13:16
11/2/2020

Dziś dzień bezpiecznego internetu. Więc z tej okazji mamy dla Was 3 rady:

  • 0️⃣ Nie musicie regularnie zmieniać haseł.
  • 1️⃣ Nie musicie unikać otwartych sieci Wi-Fi.
  • 2️⃣ Nie musicie używać osłonek anty-RFID/NFC na karty platnicze.

Tak, wiemy. To zaskakujące rady. Ale sensowne! Naprawdę (serio, serio, serio!). Ani regularna zmiana haseł, ani unikanie hotspotów (otwartych sieci Wi-Fi) ani przechowywanie zbliżeniowej karty płatniczej w specjalnej osłonce trzymanie karty w osłonce NIE zwiększy w sposób istotny Twojego bezpieczeństwa. Co gorsza, w niektórych przypadkach może wręcz je zmniejszyć (pkt 0) i są na to badania.

W tym artykule nic więcej nie napiszemy. Nie wyjaśnimy tych rad szerzej. Zostawimy to sobie na jutro. Dlaczego? Bo konkursik! Jesteśmy pewien, że nawet niektórzy ludzie “z branży” mogą mieć wrażenie, że któreś z tych porad są złe. Dlatego spośród osób, które w komentarzach pod tym artykułem (i naszych wpisach na FB i Li) najładniej wytłumaczą dlaczego każdy z punktów 0-2 jest w istocie sensowną radą, wybierzemy jedną i nagrodzimy wejściówką na nasz wykład “Jak nie dać się zhackować?” w ramach którego przekazujemy o wiele więcej sensowych porad i tłumaczymy na jakie zagrożenia trzeba, a na jakie niekoniecznie trzeba się przygotować. Bo niestety, większość ludzi zabezpiecza się w nie przed tym, co im najczęściej grozi…

PS. Dajcie znać znajomym. Niech nie wierzą w mity. A jeśli chcecie poznać inne “mity cybersecurity” (oraz wyjaśnienie do porady nr 2) to dołączcie do grona 120 000 osób i obejrzyjcie wykład Piotrka z TEDx:

Przeczytaj także:



85 komentarzy

Dodaj komentarz
  1. 0 – regularna zmiana haseł w połączeniu z wymaganiami złożoności w wielu przypadkach powoduje że użytkownicy wybierają proste do zapamiętania, krótkie hasła np. marzec2018. Odgadnięcie pierwszego członu hasła oznacza więc możliwość łatwego odgadnięcia hasła po następnej zmianie.

    1 – większość ruchu sieciowego jest już szyfrowana (protokół https), więc używanie otwartej (nieszyfrowanej) sieci wifi nie oznacza że ktoś może łatwo odczytać przesyłane dane. Na dodatek sieci szyfrowane WPA2 nie powinny już być uznawane za bezpieczniejsze niż nieszyfrowane, ponieważ istnieją działające ataki pozwalające zdobyć klucz szyfrujący.

    2 – firmy zajmujące się obsługą płatności i banki nie mają interesu w pomaganiu przestępcy. W celu umożliwienia przyjmowania płatności zbliżeniowych wymagana jest rejestracja u agenta rozliczeniowego, co wiąże się ze szczegółową weryfikacją. W wypadku zareklamowania transakcji agent wstrzyma wypłatę pieniędzy do momentu wyjaśnienia sytuacji.

    • Ad1. Jeżeli zmieniamy hasła często, to używamy łatwych do zapamiętania haseł, później przy zmianie zmieniamy np. miesiąc. Kamil02 zmieniam ma Kamil03.
      Ad2. Nie unikamy bo ruch na strony jest szyfrowy HTTPS. Po drugie kto w dzisiejszych czasach skanuje otwarte wifi gdzieś w cafe czy hotelu ? Nieoplacalne.
      Ad3. Nie używamy oslonek, bo kradzież na terminal jest praktycznie niemozliwa. Nie można ot tak sobie zarejestrować sobie terminala i sobie z nim chodzić i okradać w autobusie, pociągu etc. Dużo załatwiania i weryfikacji przez firmy obsługujące takie płatności

    • Odnośnie RFID to czy nie jest tak, że mając kopię karty można podjeść do bankomatu i pobrać pieniądze (trzeba wcześniej podejrzeć jak ktoś wpisuje PIN przy zakupach z sklepie a to nie trudne).
      Doprecyzowując, ostatnio bankomaty czytają po RFID kartę więc to plus PIN i kaska z bankomatu wypłacona.

    • A ryzyko wzrośnie:
      Visa od lipca podnosi limit na płatności bez PIN-u do 100 zł. Ale najwcześniej będzie tak można zapłacić dopiero w IV kwartale 2020 r.
      https://www.cashless.pl/

    • Limity na kartach to nie 50PLN a 50 jednostek waluty. Płaciłem nie raz zbliżeniowo kartą PLN 49 funtów czy euro bez podawania pinu na terminalu. Poza tym o ile kasę ciężko wydobyć u nas, to co z terminalem z mozambiku zarejestrowanym pod jakiś krzak bank…

  2. 0️⃣ Nie musicie regularnie zmieniać haseł. BO KORZYSTACIE PRZECIEŻ Z 2FA
    1️⃣ Nie musicie unikać otwartych sieci Wi-Fi. BO SAMI SZYFRUJECIE PRZECIEŻ RUCH W NIEZNANYCH SIECIACH
    2️⃣ Nie musicie używać osłonek anty-RFID/NFC na karty platnicze. BO USTAWILIŚCIE PRZECIEŻ SENSOWNE LIMITY W BANKOWOŚCI ELEKTRONICZNEJ

  3. No i zaczynam się zastanawiać nad tym konkursikiem. Bo teoretycznie na te wszystkie pytania odpowiedział PK w TEDTalku, więc teoretycznie można by tylko opisać to swoimi słowami i zgarnąć główną nagrodę :)
    Czyli w skrócie można napisać, że nie musisz zmieniać haseł, wystarczy Ci manager haseł i hasła, których nikt nie złamie w czasie Twojego życia. A jeśli po śmierci Twoja nieżywa druga połówka pozna Twoją historię wyszukiwania w google, to … no i tu zależy od wyznawanej religii :) Z punktu drugiego, czyli tego określonego numerem 1 pięknie można opisać, że wystarczy używać jakiegoś VPNa (nawet takiego co to są dodawane do przeglądarek) i będzie całkiem bezpiecznie. Na trzecie pytanie odpowiedź jest najprostsza – nawet jak komuś się uda zarejestrować terminal płatniczy, ten ktoś podejdzie do was i uzyska autoryzacje na 50zł wydatek, to zawsze można skorzystać z usługi chargeback i najprawdopodobniej taki “haker” bardzo szybko utraci możliwość korzystania z terminala :)
    Można by tak to pięknie opisać. Można by też napisać, że są o wiele prostsze metody wykradzenia naszych istotnych danych niż poprzez poznanie naszego hasła/podsłuchanie naszego ruchu sieciowego/podkradzenie danych osobowych z karty płatniczej.
    Można też spróbować pokazać, że częste zmiany haseł prowadzą przeważnie do ustawiania haseł “banalnych” i “oczywistych”, więc bardziej przeszkadzają niż pomagają, a używanie swojego własnego połączenia wifi/gprs nic Ci nie da jak będzie za Tobą osoba, która podpatrzy gdzie się szlajasz po internetach.
    Można to wszystko napisać, tylko po co? :) Ludzie, którzy o tym wiedzą i tak już o tym wiedzą, a ludzie, którzy nie wiedzą najprawdopodobniej prędzej obejrzą filmik z TEDTalksa Piotra Koniecznego, niż przeczytają wywody anonimowego człowieka w internecie pod jakimś dziwnym artykułem, który choć i tak jest w miarę krótki, to dla wielu za długi :) (a ten komentarz wydaje mi się, że zaczyna być dłuższy od samego artykułu).
    Tak więc, konkludując i płynąc do brzegu, wystarczy napisać, żeby we wszystkim zachować zdrowy rozsądek i wszystko będzie dobrze :)

    • Nope, ani problemu 0, ani problemu 1, nie adresowałem.

  4. 0. Bezpieczniejszym rozwiazaniem jest uzywanie dlugich i skomplikowanych hasel. Dobrym rozwiazaniem sa managery hasel, ktore nie dosc, ze pamietaja za nas hasla, to moga tez wygenerowac dlugie i bezpieczne. Dodatkowo czesta zmiana hasel moze obnizyc bezpieczenstwo, poniewaz uzytkownicy moga sie rozleniwic i dodawac kolejna cyfre do starego hasla, czy korzystac z innego wzorca.

    1. Nie musimy unikac otwartych sieci, ale nalezy uzywac VPNa, ktory zaszyfruje ruch.

    2. Bo skopiowanie karty w taki sposob jest niemozliwe, a kradziez srodkow w praktyce bardzo trudna. Mozna co najwyzej zczytac dane wlasciciela karty.

    • A skąd wiesz, że z managera haseł dane Ci nie uciekają?

  5. ad2. Co w przypadku podatności, które można użyć właśnie przez wifi (jakieś otwarte porty pod windą, usługi, itp…)? Kto wie co taki otwarty hotspot może nam zaoferować oprócz httpsa?

  6. 1) Zmiana haseł – wymuszanie na użytkownikach regularnej zmiany haseł może powodować, że część użytkowników 1) będzie bardziej skłonna do zapisywania haseł na karteczkach itp. albo 2) będzie i tak wykorzystywać stare hasła ze zmienionym jednym albo dwoma znakami
    2) otwarte sieci Wi-Fi – można 1) włączyć VPNa i/lub 2) wykorzystać połączenia HTTPS
    3) osłony RFID – 1) większość kart obecnie stosowanych jest tzw. drugiej generacji, która szyfruje i chroni transmitowane informacji a poza tym 2) relacja nakładów do efektów jest raczej słaba – łatwiej jest chyba kupić w internecie dane dot. kradzionych kart kredytowych niż przez cały dzień próbować sczytywać dane od przechodzących ludzi (w tym drugim przypadku też pewnie łatwiej namierzyć takiego delikwenta z uwagi na wszechobecne kamery przeyłowe)

  7. A ja się chyba pogubiłam… Rozumiem wszystkie 3 punkty, tylko dziwi mnie, że już nagle utrata prywatności nie jest tu (i na “Frendfejsie”) dla nikogo problemem? Bo jakkolwiek wiemy, że kradzież zbliżeniowa z karty jest mało prawdopodobna, a nawet jeśli to jest wychwalany tu pod niebiosa chargback, to nadal z karty bez folii dane osobowe można sczytać. Wyjaśni mi ktoś?

    • Z niektórych kart można wyciągnąć Imię i Nazwisko, to prawda (a z każdej identyfikator unikatowy w postaci numeru). Spróbuj to jednak zrobić w autobusie i daj znać, ile nazwisk udało Ci się ustrzelić. A co do utraty prywatności… My tu o bezpieczeństwie rozmawiamy — to jednak co innego niż prywatność. Na dzień prywatnego internetu mamy przygotowany inny zestaw porad ;) Oh wait…

    • No tak, trochę za późno wpadłam na to, że teraz rozmowa jedynie o bezpieczeństwie a nie o prywatności ;)

  8. 0️⃣ Nie musicie regularnie zmieniać haseł.
    Regularna zmiana haseł najczęściej prowadzi do jego uproszczania haseł i zmieniania np. tylko ostatniego znaku albo do zapisywania nowego hasła na karteczce przyklejonej do komputera, albo i do jednego i drugiego. Najlepsze hasła to nie takie, które są regularnie zmieniane tylko takie, które ciężko złamać – długie i niesłownikowe, jedno hasło do jednej usługi. Hasło jeśli ma być zmieniane to tylko w przypadku podejrzenia jego wycieku/złamania.

    1️⃣ Nie musicie unikać otwartych sieci Wi-Fi.
    Otwarte sieci często blokują bezpośredni ruch pomiędzy jej użytkownikami, a nawet jeśli nie to w dzisiejszych czasach większość ruchu sieciowego jest szyfrowana, więc bardzo ciężko go podsłuchać. Kluczem do zachowania bezpieczeństwa w takiej sytuacji jest posiadanie aktualnego oprogramowania. A osoby, które nie mają zaufania do otwartych sieci mogą korzystać z VPNa.

    2️⃣ Nie musicie używać osłonek anty-RFID/NFC na karty platnicze.
    Nikt nie chodzi po autobusach z terminalami płatniczymi i nie sczytuje kart, ponieważ płatności zbliżeniowe nie są od razu przekazywane do przestępcy tylko są najpierw weryfikowane przez firmy obsługujące płatności. Wiele osób otrzymuje od razu powiadomienia na telefon po takiej płatności, więc po wykryciu tej operacji można ją bardzo szybko zareklamować przez co przestępca nie otrzyma pieniędzy a dodatkowo jego terminal zostanie zablokowany przy odpowiedniej ilości tego typu zgłoszeń.

  9. 2 – byłem niedawno w Szwecji i w większym gronie z miejscowymi poruszyliśmy ten temat – na moją opinię, że w ten sposób nikt nikogo nie okrada od razu parę osób się zgłosiło, że im się taki przypadek osobiście zdarzył (metro czy inne zatłoczone miejsca). i owszem – reklamacja do banku.. tylko taką transakcję trzeba wychwycić (powiadomienia online albo ciągła analiza historii karty/wyciągów). ale nie można mówić, że to się nie zdarza (może w Polsce nie.. ;))

    • Czy mógłbyś nam wskazać nam te osoby lub dowolne doniesienia ze szwedzkich serwisów informacyjnych, które opisują takie ataki? Z chęcią przyjrzymy się tematowi i zweryfikujemy, czy to faktycznie o tego typu atak (nabijanie płatność w “metrze”) chodziło, a nie były to po prostu fraudy dot. obciążenia karty w trybie Card Not Present / MOTO.

  10. 0. Zamiast regularnie zmieniać hasła do różnych serwisów lepiej korzystać z menaggera haseł tym samym uzyskując jedno silne hasło zamiast wielu (przynajmniej potencjalnie) słabszych. Poza tym wymuszana regularna zniana haseł, na przykład w korporacjach, prowadzi często do tego, że ludzie korzystają z łatwych do zapamiętania schematów (np. january2019, february2019, march2019 itd.).
    Oprócz tego warto korzystać z weryfikacji dwuetapowej. Bez niej nawet codzienne zmienianie hasła guzik pomoże, jeśli np. złapiemy się na phishing.
    1. Otwarte sieci wifi są bezpieczne przy prawidłowym wykorzystywaniu, to jest: korzystaniu z VPNa, wyłączeniu automatycznego połączenia i pilnowaniu by np. w hotelu rzeczywiście korzystać z sieci hotelowej, a nie podstawionej przez złodzieja o podobnej nazwie. Poza tym, przy prawidłowym szyfrowaniu złodziej i tak nam najczęściej niewiele zrobi, jeśli nie damy się oszukać na phishing i nie podamy mu sami hasła na podstawionej stronie banku itp.
    2. Osłonki skutecznie chronią przed teoretycznym atakiem, który tepretycznie można przeprowadzić, a którego nikt nie wykonuje ze względu na ograniczenia techniczne. Trzeba by zdobyć czytnik, zarejestrować go i aktywnie obmacywać nim różne osoby, co daje bardzo dużo wysiłku włożonego w niezbyt dochodowe przedsięwzięcie, bo przelew kasy na konto złodzieja i tak z dużym prawdopodobieństwem zostanie zablokowany. Ponadto, po wykryciu, służbom łatwo by było takiego złodzieja namierzyć, więc w praktyce nikt tego nie robi, a sam atak jest raczej legendą miejską, niż prawdziwym zagrożebiem.

    • A co jak ktoś nie ma VPN ?

  11. Dlaczego numerujecie punkty zaczynając od “0” ?
    Przecież nawet mówimy: “po pierwsze”, “po drugie” i tak dalej …
    Nie mówimy przecież: “po zerowe”
    Jeszcze jesteśmy ludźmi, nie komputerami, robotami czy maszynami.

    • -1

    • Dito!
      Zero jako wartosc nie istnieje wiec nie mozna zaczac listy od “0”.. chyba ze to taka podpucha ze niby jest punkt a go nie ma.

  12. 1. Regularna zmiana hasła nie jest aż tak istotna. Każda zmiana zwiększa prawdopodobieństwo że je zgubimy lub zapomnimy. A też zmiana hasła z 2019 na 2020, jest w zasadzie bezużyteczna. I tak jak zaznaczył Niebezpiecznik – niebezpieczna, gdyż schematyczna i regularna zmiana może uprościć atakującym swoją robotę. Lepsze mocne hasło (ale nie to samo wszędzie) oraz mądre posługiwanie się nim/i, niżeli setki bezużytecznych znaków, które ktoś może od dawna podglądać na naszych pocztach :)

    2. Unikanie otwartych sieci wi-fi jest niczym unikanie domowego rutera. I tu i tu może dojść do naruszenia naszego “terenu”. Po za tym, warto mieć dostęp do internetu aby śledzić forum Niebezpiecznika :P
    A tak serio, to zamiast unikać internetu, który staje się w zasadzie częścią naszego społeczeństwa, lepiej zadbać o dogodne zabezpieczenia w związku z używaniem go! VPN nawet najtańszy lub rozsądne używanie go może sprawić że będziemy mogli w spokoju z niego korzystać. (Chociaż z tego co pamiętam to można wiele się dowiedzieć z samego połączenia z siecią, ale nie jestem techniczny :/ ) Wystarczy nie przeglądać naszych poufniejszych danych, podczas używania otwartego łącza. Filmiki i newsy – OK. Bankowość lepsza w domu, na stacjonarnym kompie.

    3. Używanie osłonki jest chyba najprostsze i podsumuje je jednym lub dwoma zdaniami:
    Wystarczy że ktoś zobaczy wasz kod PIN podczas np wypłaty z bankomatu, i wam tą kartę podpierniczy :3 Plastik fantastik!

    PS
    Pozdrawiam niebezpiecznik i chętnie przyjmę nowe (lepsze od moich wymysłów) porady bezpieczeństwa.

    • Jakie Forum Niebezpiecznika? Jest coś jeszcze oprócz portalu niebezpiecznik.pl?

    • Płatność kartą? Lepsza telefonem.
      [0] można wyłączyć NFC.
      [1] odblokowanie telefonu palcem/twarzą utrudnia użycie złodziejowi, jeśli został skradziony
      [2] można telefon zablokować/wyczyścić
      Co do haseł jednorazowych (logowanie awaryjne do różnych serwisów – google/fb/bank) – można kupić tag NFC za grosze, wgrać jako tekst za pomocą telefonu (Android rulezz), zabezpieczyć odpowiednim hasłem, nakleić gdzieś w domu i przykryć większą naklejką (np DZIELNY PACJENT). Niewykrywalne.
      Nowym telefonem będzie można zalogować się do konta i ustawić ten telefon jako nowy sprzęt do 2FA. Zastanawiam się jeszcze jak podpiąć “backup” Google Authenticatora…

  13. Ad 0) Atak przez zgadywanie hasła do działającego systemu powinien być przez ten system wychwycony po kilku nieudanych próbach. W tej sytuacji częsta zmiana hasła nie jest potrzebna. Po prostu hasło musi nie być trywialne i co najważniejsze nie może być takie samo jak w jakimś innym systemie. Regularna ich zmiana nie jest konieczna co w zasadzie niczego nie daje poza ryzykiem, że z braku weny użyjemy hasła które już gdzieś wyciekło.

    Najczęstszym bowiem przypadkiem włamań jest to, iż z pewnego systemu wyciekną hasła (błędy w systemach są, zawsze będą i zawsze znajdzie się ktoś kto je znajdzie i wykorzysta). Nas po pewnym czasie ulegną pewnie złamaniu i wtedy nic nie stoi na przeszkodzie aby zacząć szukać innych systemów w których ofiara użyła tego właśnie hasła.

    Ad 1) Bo napastnik może podstawić także zabezpieczoną sieć w której poprosi w ramach logowania o numer karty kredytowej… albo przekieruje Was na fałszywe okno logowania do Waszego banku. Trzeba być czujnym! Warto też używać VPNa… ale to też nie powinno osłabiać czujności.

    Ad 2) Bo choć technicznie możliwa jest kradzież 50zł w zatłoczonym tramwaju, to statystyka pokazuje, że trudy, koszty i ryzyko są dla złodziei zbyt duże w stosunku do łupu i się tym po prostu nie zajmują.

  14. 0 – częste zmienianie haseł prowadzi do ich upraszczania. Poza tym lepiej nie znać swojego hasła mając je zapisane w managerze haseł zintegrowanym ze strona.
    1 – VPN odpowiedzią na wszystko.
    2 – w praktyce jest niemożliwym uzyskanie przez przestępcę terminalu i legalnego konta czy transmitowanie sygnału do sklepu gdzie stoi wspólnik. W dodatku limit 50 pln skutecznie sprawia, ze taki atak nie ma ekonomicznej racji bytu. Każdy atak musi się opłacać finansowo, a tu nakłady przewyższyłyby zyski.

  15. A co jeśli ktoś wykradnie bazę danych, (albo będzie miał nieuprawniony dostęp), na której przechowywane są hasła użytkowników? Czy czasowa zmiana hasła nie zmniejsza ryzyka na włamanie się na nasze konto?

  16. 0 – Nie musicie regularnie zmieniać haseł. Za to musicie mieć inne hasło w każdej usłudze, na każdym koncie jakie zakładacie w sieci, w szczególności nie możecie mieć takiego samego hasła do serwisu społecznościowego i swojej skrzynki e-mail, to niedopuszczalne. Hasła powinny być długie oraz maksymalnie skomplikowane oraz nigdy nie powinny składać się z rzeczy jakie można z Wami powiązać, takimi jak ulubione przez Was rzeczy, imiona czy daty. Nawet organizacje zalecające kiedyś zmianę haseł co 30 dni, które musi składać się z co najmniej jednej cyfry, wielkiej litery i znaku specjalnego, wycofały się z tego zalecenia, gdyż konieczność stosowania takich schematów w połączeniu z krótkim okresem ważności danego hasła wygenerowało problem tworzenia haseł bardzo przewidywalnych lub wręcz zapisywania go sobie pod klawiaturą albo na karteczce przyklejonej do monitora. Długie skomplikowane hasła może być trudno spamiętać, dlatego ułatwieniem jest korzystanie z tzw. “managerów haseł”.

    1 – Nie musicie unikać otwartych sieci Wi-Fi. Wystarczy się po prostu z nimi w ogóle nie łączyć ;-) Jeżeli jednak już z jakiegoś powodu bardzo musisz to zrobić to zainteresuj się tematem wirtualnych sieci prywatnych (w skrócie VPN) i szyfrowaniem połączeń. A najlepiej ogranicz przesyłanie przez takie sieci danych powszechnie uznawanych za wrażliwe.

    2 – Nie musicie używać osłonek anty-RFID/NFC na karty płatnicze. Chroni to co prawda przed odczytaniem danych z karty, ale jedyne co może odczytać osoba postronna z Waszej karty to zapis ostatnich kilku transakcji, a w zasadzie ich kwot. Szeroko komentowany w sieci atak mający pozbawić Was środków z karty na przykład w tramwaju lub autobusie jest bzdurą, gdyż przestępca potrzebowałby do tego celu posiadać terminal płatniczy, a te są rejestrowane na konkretne dane. Oczywiście nakładka taka może Was wprawiać w dobry nastrój i możecie sobie taką nabyć, albo otrzymać od Niebezpiecznika ;-D

  17. A ja akurat lubię mieć kartę w osłonce, bo jak jej używam do płacenia to tylko trochę wysuwam i zbliżam do terminala. Dzięki temu żadna kamera nie zobaczy kodu CCV/CVC i danych wytłoczonych na karcie.

    • O to to to, właśnie :)

    • Ja wyjmując kartę RFID z futerału odwracam swoimi danymi do dołu ;)

  18. 0. ponieważ korzystamy z menadżera haseł, unikatowego loginu i hasła do każdego serwisu oraz mam włączone 2FA wszędzie gdzie tylko się da
    1. ponieważ korzystamy z płatnego, sprawdzonego VPN, który szyfruje cały ruch wychodzący
    2. ponieważ korzystamy z karty debetowej doładowywanej w razie potrzeby lub karty w wyłączoną transmisją bezprzewodową i przeciętymi ścieżkami komunikacyjnymi

  19. 0️⃣ – Im częściej zmieniamy hasło, tym trudniej jest zapamiętać obecne. Dlatego ludzie, którzy to robią, najczęściej wymyślają hasło według łatwego do zapamiętania wzoru, np. dopisują do czegoś obecny miesiąc – “Alamakota-marzec”, “Alamakota-kwiecień” itp. To znaczy, że jeżeli atakujący odgadnie albo w inny sposób pozna że obecne hasło to “Alamakota-marzec”, a jest marzec, to nie będzie miał problemu z włamaniem się również w kwietniu. A nawet jeżeli ktoś tak nie robi, tylko naprawdę wymyśla silne, bezpieczne hasło za każdym razem, to potem w pamięci zostaje mu kilka ostatnich haseł. Łatwo się wtedy pomylić i wpisać któreś z poprzednich, a trudno żeby ósmy z kolei ciąg cyfr, wykrzykników, małp, dużych i małych liter zapadł dobrze w pamięć.

    1️⃣ – Obecnie zdecydowana większość stron WWW i aplikacji wykorzystujących internet korzysta z szyfrowania TLS (to ta kłódka, która pojawia się obok adresu strony). Dzięki niemu nikt poza klientem (np. telefonem, laptopem) i serwerem (np. banku, poczty) nie jest w stanie odczytać przesyłanych danych. “Otwarte” sieci Wi-Fi różnią się od zabezpieczonych hasłem tylko tym, czy dane są szyfrowane wewnątrz sieci (np. od telefonu do rutera). To znaczy, że jeżeli ktoś spróbuje “podsłuchać” to, jak korzystasz z internetu na takiej sieci, to te dane i tak będą zaszyfrowane, ale w inny sposób.

    2️⃣ – Ludzie korzystają z takich nakładek, bo boją się oszustw z wykorzystaniem “lewych” terminali, z którymi oszust chodzi i “zbiera” sygnały z kart. Takich terminali po prostu nie ma. Aby dostać terminal, trzeba się zgłosić do dostawcy usług płatniczych (banku lub firmy takiej jak np. eService) i podać swoje dane. Dużo danych. Ewentualnego przestępcę możnaby dzięki nim łatwo wyśledzić w przypadku wykrycia oszustwa. Jest ono bardzo łatwe do wykrycia, bo ludzie często informują banki o “dziwnych” transakcjach na wyciągu z karty, żeby je unieważnić (tzw. chargeback) i dostać pieniądze z powrotem. Dużo chargebacków zachęca dostawców usług płatniczych do wszczęcia śledztwa, które może się różnie skończyć – od zabrania terminala, po zgłoszenie sprawy na policję/do prokuratury.
    Poza tym, takie oszustwo wymagałoby, aby przyłożyć terminal do karty na taką samą odległość, jak przy “zwykłej” płatności kartą. Ludzie trzymają karty w różnych miejscach – kieszenie, torebki, plecaki – więc przestępcy musieliby każdego obmacywać dziwnym urządzeniem, co na pewno zwróciłoby uwagę.

  20. 1) Zgoda.
    Częsta zmiana haseł zachęca do tworzenia słabych haseł oraz do używania tych samych haseł na wielu serwisach.
    2) Nie zgadzam się.
    Rozsądną rzeczą jest unikanie otwartych sieci Wi-F. Zapewnienie sobie bezpieczeństwa w takich sieciach jest bardzo trudne. Nawet niektóre usługi VPN nie zapewniają bezpieczeństwa:
    Maybe Better If You Don’t Read This Story on Public WiFi
    https://medium.com/matter/heres-why-public-wifi-is-a-public-health-hazard-dd5b8dcb55e6#.jpmoralkx
    „We took a hacker to a café and, in 20 minutes, he knew where everyone else was born, what schools they attended, and the last five things they googled”
    WiFi hotspot scam (Canadian Banking Association)
    https://cba.ca/wifi-hotspot-scam?l=en-us
    11 Steps to Improve Your Public Wi-Fi Security [Updated]
    https://heimdalsecurity.com/blog/11-security-steps-public-wi-fi-networks/
    The Krack Wi-fi Vulnerability Explained in Plain Terms
    https://heimdalsecurity.com/blog/the-krack-wi-fi-vulnerability/
    Is Your VPN Leaking?
    https://www.pcmag.com/how-to/is-your-vpn-leaking

    3) Nie zgadzam się. Najprościej jest wyłączyć płatności zbliżeniowe.
    Aktywna i niezabezpieczona funkcja płatności zbliżeniowych naraża nas na zczytanie danych z karty, które następnie mogą zostać wykorzystane do zakupów w internecie lub skolonowania karty (klonowanie patrz: lovemoney.com).
    Strona which.co.uk należy do bardzo szanowanej organizacji konsumenckiej Which?.

    RFID skimming https://en.wikipedia.org/wiki/RFID_skimming
    Myths: British consumer magazine ”Which?” – In the test they successfully used wirelessly obtained payment card information to make an online purchase of over £3,000.[5]

    Contactless cards
    https://www.which.co.uk/money/banking/banking-security-and-new-ways-to-pay/new-ways-to-pay/contactless-cards-ah1q15s797hb#headline_7
    Can contactless cards be skimmed?
    Although the risks are low, it is possible.
    In 2015, Which? was able to easily and cheaply acquire contactless-card technology and use this to remotely ‘steal’ key card details from a contactless card. We were then able to order items online, one of which was a £3,000 TV.
    Someone would probably have to be uncomfortably close to you to lift your card details without you knowing – in our tests, the card had to be touched against the mobile card reading device.
    Other readers might be more powerful but UK Finance says there have been no verified reports of contactless fraud on cards still in the possession of the original owner.
    It is worth noting that despite skimming the card details using the NFC technology in our investigation, this type of crime would be documented as ‘remote purchase fraud’ and not attributed specifically to contactless fraud, because the victim would not know how the details had been obtained.
    If fraud that is directly attributable to the contactless functionality of payment cards cannot always be recorded as such, the industry may not be fully aware of the risks.

    Surge in contactless card fraud – stealing £1.18m in 10 months
    https://www.standard.co.uk/news/crime/surge-in-contactless-card-fraud-stealing-118m-in-10-months-a4030256.html
    „Pickpockets are stealing cards to make as many £30 transactions as possible before the account is blocked, while more sophisticated scammers use “skimming” devices attached to cash machines to siphon off data.”
    Cały raport jest o płatnościach dotykowych więca zakładam, że chodzi o RFID skimming.

    https://www.ccpc.ie/consumers/money/scams/card-and-atm-scams/
    Contactless scam
    A scam can be carried out using the contactless payment feature on your debit or credit card.
    It involves scammers using a card-reading device and decoding software to steal the card number and expiry date from your debit or credit card and then using these details to pay for items online. With contactless technology they only need to have the device close to your card so it is possible for them to intercept your details while your cards are in your pocket or bag.
    In general, to buy items online the three digit CVV security code on the back of the card is needed along with the cardholder’s name but this is not always the case and some items can be made bought without these.

    Contactless payment security, concerns and considerations
    https://www.lovemoney.com/guides/75138/contactless-card-payment-security-concerns-considerations-safety-fraud
    Contactless “skimming” is a fraud risk
    While there may be no hard evidence of contactless based fraud, this doesn’t take into consideration if card details are stolen via contactless for later use – better known as “skimming”.
    Using widely available technology, or even a smartphone app, criminals can wirelessly read data from your contactless card without charging you a penny.
    In most cases, the data includes the full 16-digit card number, the card type (Visa, MasterCard, or similar), the issuing bank, the expiry date, the card owner’s name, and in some cases (worryingly) a mini-bank statement.
    With this data, it’s possible for criminals to create a cloned card with the original card details for use at older ATMs, shops, or even websites with poor security checks.
    Alternatively, they could simply collect thousands of card details with the intention of selling them on to the highest bidder.
    As there’s no financial transaction taking place, there’s no record of how many times it’s been read wirelessly, where it was read, by whom, and what their motive was.

    • jeszcze raz punkt 3)
      Nie trzeba mieć terminala aby przeprowadzić atak.
      Jeden smartphone obok terminala, drugi smartphone przy karcie/kieszeni ofiary, oba telefony komunikują się przez internet. W ten sposób można płacić bezpośrednio czyjąś kartą:
      Relaying EMV Contactless Transactions Using Off-The-Self Android Devices
      https://www.youtube.com/watch?v=oW1BNsYTQTk
      fragment od 7:25 do 11:55

    • jeszcze raz punkt 2
      Don’t use public Wi-Fi for online banking in South Africa 15 February 2020
      https://mybroadband.co.za/news/banking/338824-dont-use-public-wi-fi-for-online-banking-in-south-africa.html
      South African banks have advised against using public Wi-Fi connections for online banking.
      This follows a recent statement from ESET Southern Africa CEO Carey van Vlaanderen, who warned that South Africans should be wary when connecting to public hotspots.

  21. 0, 1, 2 – bo dziś jest dzień Bezpiecznego Internetu i nic złego dziś nie ma prawa się Wam stać.

    (joke)

    Bezpieczny internet (dla danego człowieka) to taki, w którym nie da się powiązać informacji z różnych miejsc, serwisów społecznościowych, baz danych oraz stron i uzyskać w ten sposób całościowy profil danej osoby. Niestety, zdecydowana większość ludzi chwali się w sieci samochodami, mieszkaniami, datą wyjazdu na odległe wakacje, wysyła skany dokumentów na każde żądanie, klika we wszystko jak popadnie oraz nie weryfikuje próśb o dopłatę czy pożyczkę od starego dawno nie widzianego znajomego, a na deser stosuje wszędzie to samo albo bardzo przewidywalne hasła i nie używa 2FA – a potem zdziwienie, że to jednak nie był znajomy tylko ktoś inny, że dane np. z dowodu osobistego latają po internetach i ktoś wziął kredycik, że było włamanie…
    Sorry za offtop :-)

  22. Przejrzałem artykuł i odpowiedzi, i widzę, że odpowiedzi są sztampowe. Powiedziałbym socjotechnicznie przewidywalne i konformistyczne.

    Podstawowa zasada włamu polega na znalezieniu niezabezpieczonego miejsca i użyciu go w sposób niezauważony. Dlatego jeśli mamy możliwość podsłuchać klawiaturę PCta z 2ch kilometrów (na tyle sieje fala gdy wbijamy klawisze i takie włamy były już robione), to po jaki ch.j włamywac się komuś do PCta chocby wirusem?
    Jeśli monitor daje sie podsłuchiwać “anteną-parasolką” z kilkuset metrów (takie testy też były robione) to po co trojan, jeśli fachowiec ‘widzi’ to, co mamy na ekranie?

    Problem bezpieczeństwa nie jest tam, gdzie się gawiedzi wydaje a włamywanie się do kart jest co najmniej dziwne, skoro karty dają sie legalnie odczytać w każdym sklepie, w którym dajemy kartę do reki sprzedawcy/kelnerowi albo przesyłamy dane karty do jakiegokolwiek sklepu.
    Po co łamać, skoro sami dajemy dane???

    PS
    Codziennie mam w rękach papiery osób, które same mi je wręczają, bym przeczytał: imie, nazwisko, adres, pesel …a czasem duuuuużo więcej danych.
    Mitnick kilkadziesiąt lat temu pisał: źródłem wycieku jest człowiek, a nie system.

    Ja boje sie głupich urzędników, lekarzy, prawników i policjantów, którzy mając gównianą wiedzę o bezpieczeństwie noszą moje dane w laptopach/telefonach i je “gubią”.
    Boje sie projektantów i adminów baz rządowych, skarbowych i zusowskich, który źle wykonują swoją pracę lub zostali kupieni, by ją źle wykonać.

    Dlaczego USA już nie wymaga wizy? Bo skanuje nasze dane w sieci i wie wcześniej niż my sami, że nasz znajomy był w Iranie.

    3 rady na dzien bezpiecznego internetu? Dam jedną: nie róbcie sobie jaj.

  23. 0️⃣ Nie musicie regularnie zmieniać haseł.
    Wystarczy że używasz odpowiednio zabezpieczonego (przechowywanego), złożonego i niepowtarzalnego hasła (np. wygenerowane w generatorze haseł) które nie jest wykorzystywane nigdzie indziej. Natomiast dobrze jest monitorować bezpieczeństwo naszego hasła na stronach udostępniających informacje o prostych, znanych i złamanych hasłach oraz tych ujawnionych z przecieków.

    1️⃣ Nie musicie unikać otwartych sieci Wi-Fi.
    Należy jednak pamiętać że korzystanie z otwartej sieci może wiązać się z podglądnięciem naszej aktywności w internecie.
    Dlatego korzystanie z takiej sieci należy traktować jakby ktoś siedział cały czas obok nas i patrzył nam na monitor. Z tego powodu najlepiej nie logować się np. do konta bankowego.

    2️⃣ Nie musicie używać osłonek anty-RFID/NFC na karty platnicze.
    Ponieważ płatność kartą to obecnie jeden z najbezpieczniejszych sposobów płatności. W przypadku nieautoryzowanego użycia karty i kradzieży środków – operatorzy mają możliwość cofnięcia takiego nadużycia.

  24. Ad 0. W przypadku częstego zapominania hasła łatwiej je zdobyć podczywajac się za pomocą fałszywych wiadomości o zmianie hasła…
    Ad 1. Dzisiaj już nawet logując się do jakichkolwiek serwisów wszystkie dane szyfrowane są przed opuszczeniem w urządzeniu. Tak więc mogą sobie nasłuchiwać.
    Ad 3. Trefną transakcję można łatwo zareklamować w banku.

  25. karty maja opcje chargeback’u. kazda tranakcje mozna reklamowac,hasla trzeba miec unikatowe do kazdej strony, poza tym trzeba robote trzeba zwalic na managera hasel – pamieta sie tylko haslo do managera, a to czy haslo trzeba zmoeniac czy nie to sa pozory bezpiecznego korzystania z poazczegolnych serwisow, jak sie ma sciagnieta baze to bazy typu rainbow sprawe zalatwia, socjoinzynieria jeat bardziej skuteczna niz zgadywanie hasel, bez vpnasieci publiczne nie sa az tak bezpieczne, https mozna odszyfrowac, zielona klodka to tylko znak ze sesja jest szyfrowana, waszy firmy moga korzystac z rozwiazan co podgladaja trafik uzytkownikow odszyfrowuja i szyfrujac sesje na nowo, co wiec stoi na przeszkodzie udawa siec publiczna o nazwie identycznej do prawdziwej sieci? kiedy ostatnio sprawdzaliacie ssha256, sha1, sn strony logowania do banku, czy potwierdzalisci na infolinii zmiane certyfikatow?

  26. 0- nawet najlepsze hasła mogą być skompromitowane w dowolnym momencie,
    1- większość logowań idzie po https, na resztę jest VPN,
    2- póki co opłacalność ataków na płatności zbliżeniowe jest mała wobec kosztów ich przygotowania i ryzyka wykrycia sprawców.

  27. Zaraz, zaraz… Widzę, że już się pojawiają odpowiedzi, do mojego punktu widzenia. Cieszę się bardzo, bo już myślałem że będę odosobniony w poglądach. Mimo odmiennej narracji, liczę na darmową wejściówkę na wykład o tym jak się nie dać…

    Do rzeczy. Moim zdaniem:

    ad 0) – Nie ma potrzeby REGULARNEJ zmiany haseł.

    Gdybam sobie bez poparcia, że wraz z powszechniejszymi generatorami skomplikowanych haseł, spadł udział ich łamania metodami słownikowymi czy siłowymi. Jeżeli wystąpił wyciek “od wewnątrz” wykorzystujący błąd dostawcy usługi lub “od nas” poprzez infekcję stanowiska to nie wiadomo kiedy / czy w ogóle, się o tym dowiemy. Zmienianie haseł to mimo wszystko dobra praktyka.

    ad 1) – Ostrożności nigdy za wiele. Hotspoty dzielą się na takie, które ktoś kiedyś “ogarnął” i takie “z przypadku”.

    Te ogarnięte mają przeważnie jakoś filtrowany ruch, jest kolejkowanie, separacja klientów, tylko że przeważnie jest to na zasadzie – zrobienie, działa, zapominamy (Polopiryna z SDI). Aktualizacje? Update? Analiza ruchu? Może co najwyżej do profilowania.

    Te z przypadku? Cóż… gro telefonów i laptopów nie jest łatana na bieżąco. W sieci lokalnej można wiele.

    Również w kwestii ruchu sieciowego. A decydując się na bramę i DHCP (to nie tylko DNS), można być ofiarą czegoś co z nazwy kojarzą chyba wszyscy “man in the middle”. I niech argument o HTTPS w tym przypadku też upadnie, bo rozprucie SSL (chociażby przez degradację) to w sytuacji skompromitowannej “bramy”, wykonalne i realne.

    Częściowo pomocny będzie jakikolwiek tunel VPN. Ale to nie jest lek na wszystko.

    ad 3) nie wiem, nie praktykowałem.

    Jedyne co, to potwierdzam że można blokować ;-) Kupiłem fajny portfel (i tylko dlatego, że fajny) anty-RFID. Przepustka zblizeniowa nie działa.

    PS. Jak we wszystkim trzeba kalkulować… wygodę! Paranoikom pewnie nic nie pomoże. Ale jestem zdania, że uproszczenie, bez wskazania ryzyka to droga do katastrofy.

    PS2. Kiedyś uczono aby zaczynać od blokowania wszystkiego. Więc może i stąd z założenia moje podejście do Waszego konkursowego “wyzwania”?

  28. Bo wszyskie trzy matody dają jedynie złudne wrażenie bezpieczeństwa, będąc nieistotną rutyną wobec obecnych realnie niebazpiecznych luk w zachowaniu.

  29. Im częściej zmieniasz – Tym szybciej stosujesz schemat.
    Nieważny kurier – ważne, w jak szczelnym opakowaniu jest przesyłka.
    Niezwykle trudno zostać anonimowym właścicielem czytnika.

  30. Lekki offtop – w jaki sposób formularze kontaktowe niebezpiecznik.pl są chronione przed botami? ( Proszę rozwiąż równanie 5+3=….) Czy to nie jest teatr bezpieczeństwa? reCaptha chyba nie jest problematyczna?

    • W wystarczający. Na tym polega analiza ryzyka. W sumie pytanie “wyjaśnij dlaczego tak” to dobre pytanie na rozmowę rekrutacyjną, żeby zbadać sensowność kandydata. Dzięki za inspirację.

    • Czyli podsumowując, dopuszczacie pewną ilość spamu, żeby ułatwić użytkownikom dodawanie komentarzy?

    • No cóż, na pewno nie brakuje ludzi, którzy na widok upierdliwej recaptchy stwierdzą “jednak nie zależy mi tak bardzo na wysłaniu tej wiadomości” i zrezygnują

    • A widziales kiedys spam na niebezpieczniku w komentarzach? Ja nigdy, a czytam regularnie od kilku lat. Z moich obserwacji wynika, ze w jakis sposob tworza zaufany profil uzytkownika albo jego sieci, lub maila.

    • @Grzegorz: W sumie nie wiem, bo nie lubię narzędzia od G, ale ReCaptha może nie lubić przychodzących z TOR-a – albo na odwrót ;-)
      Poza tym jeśli wziąć na dwie szale równowagę pomiędzy możliwością otrzymania niechcianej poczty a możliwością, że coś istotnego przesadnej czułości automat nie przepuści, to chyba łatwo wyciągnąć wniosek praktyczny.

    • Na pewno spam nie jest tu dużym problemem, ale to jeszcze nie oznacza, że nie ma go wcale i moderatorzy nie mają przez to jakiejś dodatkowej roboty, której mogliby uniknąć przy mocniejszych, ale bardziej uciążliwych dla użytkowników zabezpieczeniach.
      Poza tym odnosiłem się bezpośrednio do wypowiedzi Piotra, który wspomniał o analizie ryzyka, a ta polega m.in. na tym, że dopuszczasz zagrożenia płynące z pewnych rozwiązań, jeśli korzyści z nich są odpowiednio duże, a ostateczny bilans jest dla Ciebie zadowalający.
      Nie siedzę oczywiście w głowie piotra, ale tak sobie gdybam, że jeśli w ogóle nie mieliby problemu ze spamem, napisałby raczej, że stosowana metoda po prostu się sprawdza, a nie odnosiłby się do analizy ryzyka.

    • Oczywiście nie kłóci się to całkiem z tym, co napisałeś. W tym przypadku analiza ryzyka może też oznaczać, że akceptują ryzyko, że ktoś poniesie trochę wysiłku, żeby zostać oznaczonym jako zaufany użytkownik i dopiero wtedy użyć bota. Taki, siłą rzeczy bardziej spersonalizowany atak jest nieco mniej prawdopodobny i pewnie redakcja zakłada, że daliby sobie radę z potencjalnymi konsekwencjami :)

    • Widzę, że przypadkiem napisałem imię Piotra z małej litery. Czy mam się zacząć czuć niebezpiecznie? :)

  31. 0. Zaczynamy generować trywialne hasła. Ważniejsze od częstych zmian jest posiadanie niepowtarzalnego hasła do każdego serwisu. Wyciek z jednego serwisu nie spowoduje włamania na inne serwisy. Jednak niepowtarzalność powinna iść w parze z nieszablonowością. Wyciek z 2 serwisów może pokazać, że nasze hasła to połączenie nazwy kamienia szlachetnego z imieniem kucyka z My Little Pony, co znacznie zmniejszy zakres wymaganych prób zgadnięcia hasła do pozostałych serwisów. Nawet wyciek z jednego serwisu może zasugerować, że hasła mamy szablonowe.
    1. Większość stron jest szyfrowana, więc podsłuchiwanie komunikacji w sieci publicznej na nic się nie zda. Ponadto sieci zahasłowane mogą podsłuchać wszyscy znający hasło, więc hasłowanie sieci z ogólnodostępnym hasłem to tzw. teatr bezpieczeństwa.
    2. Karty płatnicze to najbezpieczniejsza forma płatnicza. Kwoty powyżej 50zł wymagają pinu, a nieautoryzowane płatności można zareklamować korzystając z chargeback.

  32. Pytanie trochę bardziej do wykładu, niż tego artykułu, ale spróbuję:

    Czy karty płatnicze (debetowe) różnią się pod względem bezpieczeństwa użytkowania od kart kredytowych? Mam wrażenie, że mówiąc o “kartach” praktycznie nikt nie robi tego rozróżnienia, a w jednym wypadku używasz pieniędzy swoich, w drugim pieniędzy banku, które dopiero później spłacasz swoimi, wydaje się więc logiczne, że o swoje pieniądze bank może dbać bardziej, ale jak to jest w praktyce? Pytam, bo się nie znam

    • Debetowa jest podpięta pod Twój rachunek. I w przypadku nieautoryzowanej transakcji możesz stracić wszystko to, co masz na rachunku. Kredytowa to pieniądze banku plus kilka “bonusów”, związanych z tym, że np. hotele lub wypożyczalnie uważają iż pokazanie takiej karty to większa gwarancja na ściągnięcie należności za ew. szkody.

    • Może się zdarzyć, że klient będzie miał na rachunku kilka złotych i bardzo duży limit na karcie kredytowej …
      Większość banków pozwala ustawić dzienne limity transakcji, osobne dla wypłat w bankomacie, płatności w sklepie oraz płatności w internecie. Moim zdaniem warto mieć ustawione takie limity na rozsądnym poziomie zarówno dla karty debetowej jak i kredytowej. Można je w każdej chwili zmienić. Klient niby odpowiada za straty do 50 euro, ale czasami banki robią z tym problemy.

  33. 0 – Jak wycieknie to hasło aktualne – bez względu na to, ile razy było zmieniane!

    1 – Obojętne czy to twój ISP czy WiFi na lotnisku – jest to sieć (za przeproszeniem) PUBLICZNA! Jak również sieć, w której działa serwer, z którym sie łączysz i wszystkie sieci po drodze. Nie kontrolujesz ich i należą do róznych podmiotów. Odgórnie załóż, że każdy pakiet może zostać w dowolnym miejscu przechwycony lub podmieniony bez twojej wiedzy. Tylko end-to-end security załatwia sprawę.

    2 – Zawsze możesz skorzystać z procedury chargeback.

  34. 0,1,2 – najlepiej to nie wychodzić z piwnicy ;)

  35. 0-lepiej korzystać z managera typu polecany przez Was keepass. Generuje on hasła, których nie musimy pamiętać, są trudniejsze niż to co najczęściej wymyślimy i nie będą się powtarzać.
    1-korzystanie z vpn takiego jak polecany przez Was NordVPN sprawia że nawet w publicznych sieciach można czuć się bezpiecznie bo nikt nie podsłucha naszej transmisji bo będzie szyfrowana.
    2-Nie ma to sensu, bo urządzenie do skopiowania karty jest droższe niż transakcja zbliżeniowa bez pinu, a poza tym dla danej karty byla by to jednorazowa transakcja. Poza tym ktoś musiałby bardzo blisko przy łożyć urządzenie do naszej karty.

    • 2. Do płatności zbliżeniowych zamiast karty wykorzystać poleconego przez was Iphone’a ;)

  36. Będzie skrótowo.
    1. Stosuj manager haseł do generowania i przechowywania haseł.
    2. Nie bój się wifi, stosujVPN.
    3. Płać kartą w internecie. Chroni Cie charge back.

  37. Witam,
    Co do stwierdzeń “Nie musicie regularnie zmieniać haseł” oraz “Nie musicie używać osłonek anty-RFID/NFC na karty platnicze” raczej nie mam zastrzeżeń. To do stwierdzenia “Nie musicie unikać otwartych sieci Wi-Fi” mam pewne wątpliwości.
    Na początku nadmienię że nie ma znaczenia czy sieć jest zabezpieczona hasłem czy nie, jeżeli jest to sieć której nie znamy, to powinno się uważać.
    Zgadzam się że jest HHTPS, VPN, szyfrowany DNS. Ale nie wszystkie hot-spoty a tym bardziej zabezpieczone hasłem obce sieci bezprzewodowe, maja izolacje klientów. O ile korzystamy z programów typu antywirus, firewall, to możemy czuć się w miarę bezpieczni. Jednakże czy mamy pewność że wszyscy użytkownicy nietechniczni mają wszystkie aplikacje aktualne? Albo nie mają zainstalowanego serwera FTP z hasłem admin, otwartego RDP, etc, o których nie ma zielonego pojęcia.
    Nie sądzę że zwykłym zjadaczom chleba, mówienie “Nie musicie unikać otwartych sieci Wi-Fi” jest dobrym posunięciem.

  38. 1) Nie musicie unikać otwartych sieci Wi-Fi.
    Nie znam żadnych wiarygodnych badań potwierdzających szkodliwość promieniowania emitowanego przez routery Wi-Fi. Tak więc nie trzeba unikać otwartych sieci Wi-Fi i można spokojnie spacerować w zasięgu takiej sieci w szczególności w zasięgu otwartej sieci Wi-Fi.
    https://www.gov.uk/government/publications/wireless-networks-wi-fi-radio-waves-and-health/wi-fi-radio-waves-and-health

  39. Wiem, że po terminie ale:
    ad 0) – Jeden menadżer to zarzadzania wszytskimi hasłami – jedno mocne hasło i masa unikalnych haseł do dowolnych systemów, zmeniamy jak wiemy że coś wyciekło.
    ad 1) – Jeden VPN do szyfrowania wszystkiego i wszędzie + https też praktycznie już wszędzie
    ad 3) Jeden – nie nie ma jednego. Potrzebny gaz peiprzowy (nie wiem czy legalny w Polsce), trening sprintu na 100m – 400m oraz kurs Krav Maga – celem obrony ucieczki przed najczęstszym przypadkiem, kiedy ktoś w ciemnej uliczce grzecznie się pyta czy mamy jakiś problem.

  40. Moje 3 punkty:

    1. Hasła zmieniam. Do każdego serwisu mam jedno niepowtarzalne hasło nie używane w żadnym innym serwisie.

    2. Z hotspotów WiFi korzystam jedynie do przeglądania www, nigdy nie loguję się do żadnego serwisu tym bardziej poczty czy bankowości internetowej. W smartfonie cały pozostały ruch (poza przeglądarką) wycięty firewallem.

    3. Korzystam z futerału na karty RFID, działa w 100 % Sprawdzone wystarczy dla testu taką kartą w futerale spróbować zapłacić. Pikachu nie działa znaczy futerał / osłona spełnia swoje zadanie.

    Pozdrawiam, szczególnie ostrożnych. Takie czasy…

  41. Ogólnie: wierząc w mity i stosując “środki zapogawcze” do nich, ludzie nie zwracają uwagi na prawdziwe zagrożenia.

    2. W praktyce atak na zczytywanie kodów na odległość jest trudny/nieopłacalny..
    A jeśli zgubi się kartę lub ktoś ją ukradnie, i tak można ją wykorzystać. Niektórzy myślą tylko wtedy o limicie płatności zbliżeniowych, ale jest gorzej – domyślnie karty mają możliwość płatności np. w internecie z użyciem kodu CCV/CVC.

    Niebezpiecznik w takiej sytuacji sugeruje (np. na swagu ze szkolenia, gdzie dają swoją osłonkę :D) ustawić limity, ale sam pisał kiedyś o wadliwych implementacjach limitów – por. https://niebezpiecznik.pl/post/masz-limit-na-karcie-platniczej-albo-3-d-secure-sorry-da-sie-je-obejsc/
    Drugą radą z tego samego swagu jest przeglądanie wyciągów i reklamowanie nieznanych transakcji.

    Moją radą będzie natomiast (choć też częściowo doradzane kiedyś przez Niebezpiecznik (https://niebezpiecznik.pl/post/apple-pay-iphone-polska-bezpieczenstwo/) – płatności zbliżeniowe telefonem.
    _O ILE_ ma się aktualny system w telefonie (dlatego Apple ma tu jednak przewagę dla zwykłego użytkownika), mocny dostęp do niego (palec spoko, ale jako alternatywę ma się prosty pin, to gratulacje…) i nie zapomina o innych zasadach bezpieczeństwa. – Bo wtedy mamy to samo, co karta zbliżeniowa, ale bez płatności internetowych, płatności zbliżeniowe często też tylko po odblokowaniu/potwierdzeniu (zależy czy w telefonie moduł NFC działa na zablokowanym ekranie czy nie), do tego w obecnych czasach bez telefonu jak bez ręki i się go pilnuje (uzależnienie od technologii ma swoje plusy w tym przypadku!).

    1. W obecnych czasach większość stron ma połączenia przez HTTPS, więc atakujący najwyżej zobaczy metadane połączenia (wciąż mogą użyteczne, ale nie wprost). Man-in-the-middle przy HTTPS wymagałoby dodania zaufanego CA. Lepiej uczyć ludzi rozpoznawania prawdziwych stron i nieignorowania ostrzeżeń, że coś jest nie tak.

    Oczywiście najlepiej to w ogóle wtedy stosować VPNa – VPNy są coraz tańsze, niektóre przeglądarki (na pewno Opera coś w tym kierunku robiła) wprowadzają proste wbudowane VPNy.

    0. Bez menadżera haseł częste ich zmienianie oznacza, że trzeba je samemu pamiętać. Będzie to więc skutkowało ustawianiem prostych haseł i używaniem tego samego hasła w kilku miejścach.
    Dobre hasło to hasło unikatowe i długie. (A najlepiej w połączeniu z unikalnym loginem, jeśli login nie jest nazwą wyświetlaną dla innych.)

    Jest wiele menadżerów haseł, w tym darmowych. Niebezpiecznik zawsze poleca KeePassa, ale dla nietechnicznych ja bym poleciła raczej np. LastPassa – tak, trzyma w chmurze, ale dla nietechnicznych to plus, bo nie muszą ręcznie synchronizować. Po prostu w takim przypadku hasła krytyczne trzyma się w głowie (pst, hasło unikatowe i długie to np. fraza i coś, byleby fraza nie była do zgadnięcia https://www.xkcd.com/936/)

  42. Washington Post właśnie “odkrył” to:
    https://wiadomosci.onet.pl/swiat/usa-agencje-cia-i-bnd-szpiegowaly-inne-panstwa-za-pomoca-firmy-crypto/yzs8x8k

    Gdy to przeczytałem, to sie uśmiałem – na początku 90tych miałem kontakt w firmie, która próbowała sprzedawać podobne cuda do polskich banków. Już na samym początku powiedziano im, ze drugi komplet kluczy zostaje w powiernictwie w USA. Otwartym tekstem. Zresztą czemu nie, skoro nasz wywiad też był o tym informowany otwartym tekstem – byli na tych samych szkoleniach.

    …no i teraz dziennikarze ‘odkrywają’ sprawę. Odkrywają??? Serio? Otóż NIE.
    Po prostu CIA wystąpiło z układu w 2018. W 2019 sprzęt stał się im nieprzydatny (mają lepszy i głębiej zaszyty). Tak więc skompromitowali Crypto, by przestraszyć kupców i ich zblamować, a zarazem uwiarygodnić jakąś inną firmę (metodę) w której mają udział.

    …ktoś używa Ixquicka? Podobno bezpieczny :-) A ktoś pamięta, że jest to dzieło holenderskiego wywiadu? Tak, tego kraju, w którym za samowolne szyfrowanie jest wyrok.

    Bezpieczny internet nie istnieje.

    • > na początku 90tych (…) próbowała sprzedawać podobne cuda do
      > polskich banków. Już na samym początku powiedziano im, ze
      > drugi komplet kluczy zostaje w powiernictwie w USA.

      Jaka była reakcja przedstawicieli banków?

      > Zresztą czemu nie, skoro nasz wywiad też był o tym informowany
      > (…) byli na tych samych szkoleniach.

      I polskie służby nie buntowały się że ktoś będzie przechwytywał informacje finansowe i dane osobowe Polaków?

      > …no i teraz dziennikarze ‘odkrywają’ sprawę. Odkrywają??? Serio? Otóż NIE.
      > Po prostu CIA wystąpiło z układu w 2018.

      O tylnych furtkach w produktach Crypto AG wiadomo nieoficjalnie od lat 90. (kwestia sprzedaży do Iranu), a oficjalnie od 2015 r. (raport o D. Hammaskjoldzie). Obecna wrzawa nic nie wnosi (poprawcie mnie jak się mylę).

      > W 2019 sprzęt stał się im nieprzydatny

      No chyba przydatny, skoro niektóre państwa (i chyba, o zgrozo, także Polska) nadal korzystają z Crypto AG.

      > (mają lepszy i głębiej zaszyty).

      Informacje od Snowdena i późniejsze wskazują, że “properly implemented strong crypto works”. Nic nie wiadomo o złamaniu PGP czy OTR.

      NSA żeby uzyskać dostęp do treści, wykrada klucze szyfrujące z kart SIM, przechwytuje sprzęt sieciowy np. Cisco żeby podmienić sprzęt, itd. Czy dobrze zrozumiałem że masz dowody na, jak piszesz, “głęboko zaszyte” furtki od służb w powszechnie używanych urządzeniach?

      > …ktoś używa Ixquicka? Podobno bezpieczny :-)

      Nic co powierzasz niezaszyfrowane cudzemu programowi / serwerowi / sprzętowi nie można uznawać za poufne.

      Plusem jednak tej wyszukiwarki jest nieśledzenie ciastkami i javaskriptem, w odróżnieniu od potwora Google.

      > A ktoś pamięta, że jest to dzieło holenderskiego wywiadu?

      Plotki znam ale można prosić o źródło?

      > Tak, tego kraju, w którym za samowolne szyfrowanie jest wyrok.

      Pierwsze słyszę. Wskaż przepis w holenderskim prawie.

  43. Zadam Wam wszystkim jedno niepopularne pytanie:
    A co jak Pani Krysia z księgowości nie ma VPN i nigdy o nim nie słyszała i nie wiem do czego służy a ni jak go skonfigurować?
    Tak wiem, Wy tu wszyscy “fachowcy”, każdy ma VPN, VPS, używa szyfrowania, 2FA i wszystkiego innego, ale jakim procentem społeczeństwa jesteśmy? 1? 0,5? 0,25? A co z 99%? Reszta społeczeństwa nie ma pojęcia o czymś takim jak VPN, więc sorry, ale rada, “VPN jest lekarstwem na całe zło” jakoś do 99% nie trafia ….

  44. 0. Użytkownicy uproszczą sobie hasło, aby zmiana nie była drastyczna, np.: oskar2020-02
    1. A co za różnica czy jest otwarte czy nie? Poziom zaufania nie powinien wzrastać z powodu tego, że HotSpot jest zabezpieczony. Hotel, restauracja… a i tak nazwę nadajesz dowolną, hasło jest tam znane i ogólnie dostępne. Myślisz, że to zaufana sieć McDonalda, a łączysz się do “szpiega”.
    2. Chargeback

  45. Nie trzeba regularnie zmieniać haseł, bo przy ich mnogości regularne zmiany doprowadzą do ich upraszczania, typu tomek2020 albo luty2020 – wtedy każdy znający jedno z poprzednich haseł łatwo odgadnie obecne. Skrajnym skutkiem wymuszania częstej zmiany haseł jest ich zapisywanie na kartkach.

    Nie musicie unikać otwartych sieci Wi-Fi, ufając szyfrowaniu transmisji. Ale też intencje ewentualnego hakera musiałyby zawężać się do zasięgu rutera wifi co jest względnie nieefektywne, bo o wiele łatwiej robić przekręty na blik mając zasięg na cały świat. Hakerom chodzi głównie o nasze pieniądze, a zabezpieczymy je w większości przypadków posługując się ubezpieczonymi sposobami płatności, gdzie prym wiedzie karta płatnicza.

    Nie trzeba używać osłonek na karty płatnicze, bo kradzież tym sposobem jest skrajnie nieefektywna przy ilości włożonej pracy – każdy terminal ma podpięty NIP firmy itp. Ostatecznie transakcje kartowe i tak są ubezpieczone a procedura chargeback dostępna dla wszystkich – wspiera posiadaczy kart w takim przypadku ale też wielu innych, nawet jeszcze nieznanych.

  46. Poza Redakcją Niebezpiecznika.pl prawie nikt nie korzysta z 2FA oraz VPN. Więc te ,,rady” sami sobie prezentujecie :-))
    Dla reszty społeczeństwa zmiana haseł od czasu do czasu oraz ostrożność z sieciami publicznymi jest jak najbardziej uzasadniona.
    Dostałem nagrodę?

  47. Ad. 0
    Menedżer haseł

    Ad. 1
    VPN

    Ad.2
    Chargeback :-)

  48. Ja nie mam odpowiedzi a pytanie: jaki sens ma stosowanie “silnych” haseł na stronach internetowych? Zakładam, że używam menadżera haseł i na każdej stronie hasło jest inne. Jeśli ktoś będzie próbował brute-force’ować hasło przez stronę, będzie zblokowany, jeśli włamie się na stronę i może odwrócić hasło z hasha, i tak ma pewnie dostęp do reszty danych na serwerach, więc peszek, ale hasła nie użyje nigdzie indziej. Czy nie wystarczy stosowanie naprawdę mocnych haseł tam, gdzie ktoś ma potencjalnie fizyczny dostęp (np. do szyfrowania dysku)?

  49. Hmmm.
    Bazując na wszystkich powyższych komentarzach i tym, co się działo i dzieje w świecie cyfrowym w ostatnim czasie można dojść do nowego wniosku:
    0, 1 i 2: było już tyle wycieków baz danych i włamów, a urządzenia i oprogramowanie jest tak dziurawe, że w sumie nic nie musisz robić, bo jakkolwiek byś się nie zabezpieczał i tak jesteś w czarnej D… ;o)

  50. 0. Regularna zmiana haseł upraszcza je lub powoduje ich zapis na karteczkach, które są ogólnodostępne, czyli wbrew pozorom zmniejsza to ich bezpieczeństwo. Należy zaznaczyć, że hasła najczęściej trzymane są w formie zaszyfrowanej w bazie i prędzej czy poźniej wyciekną. Hasła „z definicji” i dobrej praktyki powinny być różne od siebie, o dużej złożoności i zmieniane, gdy są najzwyczajniej słabe, zostały złamane. O regularności zmiany haseł można mówić w przypadku dwóch kluczowych usług – poczty elektronicznej czy usług bankowych, które nawiasem mówiąc powinny być dodatkowo chronione uwierzytelnieniem dwuskładnikowym. Najlepszym możliwym rozwiązaniem jest zastosowanie menadżera haseł, czy to lokalnie czy w chmurze, z dodatkowym czynnikiem uwierzytelniającym.

    2. Nie trzeba unikać otwartych sieci, gdyż większość stron jest domyślnie szyfrowana i na przykład takie Google stara się zwiększyć ilość HTTPS. Mamy też oczywiście VPN’y. Ale najważniejsze… nie musimy unikać naprawdę tych sieci, jeśli nie podajemy danych bardzo wrażliwych, a robimy proste, rutynowe czynności. ;-)

    3. Osłonki na kartę to chwyt marketingowy, który oparł się na lęku przed oszustwem, który jest praktycznie mało prawdopodobny. Jeśli dane karty wyciekają, to zazwyczaj przez internet (niefizycznie), ale nawet i wtedy chronieni jesteśmy przez chargeback i wszystkie utracone środki możemy reklamować.

  51. 1. hasło zawsze może wyciec, więc jego zmiana nie chroni nas przed nieautoryzowanym dostępem a ew. trwałym nieautoryzowanym dostępem. Dużo ważniejsze i w sumie najbardziej istotne jest używanie trudnych i unikatowych haseł, a gdzie to możliwe używanie 2FA.
    2. praktycznie wszystkie strony dziś szyfruje ruch, dlatego podsłuchiwanie ruchu jest znikomym zystkiem dla ew. przestępców nawet, jeśli nie używamy VPN. Informacja na jakie strony wchodzę, nawet jeśli są to strony, którymi nie chcemy się chwalić jak witryny dla osób dorosłych nie ujawnią nawet naszych preferencji w doborze kontentu na takiej stronie.
    3. kradzieże z kart zbliżeniowych z kieszeni ofiary nie są praktykowane z powodu zbyt dużej ochrony ze strony banków.
    3.

  52. Kiedy rozwiązanie konkursiku??

  53. Podajcie proszę wyjaśnienia tych mitów. Mam szczególnie problem z otwartymi sieciami wifi (pkt. 1).

  54. Mam pytanie odnośnie haseł: czy hasło słownikowe ale za to długie można uznać za bezpieczne? Jak to wygląda z punktu widzenka ataku brute force? Czy program radzi sobie z odgadywaniem haseł w rodzaju:
    “MamSilneHaslo” i tym podobnych?

    A i przy okazji, co z konkursem? Czyżby udzielone odpowiedzi tak was przeraziły, że postanowiliście się wycofać? :)

    • “Program” oczywiście jako skrót myślowy dla wszelkiego oprogramowania wykorzystywanego do łamania haseł :)

Odpowiadasz na komentarz Krzysiek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: