WAŻNE LINKI
Jak w kilka minut skonfigurować klucz do konta Gmail lub Facebook:
https://avlab.pl/kilka-slow-o-bezpiecznym-logowaniu-yubikey-4-i-yubikey-neo-w-praktyce
Sklep z kluczami:
https://inbase.pl/sklep/
Jak to działa:
https://avlab.pl/yubikey-najskuteczniejsza-ochrona-przed-phishingiem-i-przejeciem-konta
Lista stron działających w Polsce z określeniem czy obsługują lub nie 2FA:
https://dwa-skladniki.pl/
WPIS BLOGOWY
Nie daj sobie ukraść konta internetowego. Może pomyślisz: „Kto by tam kradł moje maile?”, albo „Od tylu lat nigdy nic się nie działo, więc raczej nic mi nie grozi”.
Życzę Ci świętego spokoju i tego by cyberprzestępcy omijali Cię szerokim łukiem.
Jednak jest kilka powodów, dla których warto poświęcić pięć minut na „rachunek sumienia” w temacie bezpieczeństwa Twojej obecności w sieci.
Przede wszystkim nawet gdy masz dobre, nie zmieniane od lat, nawyki bezpiecznego korzystania z internetu, to one już nie wystarczą, bo zmienił się świat wirtualny.
No i co z tego, że Ty pilnujesz hasła, skoro może ono zostać zdobyte od dostawcy, u którego jest używane? Raz na jakiś czas słyszymy o tym, że wyciekły dane użytkowników takiego lub innego portalu.
Co z tego, że hasło masz tylko w głowie, nigdzie nie zapisane? Postronna osoba może jest podglądać elektronicznie szpiegując Twoje połączenie internetowe, lub wręcz patrząc i nagrywając, jak Twoje palce wstukują hasło w klawiaturę w miejscu publicznym. (W Szwajcarii pracowałem z człowiekiem, który potrafił wiernie odtworzyć hasło obserwując dość szybkie wpisywanie. Teraz, dzięki wszechobecnym kamerom monitoringu osoba z dostępem do nagrań ma jeszcze łatwiejsze zadanie.)
Zmieniły się też sposoby wyłudzania haseł. Nawet czujny użytkownik może dać się podejść przez maila, który nakazuje zmianę hasła. Format wiadomości wygląda na identyczny do prawdziwej komunikacji dostawcy internetowego, ale ukryty link prowadzi do złodziejskiej strony, gdzie Twoje hasło zostanie skradzione.
Wartość informacji na wirtualnych kontach jest też większa niż kiedyś. Niejedno konto na facebooku zawiera zdjęcia i wiadomości, które po upublicznieniu wprawiłyby w spore zakłopotanie właściciela profilu.
Nie będę tu pogłębiał wątku militarno-politycznego, ale cyberatak jest skutecznym sposobem walki międzypaństwowej, więc poza pospolitymi cyberprzestępcami padamy też ofiarą ataków komputerowych żołnierzy.
To wszystko prowadzi do wniosku, że na nowe czasy potrzebujemy nowych zabezpieczeń.
Może pamiętasz, że kiedyś powszechnie używaliśmy niezabezpieczonych połączeń do sprawdzania maili. Potem dobrą praktyką stało się pilnowanie, by zawsze widzieć w przeglądarce zieloną kłódkę, świadczącą o bezpiecznym połączeniu. Dzisiaj przyszła kolej na 2-etapowe logowanie się do serwisów, najlepiej przy pomocy klucza sprzętowego.
Oczywiście warto zachować zdrowy rozsądek i być szczególnie wyczulonym na logowanie się na cudzych laptopach lub na sprzęcie, który współdzielimy z innymi osobami.
Jeśli jestem jedynym użytkownikiem laptopa, to umożliwienie na nim automatycznego logowania może mieć sens. Lecz już sprawdzenie poczty na komputerze w poczekalni centrum konferencyjnego, lub u znajomego, wymaga ostrożności.
Żadne zabezpieczenie nie jest idealne. Także 2-etapowa weryfikacja jest do złamania.
Jednak w porównaniu z zabezpieczeniem samym hasłem, jest to dużo bezpieczniejsze i skuteczniej odstraszy masy mniej wytrawnych internetowych rzezimieszków.
Niestety żaden z głównych dostawców polskich kont mailowych (interia, o2, onet, ani wp) nie oferuje dwuskładnikowego uwierzytelniania.
Reasumując, myślę, że warto przyjąć, iż serwisy online, gdzie do logowania wystarczy hasło są zbyt słabym zabezpieczeniem jak na trzymanie wrażliwych materiałów. Tam gdzie to możliwe radzę włączyć 2-etapową weryfikację (Facebook, Google/YouTube, PayPal, Dropbox itd.). Można też poprosić swoich dostawców usług o uruchomienie dwuskładnikowości lub ewentualnie przenieść swoje zasoby do serwisów zapewniających bezpieczeństwo.