Mastodon

Jak nie zostać… cieciem?

1
Dodane: 14 lat temu

Ucz się Jasiu ucz
Nauka to potęgi klucz
A jak będziesz miał dużo kluczy
To zostaniesz… cieciem!

Tym razem napiszę o tym, jak nie zostać „cieciem” używając Maka – a więc co zrobić, aby nie zgłupieć do reszty od nadmiaru tych wszystkich identyfikatorów (loginów) i haseł (kluczy).

Prawda jest taka, że wraz z rozwojem systemów operacyjnych i sieci komputerowych, zmuszeni jesteśmy do zapamiętywania coraz większej liczby identyfikatorów i haseł. Coraz częściej musimy też „rejestrować się” w rozmaitych serwisach sieciowych, najczęściej podając praktycznie te same dane identyfikacyjne – np. nasze imię i nazwisko oraz adres e-mail.

Zdarzają się wybitne jednostki, posiadające specyficzny talent do zapamiętywania wielu, niekiedy bardzo skomplikowanych haseł, prawdą też jest, że specjaliści proponują nam rozmaite metody, które ułatwiają tworzenie skomplikowanych haseł, które jednocześnie możemy stosunkowo łatwo zapamiętać. Chyba najskuteczniejsze są tzw. metody mnemotechniczne. Pisząc w skrócie, polega to na tworzeniu haseł, które są w naszej pamięci powiązane z frazą łatwą do zapamiętania. Prostym przykładem może być wykorzystanie jakiegoś wierszyka, ot choćby przytaczany już niegdyś przeze mnie:

Ala ma kota
A kot ma Alę
Ala go kocha
A kot ją wcale!

Z takiego wierszyka można stworzyć hasła na wiele sposobów, z których najprostszą będzie użycie pierwszych liter, na przykład:
Amk.AkmA.
Potrzebne jest długie hasło zawierające litery i cyfry? Nie ma sprawy:
Amk1akmA2Agk3akjw!

Ważne jest zapamiętanie dwóch rzeczy. Metody, według której tworzymy hasło i… samej frazy. W efekcie dość łatwo jesteśmy w stanie „odbudować” hasło w pamięci w chwili gdy musimy go użyć, a z drugiej strony, osobie postronnej relatywnie trudno jest je „złamać”.

Zdecydowanie odradzam wykorzystywanie w charakterze haseł danych osobowych, swoich, rodziny czy przyjaciół, w tym imion, nazwisk, dat urodzenia, numerów telefonu itd. Takie hasła są łamane najłatwiej i w pierwszej kolejności!

Powyższa metoda sprawdza się w chwili, gdy potrzebujemy np. jednego czy kilku haseł. O wiele gorzej jest, gdy musimy korzystać z kilkudziesięciu haseł. Wówczas nawet przy użyciu metod mnemotechnicznych nie jest to zbyt łatwe. Jeśli dodatkowo, dojdzie do tego konieczność dokonywania zmiany części z tych haseł (np. co tydzień lub co miesiąc), to z czasem możemy pogubić się w tym wszystkim.

W efekcie, wiele osób zaczyna wykorzystywać te same hasła w wielu systemach informatycznych (np. w portalu korporacyjnym, w banku, w serwisie społecznościowym itd.). Nawet jeśli hasło samo w sobie jest trudne, prowadzi to do tego, że w przypadku gdy dojdzie do tzw. kompromitacji naszego hasła (czyli ktoś je np. podejrzy lub ukradnie z jednego z serwisów w sieci) – intruz uzyska potencjalnie dostęp do wszystkich naszych kont, chronionych tym samym hasłem!

Pisanie o tym, że nie należy notować loginów i haseł na „żółtych karteczkach” przylepianych do obudowy monitora bądź też trzymanych pod klawiaturą pominę, bo generalnie trzeba mieć „żółte papiery”, żeby robić tego typu rzeczy!

Dotykam tu dość istotnej kwestii związanej z bezpieczeństwem: zazwyczaj jeśli idziemy na kompromis i stosujemy jakieś ułatwienia dotyczące zabezpieczeń – cierpi na tym ogólny poziom bezpieczeństwa zabezpieczanych zasobów. Czy zawsze tak jest? Powiedzmy, że prawie zawsze.

Zdając sobie sprawę ze złożoności problemu, firma Apple opracowując system operacyjny Mac OS X, dodała do niego użyteczny mechanizm o nazwie Keychain (Pęk Kluczy) – narzędzie systemowe, którego zadaniem jest bezpieczne przechowywanie wielu identyfikatorów i haseł użytkownika systemu, w tym haseł do rozmaitych kont w sieci, do poczty elektronicznej, a nawet do zabezpieczonych stosownym kluczem sieci bezprzewodowych czy dysków sieciowych. Idea piękna, nieco gorzej wyszła jej realizacja. Keychain nie zawsze jest łatwy w użyciu, zdarzały mu się również wpadki – błędy bezpieczeństwa, umożliwiające wykradzenie naszych haseł przez potencjalnych intruzów.

Systemowa przeglądarka WWW – Safari – korzysta z Keychaina, inne przeglądarki posiadają najczęściej własne, wbudowane narzędzia do przechowywania loginów i haseł oraz – niekiedy – automatycznego wypełniania formularzy internetowych. Rozwiązania te nie zawsze są bezpieczne, a trzymanie loginów i haseł w kilku miejscach nie jest wygodne dla użytkownika.

Nie ulega wątpliwości, że pewne niedostatki „gołego” Keychaina, musiały spowodować powstanie alternatywnych rozwiązań dla Maka, oferujących większe możliwości, a niekiedy również wyższy poziom bezpieczeństwa.

1Password – naprawdę warto!

Choć powstało naprawdę wiele programów, umożliwiających przechowywanie haseł na Maku, zdecydowanym liderem na tym polu jest jednak 1Password firmy Agile Web Solutions. Program można pobrać (i/lub od razu kupić) korzystając z witryny internetowej producenta.

Program dostępny jest w wersji demo przez 30 dni. Później wymaga rejestracji (cena wynosi 39,95 USD i jest on wart tej ceny!). 1Password w aktualnej wersji, jest w pełni kompatybilny z najnowszym systemem Mac OS X „Snow Leopard”.

Do najważniejszych cech programu 1Password należą:

  • bezpieczne przechowywanie loginów i haseł wraz z możliwością łatwego ich użycia w chwili gdy są potrzebne,
  • bezpieczne przechowywanie danych służących do wypełniania formularzy internetowych wraz z możliwością zautomatyzowanego wypełniania pól formularzy – w tym wsparcie dla danych wymaganych przez sklepy internetowe (z bezpiecznym przechowywaniem danych kart kredytowych włącznie),
  • tzw. „Secure Notes”, czyli przygotowywanie zaszyfrowanych wiadomości tekstowych, które można następnie przesyłać innym użytkownikom (np. korzystając z poczty elektronicznej),
  • generator haseł, który umożliwia tworzenie i zapamiętywanie bezpiecznych haseł, dzięki czemu użytkownik może maksymalnie ułatwić sobie ten proces.
  • Muszę tu dodać, że ciekawą i użyteczną funkcją programu 1Password jest „Password History” – przechowywanie historii kolejnych haseł, dzięki czemu istnieje możliwość przywołania poprzednich haseł (np. jeśli zmiana hasła na nowe z jakiegoś powodu się nie powiodła lub gdy administrator danego serwisu przywrócił stare hasła po awarii – z kopii zapasowej).

    1Password posiada o wiele więcej zalet. Przede wszystkim jest doskonale zintegrowany z większością przeglądarek dostępnych dla systemu Mac OS X (prawdę mówiąc nie znalazłem takiej, z którą nie jest zintegrowany póki co).

    Bardzo użyteczna jest możliwość przechowywania wielu par identyfikatorów (login/hasło) dla jednego serwisu, dzięki czemu, „przelogowanie” się z konta prywatnego na firmowe (np. na Twitterze) to jedynie kwestia wybrania odpowiedniej pary login/hasło z rozwijanego menu!

    Kolejną, ważną funkcją jest wbudowana ochrona antyphishingowa, której zadaniem jest zapobieganie wprowadzania przez nas loginu/hasła na sfałszowanych stronach serwisów internetowych (np. udających serwis banku, w którym posiadamy konto). Używanie 1Password powoduje, że nasze hasła przestają być podatne na sczytywanie programami służącymi do potajemnego logowania znaków wprowadzanych z klawiatury naszego Maka (tzw. keyloggers).

    Posiadaczy mobilnych gadżetów zapewne ucieszy fakt, iż 1Password dostępny jest zarówno dla iPhone’a, jak i dla Palma.

    Myślę, że 1Password jest narzędziem, które mogę śmiało polecić każdemu użytkownikowi Maka.

    Nowomoda, czyli chyba lekkie „przegięcie”…

    Zapewne część z Was zarzuci mi w tym momencie pewną dozę paranoi, ale… istnieją rozwiązania służące do przechowywania haseł (i innych, ważnych informacji), które – pomimo iż są certyfikowane przez znane instytucje – nie budzą mojego entuzjazmu.

    Więcej, mojego entuzjazmu nie budzą nie tyle same narzędzia (choć w części zapewne też), ile sam model „bezpieczeństwa” proponowany potencjalnym użytkownikom.

    Do czego piję? Chodzi mi konkretnie o serwis mitto.com

    Otóż, jak zapewne niektórzy Czytelnicy zauważyli, dość modny staje się tzw. Cloud Computing, czyli udostępnianie aplikacji sieciowych jako usług darmowych lub (częściej) płatnych na zasadach abonamentowych.

    Jak się okazuje, ta nowa moda nie omija również sektora bezpieczeństwa IT. Jedną z propozycji jest właśnie serwis o nazwie mitto.com. Cóż to takiego? W wielkim skrócie można powiedzieć, że taki Keychain w sieci. Generalnie zasada korzystania z serwisu jest prosta: użytkownik się rejestruje (zakłada sobie konto) i przechowuje swoje loginy i hasła… w bazie danych serwisu mitto.com! Dokładnie tak, nie u siebie, na swoim dysku i zaszyfrowane lokalnie, tylko tam, gdzieś – na serwerach właścicieli tego serwisu. Rzecz jasna, paradoksalnie, ma to stanowić element dodatkowego bezpieczeństwa (wszak administratorzy mitto.com robią ponoć kopie zapasowe i przywracają dane w przypadku awarii, sam serwis chwali się posiadaniem stosownych certyfikatów bezpieczeństwa wydanych przez znane i szanowane ośrodki, w razie utraty komputera nie tracimy naszej bazy haseł itd.).

    Dodatkową funkcją serwisu mitto.com, jest opcja udostępniania konkretnych loginów i haseł swoim znajomym (którzy również założą sobie konta w mitto.com). Pomimo, iż mitto.com informuje, iż „We use security standards approved by the National Security Agency (NSA) for top secret information to store your passwords and sensitive data in an encrypted format. This means only you can see your passwords.”, nie zaryzykowałbym trzymania swoich poufnych danych gdzieś w „świecie zewnętrznym”.

    Proszę mnie źle nie zrozumieć – nie twierdzę, że twórcy mitto.com mają złe intencje, czy, że nie starają się dokładać wszelkich starań, aby ich serwis był bezpieczny. Możliwe, że tak jest, ale niestety nikt z nas nie ma możliwość sprawdzenia tego w praktyce, a bezpieczeństwo cechuje się tym, że zazwyczaj lepiej „dmuchać na zimne”, niż później ponosić konsekwencje nierozważnej decyzji.

    (Tekst pochodzi z magazynu Moje Jabłuszko ze stycznia 2010 roku)

    Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .