Z okazji Dnia Bezpiecznego Internetu w sieci zaroiło się od dobrych i mniej dobrych rad na temat cyberbezpieczeństwa. Trzy z nich szczególnie mi się spodobały.

W swoistym płynięciu pod prąd w potoku cyberbezpieczeństwa Niebezpiecznik robi to dobrze. Bardzo doceniam merytoryczną wartość każdego wpisu w tym serwisie, podcastu a także wysoki poziom szkoleń. Z okazji Dnia Bezpiecznego Internetu, który przypada na 11 lutego, Niebezpiecznik podzielił się także trzema radami, które niektórzy uznali za żart lub nawet prowokację. Tymczasem, jeśli przyjrzeć im się dokładniej, to mają więcej sensu, niż mityczne, bezpieczne zielone kłódki w pasku adresu przeglądarki.

Nie zmieniaj haseł

Ale jak to? Przecież, jeśli ktoś korzysta z jednego hasła do kilku serwisów, to w przypadku wycieku danych naraża się na utratę wielu, nie tylko jednego, konta. Poza tym, to przecież jedna z podstawowych rad na wszelkich szkoleniach! Trzeba zmieniać hasła! Przynajmniej raz na 30 dni, w wielu biurach administratorzy sieci wymuszają nawet takie zmiany. Mylicie się, trollujecie, mieliście włam? Brzmiały komentarze pod tweetem.

Co do pierwszego zarzutu, to w ogóle zacytowana porada tego nie dotyczy. Przede wszystkim należy używać unikalnych haseł i co do tego nie ma wątpliwości. Zgodnie z zasadą, jedno konto – jedno hasło. Sama regularna zmiana haseł nie ma natomiast większego sensu, hasło ma być unikalne i silne. Częsta, a tym bardziej wymuszona zmiana, doprowadza w bardzo wielu przypadkach do drastycznego obniżenia poziomu bezpieczeństwa. Użytkownicy zapisują swoje hasła w widocznych miejscach, w notesach, na karteczkach, chowając je później w szufladach lub pod klawiaturą. Stosują także przy tej okazji trywialne zabiegi zmieniając jedynie końcówki haseł (bardzo łatwych zresztą do złamania) z np. 0001 na 0002 (w zależności jakiej długości hasła wymaga administrator). Podobnego zdania są zresztą takie organizacje jak National Institute of Standards and Technology, czy Microsoft, które nie rekomendują już regularnej zmiany haseł, upatrując w tym więcej zagrożeń, niż korzyści. Jaka na to rada? Korzystać z menedżera haseł.

Nie bój się otwartych sieci wi-fi

Ale jak to? Przecież mogą nas podsłuchać, zdobyć login i hasło! Przecież to jedna z podstawowych (kolejnych) rad na wszelkich szkoleniach! Przecież jeszcze wiele sklepów internetowych korzysta z nieszyfrowanych połączeń!

Obecnie większość cokolwiek znaczących usług i serwisów stosuje szyfrowaną wersję protokołu http. Czy ktoś rozsądny w ogóle rozważa jakiekolwiek operacje w serwisach nie korzystających z szyfrowanych połączeń, łącząc się z ogólnodostępnej sieci? Serio? W czasach, kiedy w komórkach jest nielimitowany dostęp? Większym zagrożeniem dla takich osób jest phishing, niż to, że ktoś będzie chciał ich podsłuchać w otwartej sieci w McDonald’s.

Nie używaj etui na chroniących przed kradzieżą ze zbliżeniowych kart kredytowych

Ale jak to? Przecież okradną mnie zbliżeniowo, bez podania kodu, wielokrotnie na kwotę poniżej 50 zł! Też czasem mówią o tym na szkoleniach (rzadko, na szczęście).

Choć technicznie możliwe, takie oszustwo nigdy nie zostało potwierdzone i należy je traktować jako miejską legendę, na tym samym poziomie co porywanie dzieci na organy wewnętrzne w centrum Gliwic. Terminal płatniczy, żeby był zdolny do użytku musi być zarejestrowany, musi być na kogoś zarejestrowany, a ewentualne płatności nie spływają od razu na konto oszusta. W razie jakiejkolwiek, najmniejszej nawet wątpliwości, środki są blokowane do wyjaśnienia. Klient zawsze może skorzystać także z opcji chargeback.

Co więc robić?

Bądź świadomy. Bądź świadomy najczęstszych rodzajów oszustw i zagrożeń, takich jak phishing, czy ransomware. Stosuj unikalne i silne hasła, najlepiej za pośrednictwem menedżera haseł. Szyfruj swoje urządzenia, nie udostępniaj ich osobom trzecim, nie korzystaj z usług, czy serwisów (jeśli koniecznie nie musisz), które w 2020 roku nie zapewniają szyfrowanego połączenia. Nie wierz jednak w każdą zieloną kłódkę w pasku adresu przeglądarki. Weryfikuj certyfikaty i sprawdzaj adresy w przeglądarce.