustawiaj osobne hasła do: bazy, serwera, kont ftp, użytkowników WP,
  • Twórz osobne konta dla każdego użytkownika, z odpowiednimi prawami,
  • Dla osób z zewnątrz Twórz tymczasowe konta – potem usuwaj.

Zdrowy rozsądek

Podtytuł książki Kevina Mitnicka brzmi „łamałem ludzi, a nie hasła”. Często właśnie człowiek, czyli Ty, bywa najsłabszym ogniwem.

Nie potrzeba zaawansowanego oprogramowania. Wystarczy trochę socjotechniki, aby wyłudzić dane, niezbędne do dokonania ataku. Nie pomogą ani długie hasła, ani VPN 🙂

Dlatego zawsze, ale to zawsze warto myśleć trzeźwo i nie podejmować pochopnych decyzji.

Żaden z serwisów nie prosi mailowo o podanie hasła. Raczej też nie podsyła linków do stron logowania. Jest też mało prawdopodobne, że wygrałeś jakąś nagrodę, albo otrzymałeś spadek.

Pamiętaj:

  • Gdy jakiś „serwis prosi” o podanie hasła i przesłanie go, to zignoruj tę wiadomość.
  • Gdy otrzymujesz załącznik od nieznanego nadawcy, usuń go.
  • Gdy współpracownik prosi o przesłanie hasła, zadzwoń do niego i upewnij się, czy faktycznie prosił o te dane. Podobnie, gdy któryś ze znajomych prosi o przesłanie BLIKa.
  • Gdy otrzymujesz wiadomość od obcego, z linkiem – nie klikaj.
  • Aktualizuj oprogramowanie i wtyczki. Używaj antywirusa.
  • Nie instaluj oprogramowania ani wtyczek z nieznanych źródeł.

Nie daj się zmanipulować 🙂

Podsumowując

Żaden ze sposobów nie zagwarantuje Ci pełnego bezpieczeństwa, ale z pewnością zminimalizują ryzyko ataku. Jeszcze dziś możesz dokonać pewnych zmian i poprawić bezpieczeństwo w sieci. Podsumujmy:

  • osobne hasło do każdego serwisu,
  • ustawiaj długie hasła,
  • włącz logowanie dwuetapowe, gdzie tylko się da,
  • nie loguj się przez Facebooka,
  • hasła przechowuj w managerze,
  • nie korzystaj z publicznego WiFi,
  • zadbaj też o WordPressa 🙂
  • zachowaj trzeźwy umysł,

Jako uzupełnienie, zachęcam do posłuchania odcinka podcastu Jasona Hunta z Piotrem Koniecznym

Ta strona wykorzystuje pliki cookies. Korzystanie ze strony oznacza zgodę na ich zapis lub odczyt wg ustawień przeglądarki. Więcej informacji znajdziesz w polityce prywatności. OK, rozumiem