Hasło stanowi główne i nierzadko jedyne zabezpieczenie zarówno samych urządzeń elektronicznych, jak i dostępów zdalnych do usług (np. portali społecznościowych). O ile hasło to nie jest takie samo do wszystkich zasobów, o tyle możemy czuć się względnie bezpieczni. Jeżeli jednak, w celu ułatwienia sobie wglądu w dane, stosujemy jedno hasło dostępowe przy dostępie prywatnym, jak i służbowym, to stwarzamy olbrzymie ryzyko utraty naszych cennych informacji.
Szybkość dostępu do informacji często przeważa nad ich bezpieczeństwem. Z tego względu, by ograniczyć ryzyko zapomnienia hasła, tworzymy je takie samo do wszystkich profili portali społecznościowych, poczty elektronicznej i dostępu do urządzeń. Zjawisko to jest najczęściej skutkiem zbyt dużej liczby autoryzacji, które musimy dokonać. Zapamiętanie innego hasła do profilów portali społecznościowych (np. Facebook, Goldenline, Twitter),poczty elektronicznej oraz kodu PIN do karty bankomatowej, numeru służbowego i prywatnego telefonu, numeru NIP oraz PESEL z reguły przekracza możliwości pamięciowe przeciętnego człowieka. Skutkiem zalewu nas takimi informacjami płynącymi z haseł jest droga na skróty, którą wybieramy, by ułatwić sobie życie. Jednak ryzyko płynące z tak obranej skrótowej ścieżki jest olbrzymie.
Warto tutaj wyobrazić sobie
sytuacje, gdy ktoś sprytnie spojrzy, jak wprowadzamy nasze hasło do jakiegokolwiek zasobu. Mając to samo hasło do wszystkich naszych kont wystarczy, że taka osoba spróbuje je wprowadzić przy okazji wszelkich innych naszych autoryzacji i uzyska bardzo łatwo dostęp do prywatnych danych. W przypadku portali społecznościowych osoba taka nie musi wcale nic robić na naszym koncie. Często mając taki dostęp wystarczy, że będzie jedynie je śledzić, by widzieć co robimy, gdzie obecnie jesteśmy, jakie mamy plany na wakacje, z kim się kontaktujemy oraz gdzie pracujemy. W ten sposób gromadząc informacje o nas, taki człowiek może próbować dokonać tzw. podstawienia, czyli podszyć się pod naszą tożsamość po to, by nam zaszkodzić lub samemu na tym skorzystać (np. finansowo). Przykładem takiej sytuacja może być wykorzystanie wiedzy o tym, że wyjeżdżamy na urlop
i nie będziemy mieli możliwości korzystania z Internetu. W takim wypadku osoba posiadająca dostęp do naszych danych może swobodnie korzystając z ich zasobów
(np. z Google Drive) i pozyskać m. in. skan naszego dokumentu tożsamości. Mając te informacje oraz dane o członkach naszej rodziny (nazwisko panieńskie matki), taki człowiek jest w stanie zaciągnąć zobowiązanie na nasze konto nawet w naszym własnym banku. Powyższe socjotechniki są możliwe i coraz częstsze, gdyż znaczna część naszego życia społecznego odbywa się w sieci. Można wyobrazić sobie zdziwienie osoby, która po powrocie z urlopu dowiaduje się, że nie dość, że nie może się dostać do swojego profilu portalu społecznościowego i na koncie bankowym ma debet, to jeszcze otrzymuje maile
i SMS-y od znajomych lub przełożonych z pracy o dziwnej, często obraźliwej treści. Tu warto przytoczyć cytat z jednej z obowiązkowych lektur współczesnego świata, który definiuje, czym jest socjotechnika:
„Socjotechnika to wywieranie wpływu na ludzi i stosowanie perswazji w celu oszukania ich tak, aby uwierzyli, że socjotechnik jest osobą o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji, tożsamości. Dzięki temu socjotechnik jest w stanie wykorzystać swoich rozmówców, przy dodatkowym (lub nie) użyciu środków technologicznych, do zdobycia poszukiwanych informacji.” [1]
W przypadku
jakiegokolwiek podejrzenia naruszenia poufności naszego hasła, powinniśmy je niezwłocznie zmienić. Pozwoli nam to uniknąć tego typu przykrych zdarzeń, jak zostały opisane powyżej. Sygnałem do zmiany będą przede wszystkim maile z prośbą
o potwierdzenie nowego hasła lub zmiany wprowadzone w systemie informatycznym,
których my z pewnością nie dokonaliśmy. Warto również pamiętać o zmianie haseł we wszystkich innych miejscach, gdzie zastosowaliśmy takie samo hasło. Niestety zawiadomienie organów ścigania o tego typu zdarzeniu na niewiele się zda, gdyż po prostu brakuje specjalistów z tego obszaru w szeregach Policji i mimo chęci nie będą w stanie nam skutecznie pomóc.
Najbardziej ryzykownym posunięciem,
które w praktyce często stosujemy, jest korzystanie z tych samych haseł do zasobów pracowniczych i prywatnych. Osoba, która chce pozyskać dostęp do zasobów firmowych,
w pierwszej kolejności będzie próbować złamać hasła do zasobów prywatnych. Dzieje się tak właśnie dlatego, że najczęściej stosujemy te same lub bardzo podobne zabezpieczenia
w przypadku obu zasobów. Przykładowo, jeżeli hasło prywatne brzmi: MojFacebook#1,
to istnieje duże prawdopodobieństwo, że nasze hasło do zasobu firmowego to: MojCRM#1 lub podobna kombinacja. Innymi słowy znając nasze jedno hasło, socjotechnik może łatwo poznać wzór z jakiego korzystaliśmy przy jego tworzeniu, co znacznie skraca liczbę prób jego odgadnięcia.
- 1 wykradzione hasło prywatne
- 10 portali przejętych przez hakera
- 1 kupiony jacht o wartości 250 tys. zł
- 1 wysłany mail do szefa o obraźliwej treści
Tym, co znacznie ogranicza zastosowanie socjotechniki przeciwko nam jest różnicowanie haseł oraz stosowanie innych wzorców ich tworzenia do zasobów firmowych i prywatnych. Dodatkowo zapobiega temu również częsta zamiana haseł (nie rzadziej niż raz na 2-3 miesiące). W tym kontekście warto zwrócić uwagę na słowa GIODO, który również, wskazując 15 zasad bezpiecznego korzystania z portali społecznościowych, odnosi się do haseł dostępowych:
„Celem podniesienia Twojego bezpieczeństwa w portalu staraj się używać bezpiecznych haseł i okresowo je zmieniaj. Bezpieczne hasło zbudujesz przy łącznym użyciu znaków
z grup małych i dużych liter, cyfr i znaków specjalnych. Unikaj haseł trywialnych takich jak: Twoje imię, imię psa, data urodzenia itp. Pamiętaj, że hasło dzisiaj uważane za bezpieczne może nie być takim w przyszłości.” [2]
Nieco innym rodzajem zagrożenia,
związanym z dostępem do haseł, jest ich zapisywanie w różnych miejscach. Najniebezpieczniejszymi z takich przypadków są te, gdy hasła przechowuje się w pobliżu ich urządzeń dostępowych. Przykładowo kod PIN do karty bankomatowej trzymany wraz z kartą płatniczą, czy hasło do komputera przyklejamy do monitora. Zdarza się również, że część osób zapisuje wszelkie hasła w pliku tekstowym na komórce lub w aplikacji typu notatnik. Sporo z nas uważa, że jest to wystarczającym zabezpieczeniem. Otóż nic bardziej mylnego. Jeżeli wszystkie hasła będziemy trzymali w jednym miejscu, to istnieje duże ryzyko,
że właśnie to miejsce będzie przedmiotem ataku socjotechnicznego lub informatycznego. Innymi słowy hasła, jako metoda autoryzacja typu „co wiem?”, nie stanowią silnego zabezpieczenia naszych dostępów do danych. Jest to spowodowane tym, że wymagają wielu czynności i stwarzają wiele ryzykownych sytuacji. Zapisywanie haseł w różnych miejscach wymaga od nas konieczności dodatkowej ochrony miejsc ich przechowywania. Z tego powodu część podmiotów, głównie w sektorze finansowym, skłania się bardziej ku silniejszym metodom autoryzacji takim jak: hasła jednorazowe (tokeny), czyli autoryzacja typu „co posiadam?” lub technologia biometryczna, jako typ autoryzacji „kim jestem?” [3].
Podsumowując,
by uniknąć negatywnych konsekwencji ujawnienia dostępu do naszych danych osobie trzeciej, powinniśmy pamiętać, aby stosując hasła często zmieniać nie tylko je same,
ale i metodę ich tworzenia. Dodatkowo pod żadnym pozorem nie możemy stosować tych samych haseł do różnych dostępów. W szczególności należy pamiętać o rozróżnieniu dostępów prywatnych od tych służbowych, gdyż w tym drugim przypadku ryzykujemy nie tylko własną prywatnością, ale również podmiotu na rzecz, którego działamy.
[1] Sztuka podstępu. Łamałem ludzi, nie hasła.2003 aut. Kevin D. Mitnick s.3
[2] http://giodo.gov.pl/480/id_art/2582/j/pl
[3] http:/?giodo.gov.pl/plik/id_p/1057/j/pl/ - s. 26
