Hasło do zaufania. Dlaczego nasze cyfrowe bezpieczeństwo zaczyna się w głowie, a nie w aplikacji?
Łańcuch zabezpieczeń jest tak mocny, jak jego najsłabsze ogniwo - głosi popularne powiedzenie. Choć może się nam wydawać, że błędy popełniają inni, ale nie my, to złudne przekonanie. Wszyscy popełniamy błędy. Dlatego warto stosować rozwiązania, które pomagają nam chronić nas samych przed naszymi pomyłkami.
Nie masz już dostępu do własnego konta? Ktoś przejął profil w serwisie społecznościowym? A może twój e-mail nie należy już do ciebie, a twoi znajomi otrzymują z twojego adresu spam zachęcający do zakupu cudownych pigułek na wszystko? Jeśli tak, to – najprawdopodobniej – możesz winić tylko siebie. To nie cyberprzestępcy są geniuszami, tylko użytkownicy - z lenistwa, ignorancji albo złych nawyków - popełniają głupie błędy. Niekiedy bardzo kosztowne.
"Łamałem ludzi, nie hasła" - brzmi podtytuł wydanej na początku XXI wieku książki Kevina Mitnicka. Najsłynniejszy haker wszech czasów opisał w niej swoje doświadczenia związane z komputerowym bezpieczeństwem i cyberprzestępstwami, które przyniosły mu międzynarodową sławę. Choć mogłoby się wydawać, że priorytetowo potraktował kwestie techniczne, Mitnick skupia się przede wszystkim na psychologii i socjologii. Nie bez powodu.
Kluczem do udanych włamań okazywały się nie luki w zabezpieczeniach, ale ludzie – personel atakowanych firm, użytkownicy różnych systemów, bardzo często pracownicy nieświadomi zagrożeń, wywołanych własnym działaniem czy niewinnym, na pozór, łamaniem procedur.
Żyjemy w świecie, gdzie korzystanie z różnych usług wymaga potwierdzania tożsamości. Zakładamy niezliczone konta, logujemy się do aplikacji i różnych serwisów, w ciągu dnia musimy wielokrotnie potwierdzać, kim jesteśmy. Chyba każdemu z nas zakiełkowała w głowie myśl, aby ułatwić sobie życie i logować się tymi samymi danymi. W końcu - jak wynika z raportu jednej z instytucji finansowych - każdego roku poświęcamy średnio 21 godzin na aktualizację czy zmianę haseł.
21 godzin to prawie doba. A gdyby tak uprościć sobie życie i odzyskać ten czas? Ten sam login i hasło w różnych miejscach? Cóż prostszego! Problem w tym, że ułatwiając życie sobie, ułatwiamy też ataki cyberprzestępcom.
Gdyby cyberprzestępczość była krajem, byłaby trzecią gospodarką świata - spowodowane nią straty sięgnęły w 2024 r. 9,5 biliona dolarów. Nic dziwnego, że przy tak dużej skali działalności cyberprzestępcy wykorzystują nie tylko technologię, ale także wiedzę z zakresu psychologii, pomocną m.in. przy atakach phishingowych. To popularna forma cyberoszustwa, polegająca na podszywaniu się pod różne usługi czy instytucje. SMS z informacją o paczce, której nie zamawialiśmy? Telefon z alarmującą informacją, że ktoś właśnie zaciąga na naszym koncie kredyt? Alarm z gazowni, straszącej odcięciem ogrzewania? Warto zachować czujność.
Login i hasło to za mało
Jak zadbać o własne dane, pieniądze i spokój, a przy okazji utrudnić życie cyberprzestępcom? Jednym z prostych, a przy tym skutecznych rozwiązań jest zastąpienie zwykłego logowania z wykorzystaniem loginu i hasła uwierzytelnianiem dwu- lub wieloskładnikowym (MFA - multi-factor authentication). Na czym ono polega?
Zamiast po prostu wpisywać login i hasło, nasze logowanie powinno składać się z kilku elementów. To "coś, o czym wiesz", czyli znane nam hasło, "coś, co masz", czyli np. sprzętowy token albo smartfon, na który przychodzą powiadomienia, a także "coś, czym jesteś", czyli np. dane biometryczne w postaci skanu linii papilarnych czy modelu twarzy, uzupełniane niekiedy przez geolokalizację.
Rozwiązanie to staje się internetowym standardem, a zaprojektowany w taki sposób łańcuch zabezpieczeń jest mało uciążliwy - niemal "przezroczysty" - dla użytkownika. Mimo tego stanowi poważne utrudnienie dla cyberprzestępców.
Każdego dnia do naszego systemu Hasło Alert trafiają setki tysięcy krążących w internecie wykradzionych danych uwierzytelniających, które bez dodatkowego zabezpieczenia dają dostęp do cyfrowej tożsamości internautów. Uważam, że każdy może znaleźć rozwiązanie wygodne dla siebie, do którego się przekona i będzie go używał - sama konfiguracja to zazwyczaj kilka kliknięć. Dla mnie będzie to aplikacja mobilna i przepisanie kodu, ktoś wykorzysta SMS-a lub zakupi najbezpieczniejszy token sprzętowy. Istotne jest to, aby wybrać dodatkowe rozwiązanie uwierzytelniające, wtedy wyciek czy udostępnienie hasła nie wystarczy do przejęcia naszego konta – a oto przecież chodzi.
Media regularnie informują o wyciekach danych użytkowników różnych usług i serwisów, po których - za odpowiednią opłatą - nieraz można kupić bazy danych zawierające m.in. loginy i hasła. Na szczęście, właśnie dzięki MFA, taki wyciek nie musi być dla nas katastrofą: zdobycie przez cyberprzestępców naszych loginów i haseł niewiele im da w sytuacji, gdy konieczne jest wykorzystanie kolejnych składników uwierzytelniania. Hasło i login zdobyć łatwo, ale zdobyć hasło, login i telefon ofiary? A do tego model jej twarzy i odciski palców? Dla większości pospolitych cyberzłodziei to zbyt wysoki poziom albo starania niewarte spodziewanych korzyści.
Lenistwo kontra silne hasła
Problem w tym, że mając do dyspozycji gotowe rozwiązania, nie zawsze mamy ochotę z nich korzystać. Co więcej, mimo prowadzonych od dekad kampanii uświadamiających, wciąż lubimy "chodzić na skróty", czego przykładem jest choćby lista najpopularniejszych haseł świata. Od lat są na niej te same ciągi znaków - czasy się zmieniają, ale użytkownicy pozostają tak samo beztroscy i leniwi.
Potwierdzają to raporty, publikowane regularnie przez firmy zajmujące się cyberbezpieczeństwem czy twórców menedżerów haseł. Aktualna lista najpopularniejszych haseł w Polsce brzmi jak zachęta "zapraszam drogi złodzieju, weź sobie moje dane, kontakty i pieniądze, zupełnie mnie nie obchodzą".
Na szczęście poprawnie zaprojektowane usługi internetowe coraz rzadziej dopuszczają stosowanie tak prostych i łatwych do złamania haseł. Prowadzi to jednak do kolejnego problemu – nasze hasło powinno być trudne do odgadnięcia, ale jednocześnie łatwe do zapamiętania przez użytkownika.
"Twoje hasło powinno składać się z co najmniej 12 znaków, w tym jednej wielkiej litery, cyfr i dwóch znaków specjalnych" - chyba każdy z nas zetknął się z podobnym komunikatem, często rozbudowanym o dodatkowe zalecenia, jak brak powtórzeń, zakaz stosowania znaków sąsiadujących z sobą na klawiaturze czy w alfabecie albo kolejnych cyfr.
W teorii ma to pomóc w tworzeniu silnych haseł, jednak w praktyce często prowadzi do zapisywania ich w różnych miejscach, co przeczy całej idei. Dlatego dobrym pomysłem jest korzystanie z menedżerów haseł - narzędzi pozwalających okiełznać nasze dane dostępowe, dbających o ich aktualność i właściwą jakość. A przy okazji odciążających nas z konieczności wymyślania haseł wciąż na nowo. W końcu trochę szkoda tych 21 godzin, prawda?
Gdzie zaczyna się bezpieczeństwo?
Korzystając z narzędzi, które pomagają dbać o bezpieczeństwo naszych danych warto jednak pamiętać, że są to – no właśnie - tylko narzędzia. To od nas zależy, czy w ogóle ich użyjemy albo czy użyjemy ich poprawnie.
Dbajmy o naszą cyfrową tożsamość, chrońmy konta silnymi hasłami, korzystajmy z wieloskładnikowago uwierzytelniania i wybierajmy usługi, których dostawcy nie są obojętni wobec cyberzagrożeń. Przecież nie chcemy ułatwiać życia złodziejom! Bezpieczeństwo zaczyna się nie w aplikacji, ale w naszej głowie.
