Cyberbezpieczeństwo: hasło powinno być losową mieszaniną co najmniej 10 dużych i małych liter, znaków interpunkcyjnych i cyfr

Cyberbezpieczeństwo: hasło powinno być losową mieszaniną co najmniej 10 dużych i małych liter, znaków interpunkcyjnych i cyfr
Dr inż. Igor Protasowicki, ekspert ds. cyberbezpieczeństwa, Wyższa Szkoła Bankowa w Warszawie. Źródło: WSB w Warszawie
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Funkcjonowanie w społeczeństwie always on-line wiąże się z tym, że większość obszarów funkcjonowania człowieka wspierają systemy komputerowe korzystające ze stałego połączenia z siecią globalną. Elementy inteligentnego domu, zdalne sterowanie urządzeniami przy użyciu smartfona, czy przesyłanie danych w czasie rzeczywistym na przestrzeń dyskową w chmurze stały się naszą codziennością ‒ podkreśla dr inż. Igor Protasowicki, ekspert ds. cyberbezpieczeństwa, Wyższa Szkoła Bankowa w Warszawie.

Społeczeństwo postindustrialne rozwój i bogactwo czerpie z posiadanej wiedzy, a ta przeważnie ma już postać cyfrową. Ilość i różnorodność danych i informacji, które przechowujemy na serwerach doprowadziły już do wyodrębnienia pojęcia Big Data, ale już dziś możemy stwierdzić, że właśnie dokonuje się kolejny krok cywilizacyjny.

Na naszych oczach kończy się era posiadania i wkraczamy do ery post ownership. Postęp jaki się dokonał w dziedzinie elektroniki użytkowej i komputerów sprawia, że w pewnym sensie możemy „mieć ciastko i zjeść ciastko”. Już przecież nie potrzebujemy kolejnych gigabajtów przestrzeni dyskowej, by bezpiecznie przechowywać swoje zdjęcia czy muzykę, ponieważ chmura danych i strumieniowanie umożliwia nam dostęp w dowolnym miejscu i czasie.

Co więcej, oprogramowanie które do tej pory wymagało znacznych mocy obliczeniowych, jak np. gry komputerowe już dziś może być dostarczane nie tylko w postaci produktu, lecz także usługi – podobnie jak muzyka czy film dostarczonej do urządzenia odbiorcy w postaci strumienia danych.

Kończy się era posiadania i wkraczamy do ery post ownership. Postęp jaki się dokonał w dziedzinie elektroniki użytkowej i komputerów sprawia, że w pewnym sensie możemy „mieć ciastko i zjeść ciastko”

Wszystko to nie byłoby tak dostępne, gdyby nie dynamiczny rozwój w obszarze telekomunikacji. Rozwój technologii sieciowych umożliwia osiąganie coraz wyższych prędkości transmisji danych, zmniejszanie opóźnień i obsługę większej ilości użytkowników.

W porównaniu do sytuacji sprzed dekady Internet dostarczany w ramach sieci komórkowych, zwłaszcza w sieciach 5. generacji, zapewnia komfort użytkowania identyczny z tym, który był osiągalny wyłącznie dla odbiorców sieci w ramach infrastruktury naziemnej.

Cyberzagrożenia w sieci

Powszechny dostęp do Internetu ma też jednak ciemne oblicze. Tuż obok wszystkich korzyści, które za sobą niesie istnieje w nim równie dużo zagrożeń. Użytkownicy muszą cały czas zachowywać czujność, by nie paść ofiarą ataku phishingowego, czyli próby wyłudzenia danych pod wymyślonym przez atakującego, bardzo realnym pozorem, albo spoofingowego, podczas którego atakujący podszywa się pod znaną użytkownikowi osobę lub organizację.

Dziś systemem komputerowym jest nie tylko komputer typu PC w postaci komputera stacjonarnego lub laptopa. Rolę komputera pełni każde urządzenie typu smart

Łatwość przesyłania danych i informacji to także łatwość przeprowadzania ataków i choć wiedza o wszechobecnym szkodliwym oprogramowaniu jest powszechna, to wiele osób nadal traktuje ją w kategoriach pustych frazesów, nie dbając o swoje bezpieczeństwo. Pojęcia „koń trojański”, „ransomware” czy „keylogger” traktowane są jak piasek na plaży. Albo jak rzeczy odległe.

Takie podejście może być zgubne. Czasy, gdy wirusy komputerowe rozprzestrzeniały się na zainfekowanych nośnikach odeszły do przeszłości. Rzecz jasna nadal nie wolno bagatelizować tej drogi rozprzestrzeniania, ale najniebezpieczniejsze szkodliwe oprogramowanie zostało napisane w sposób umożliwiający mu samodzielne i swobodne rozprzestrzenianie się z wykorzystaniem Internetu.

Dziś użytkownik nie musi nawet specjalnie pobrać zainfekowanego pliku z Internetu, by niebezpieczne oprogramowanie znalazło się w jego komputerze. Współczesne szkodliwe programy są rozprzestrzeniane w taki sposób, by użytkownik jak najdłużej pozostawał nieświadomy zagrożenia. Najbardziej zaawansowane robaki komputerowe potrafią się same zaszyfrować i tym sposobem przedostawać się między systemami komputerowymi wyposażonymi nawet w najnowsze zabezpieczenia. Postać zaszyfrowana jest po prostu niewidoczna aż do chwili odszyfrowania i wykonania kodu – a wtedy jest już za późno.

Łatwość przesyłania danych i informacji to także łatwość przeprowadzania ataków (…) Czasy, gdy wirusy komputerowe rozprzestrzeniały się na zainfekowanych nośnikach odeszły do przeszłości

Skala potencjalnych szkód powinna otwierać oczy. Zainfekowany komputer narażony jest na zniszczenie przechowywanych w nim danych, uszkodzenie ich, lub wyciek. Autor ataku może przejąć nad zainfekowanym komputerem kontrolę, może uzyskać możliwość przeglądania zawartości dysków, przechwytywać symbole wprowadzane przy użyciu klawiatury, przechwycić obraz rejestrowany przez zainstalowaną w komputerze kamerę. Wszystko to bez wzbudzania podejrzeń użytkownika. Dane przechowywane przez użytkownika mogą zostać podmienione, mogą zostać też zaszyfrowane a za ich odszyfrowanie przestępca zażąda okupu.

I najważniejsze – dziś systemem komputerowym jest nie tylko komputer typu PC w postaci komputera stacjonarnego lub laptopa. Rolę komputera pełni każde urządzenie typu smart – telefon, zegarek, telewizor czy nawet programator do kotła centralnego ogrzewania czy piekarnika. Każde urządzenie wyposażone w system operacyjny umożliwiający mu komunikację z wykorzystaniem Internetu może potencjalnie stać się celem ataku i otworzyć sieć lokalną na dalszą infiltrację.

Możliwości cyberochrony: hasła i szyfrowanie

Choć systemy krytyczne dla naszego funkcjonowania korzystają z najlepszych możliwych zabezpieczeń, systemy banków, towarzystw ubezpieczeniowych czy administracji publicznej nie są narażone na utratę danych użytkowników, słabym ogniwem pozostają urządzenia z których to właśnie użytkownicy korzystają.

Jeżeli zostały zainfekowane szkodliwym oprogramowaniem, to cyberprzestępcy bez wysiłku mogą przejąć nazwy użytkownika poszczególnych serwisów i hasła do nich, mogą przechwytywać kody jednorazowe przesyłane w postaci wiadomości tekstowych a tym samym uzyskać zdolność do podszywania się pod użytkownika i przejęcia kontroli nad jego zasobami. 

Dlatego właśnie świadomość istniejących zagrożeń jest pierwszym i kluczowym elementem zapewnienia sobie bezpieczeństwa. Drugim elementem jest skuteczne szyfrowanie swoich danych. Jeżeli dane i informacje będą przechowywane lub przesyłane w postaci zaszyfrowanej to nawet w przypadku ich przechwycenia będą dla przestępców bezużyteczne.

Samo jednak użycie kryptografii i hasła może nie wystarczyć. Zdaniem BreachAlarm – organizacji badającej bezpieczeństwo serwisów internetowych – każdego dnia przestępcy przechwytują nawet 220.000 haseł. Serwis SCO podaje natomiast, że do najpopularniejszych haseł nadal należą „123456”, „123456789” i „password”. Nie wystarczy powiedzieć, że hasła te są słabe – one są niebezpieczne i złe.

Złamanie dowolnego hasła w postaci typowego wyrazu występującego w słowniku dowolnego języka, o długości do ośmiu znaków nie zajmie przeciętnemu komputerowi nawet jednej sekundy. Jeżeli do takiego hasła doda się dowolny znak interpunkcyjny czas potrzebny na jego złamanie wydłuży się do minuty. Jeżeli natomiast hasło zostanie wydłużone do 10 znaków przez dodatkowy znak interpunkcyjny i jedną dużą literę na jego złamanie potrzeba będzie czterech lat. Hasło powinno być zatem losową mieszaniną co najmniej 10 dużych i małych liter, znaków interpunkcyjnych i cyfr. Chroniony przez nie klucz powinien skutecznie zabezpieczyć dane i informacje przed nieuprawnionym dostępem niezależnie od okoliczności.

Złamanie dowolnego hasła w postaci typowego wyrazu występującego w słowniku dowolnego języka, o długości do ośmiu znaków nie zajmie przeciętnemu komputerowi nawet jednej sekundy

Stosowanie odpowiednio skomplikowanych haseł powinno być punktem wyjścia, należy jednak cały czas pamiętać, że hasła są masowo wykradane. Specyficznym przykładem słownikowej metody łamania zabezpieczeń jest powielanie, czyli próby użycia przechwyconego loginu i hasła w innych serwisach internetowych. Nawet najbardziej skomplikowane hasło przestanie być skuteczne, jeśli tylko zostanie w jakikolwiek sposób przechwycone – nieistotne, czy w efekcie bezpośredniego ataku czy wycieknie jako część większej bazy danych.

W tej sytuacji przestępcy zaczną je dopasowywać do innych portali w celu przejęcia kontroli nad wirtualną tożsamością użytkownika. Dlatego właśnie oprócz dbania o poziom skomplikowania haseł, należy stosować różne do wszystkich portali i usług.

Nie oznacza to jednak, że użytkownik musi wszystkie hasła pamiętać – można zdać się w tym obszarze na managera haseł. Usługę internetową będącą sejfem na hasła. Zabezpiecza się w nim swoje dane logowania do różnych portali i tym sposobem wystarczy pamiętać jedno hasło, które będzie służyć do odblokowania wszystkich pozostałych na wszystkich urządzeniach, z których się korzysta.

Uwierzytelnianie wieloskładnikowe

Warto też wszędzie, gdzie to możliwe wykorzystać uwierzytelnianie wieloskładnikowe. W tej metodzie oprócz standardowego loginu i hasła do uzyskania dostępu do danych niezbędne jest przedstawienie dodatkowego składnika uwierzytelniania w postaci danych biometrycznych, elementu fizycznego (jak karta czy klucz szyfrujący USB) lub dodatkowego elementu wiedzy. W tym przypadku w razie przejęcia danych logowania atakujący nie dostanie się do serwisu, ponieważ nie będzie dysponował wspomnianym dodatkowym składnikiem.

W tym miejscu rzecz jasna warto jeszcze raz wspomnieć, że niektóre elementy zapewniają mniejszy poziom bezpieczeństwa (np. wiadomości SMS można przechwycić zarówno „w locie”, jak i z zainfekowanego urządzenia), ale dane biometryczne czy fizyczne klucze zwykle są w wyłącznej dyspozycji ich właściciela i nikt nieupoważniony nie ma do nich dostępu.

W tym przypadku w razie przejęcia danych logowania atakujący nie dostanie się do serwisu, ponieważ nie będzie dysponował (…) dodatkowym składnikiem

Ponadto klucz wykorzystujący protokół FIDO lub U2F może dodatkowo zabezpieczać użytkownika przed próbami spoofingu, ponieważ przed uwierzytelnieniem wystawca klucza sprawdza, czy prośba o autoryzację pochodzi z zaufanego źródła, czy też nie. W drugim przypadku oczywiście do autoryzacji nie dojdzie a użytkownik zostanie ostrzeżony o niebezpieczeństwie stosownym komunikatem.

Dbanie o bezpieczeństwo swoich danych jest zatem jednocześnie łatwym jak i trudnym. Łatwe jest opracowanie odpowiedniego hasła, jak również stosowanie różnych haseł do poszczególnych serwisów. Trudniej natomiast samodzielnie wykrywać i zapobiegać niebezpieczeństwom, jakie niesie za sobą szkodliwe oprogramowanie.

Zakładanie jednak, że my sami nigdy nie staniemy się celem ataku ‒ jest błędem, ponieważ Internet żyje i ewoluuje, przestępcy przejmują liczne bazy danych i nie ma pewności, ile informacji na temat poszczególnych użytkowników już się im udało poskładać.

Dr inż. Igor Protasowicki,

ekspert ds. cyberbezpieczeństwa, Wyższa Szkoła Bankowa w Warszawie

Źródło: alebank.pl