
W pierwszym odcinku Poradnika BINGO staraliśmy się Wami nieco wstrząsnąć, pokazując, jak newralgicznym narzędziem jest smartfon. Udało się? Jesteście zmotywowani do zmian? Jeśli tak, to czas na stawienie czoła kolejnym zagrożeniom. W tym odcinku zaprezentujemy kilka narzędzi, które pomogą Wam zmierzyć się z konkretnymi wyzwaniami dotyczącymi bezpieczeństwa cyfrowego.
1. Zarządzanie hasłami
Wycieki haseł zdarzają się co dzień. To taki rodzaj zagrożenia, od którego może ucierpieć dowolne konto. Możesz nawet tego nie zauważyć i dane będą dalej wyciekać. Albo odczujesz to bardzo boleśnie, np. jeśli stracisz kontrolę nad profilem na Facebooku – swoim lub swojej organizacji. Na stronie Have I Been Pwned możesz sprawdzić, czy dane Twojego konta (loginy, hasła) wyciekły. Nieprzekonanym polecamy premierowy odcinek przygód hakera Janusza (Niebezpiecznik).
Jak sobie radzić z zagrożeniem? Przede wszystkim ustawiaj mocne hasła: długie, zawierające małe i wielkie litery, cyfry, znaki specjalne. Może to być też ciąg przypadkowych słów. Ale to nie wszystko: używaj różnych haseł do różnych usług i regularnie je zmieniaj. Wreszcie: bezpiecznie je przechowuj. Karteczka przylepiona do monitora odpada. Lepiej sprawdzi się jeden z programów do zarządzania hasłami (nazywanych też: portfelami do haseł, menedżerami haseł – nie należy ich mylić z opcją zapamiętywania haseł przez przeglądarkę internetową, która jest antytezą bezpiecznego przechowywania haseł), np. KeePassXC / KeePassDroid (wersja programu na telefony z systemem Android).
Korzystając z programu do zarządzania hasłami, możesz używać dowolnie trudnych haseł (choćby ciągu dwudziestu przypadkowych znaków) do setek usług, a pamiętać musisz jedno silne hasło matkę. Korzystasz z różnych urządzeń? To nie problem. Zaszyfrowany (hasłem matką) plik z hasłami możesz umieścić w chmurze czy na pendrivie.
2. Dwuetapowe/dwustopniowe logowanie
Możesz dodatkowo zwiększyć ochronę kont, włączając – gdzie to tylko możliwe – dwustopniowe logowanie. To metoda wymagana przez wiele systemów bankowości elektronicznej, a dostępna w różnych innych usługach. Polega na tym, że zalogowanie się do konta jest możliwe tylko po podaniu dwóch rodzajów haseł, np. hasło użytkownika + kod z tokena lub hasło użytkownika + kod SMS. Dzięki temu samo poznanie hasła nie wystarczy do włamania się na konto.
Opcja ta jest możliwa do włączenia w popularnych usługach: Google, Facebook czy Twitter.
3. Bezpieczne przeglądanie Internetu
Każda Twoja aktywność w sieci jest śledzona i zapisywana, naruszając nie tylko Twoją prywatność, ale też bezpieczeństwo informacji, które posiadasz. Reklamy w Internecie są nie tylko irytujące – bywają też nośnikiem złośliwego oprogramowania. Ciasteczka i skrypty śledzące są używane nie tylko przez strony komercyjne, ale i publiczne. Nie są od nich wolne także strony organizacji społecznych. Ale ciastko ciastku nierówne. Dwa przykłady:
- Strona panoptykon.org serwuje ciastka z narzędzia do mierzenia statystyk (Piwik), o czym informuje w polityce prywatności. Piwik Panoptykonu jest umieszczony na naszym serwerze, więc informacje o użytkownikach nie trafiają poza Panoptykon. Zbierane dane pomagają administrować stroną, zapewnić jej wysoką jakość merytoryczną, analizować, czy struktura strony nie zawiera błędów itd.
- Strona pozytek.gov.pl prowadzona przez Ministerstwo Rodziny, Pracy i Polityki Społecznej serwuje ciastka firmy Google. W polityce plików cookies informuje, że pliki te mogą służyć do personalizacji strony, dostosowywania reklam i śledzenia konwersji. Informacje o użytkownikach trafiają jednak na serwery Google’a, który poza tym gromadzi też dane o nich z wielu innych źródeł.
uBlock: dziennik żądań ze strony panoptykon.org
uBlock: dziennik żądań ze strony pozytek.gov.pl
Wśród organizacji społecznych korzystanie z narzędzi Google Analytics czy wtyczek Facebooka jest powszechne, co oznacza, że zaglądający na ich strony użytkownicy muszą się liczyć z tym, że informacje o nich zostaną przekazane dalej (dzięki third party cookies). Jeśli prowadzisz stronę internetową, zadbaj o prywatność i bezpieczeństwo Twoich odbiorców. Na co zwrócić uwagę?
Jak bezpiecznie przeglądać Internet:
- Wybierz bezpieczną przeglądarkę: Chromium, Firefox.
- Zadbaj o ustawienia chroniące prywatność: w ustawieniach przeglądarki włącz kasowanie ciasteczek podczas zamykania programu, włącz ochronę przed śledzeniem (opcja Do not track – chociaż nie wszystkie strony internetowe ją szanują), blokuj ciasteczka trzecich stron (ang. third party cookies), nie zapisuj haseł w przeglądarce i danych wypełnianych w formularzach).
Więcej o ustawieniach przeglądarki
- Zainstaluj w przeglądarce wtyczki, które blokują reklamy, chronią przed śledzeniem Twojej aktywności w sieci, pomagają zarządzać ciasteczkami:
- dla Firefoxa: HTTPS Everywhere, uBlock Origin, Disconnect. Dla zaawansowanych użytkowników też: Flashblock, Better Privacy, Cookie Monster, Self-Destructing Cookies, NoScript;
- dla Chromium: HTTPS Everywhere, uBlock Origin, Disconnect, Flashblock.
- Odinstaluj wtyczkę Adobe Flash lub wybierz w ustawieniach tryb „Pytaj o aktywację”.
- Przesiądź się na wyszukiwarkę, która nie zbiera informacji o Tobie: StartPage.com, DuckDuckGo.com. Więcej o alternatywnych wyszukiwarkach.
- Zadbaj o ustawienia usług, z których korzystasz w sieci, np. ustaw, kto może widzieć Twoje posty w mediach społecznościowych, wyłącz geolokalizację czy dopasowywanie reklam.
- Nie łącz kont: używaj osobnych kont i różnych adresów e-mail/nicków do różnych usług. Uważaj na wtyczki portali społecznościowych na innych stronach: nie „lajkuj”, nie komentuj i nie loguj się na innych stronach za pośrednictwem danych do logowania do portalu społecznościowego.
- Zachowaj zasady bezpieczeństwa dotyczące pracy na telefonie, które opisaliśmy w poprzednim odcinku Poradnika BINGO 1. (Nie)bezpieczny smartfon.
4. Szyfrowanie plików: 7zip
Przesyłanie plików z wrażliwymi informacjami to codzienność w organizacjach. Można to robić zaszyfrowanym e-mailem, ale ta opcja ma pewien minus – obie strony muszą opanować szyfrowanie e-maili. Inny, łatwiejszy sposób to szyfrowanie samych plików z informacjami. Sprawdzi się do tego program 7zip, dzięki któremu dostęp do plików będzie możliwy tylko po wpisaniu hasła.
Uwaga: hasło do odszyfrowania pliku powinno spełniać wymogi opisane w punkcie 1.: być trudne do odgadnięcia i bezpiecznie przekazane odbiorcy. Nie przesyłaj go w e-mailu razem z zaszyfrowanym załącznikiem! Przekaż je odbiorcy na żywo albo w zaszyfrowanej wiadomości tekstowej – do tego celu przyda się np. aplikacja Signal, o której pisaliśmy w 1. odcinku Poradnika.
Anna Obem
Współpraca: Małgorzata Szumańska, Anna Walkowiak, Izabela Meyza
Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski
Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% podatku na rzecz Panoptykonu.
<< Poradnik BINGO 1. (Nie)bezpieczny smartfon | Poradnik BINGO 3. Uwaga, kryzys! >> |
Komentarze
Chciałbym tylko wskazać że
Chciałbym tylko wskazać że opcja "do not track" to jedynie prośba wysyłana do przeglądanych stron o nie śledzenie użytkownika.
Określanie jej mianem "ochrony przed śledzeniem" nie jest poprawne i myślę że wprowadza czytelnika w błąd.
Coś jak parasol - chroni
Coś jak parasol - chroni przed deszczem, ale nie do końca. Zastrzeżenie dodane!
Dwustopniowe logowanie to nic
Dwustopniowe logowanie to nic innego jak ułatwienie inwigilacji - powiązanie konta w internecie z konkretnym użytkownikiem GSM (wcześniej już zarejestrowanym przez teoretyczne państwo).
Dlatego 2FA najlepiej zrobić
Dlatego 2FA najlepiej zrobić z tokenem np Yubikey.
Jeśli ktoś chce uniknąć
Jeśli ktoś chce uniknąć inwigilacji przez firmy internetowe, lepiej byłoby, gdyby nie korzystał z ich usług. Skoro jednak decyduje się na to, warto zastanowić się nad odpowiednim zabezpieczeniem dostępu.
Pani Anna Obem pisze:
Pani Anna Obem pisze:
Jeśli ktoś chce uniknąć inwigilacji przez firmy internetowe, lepiej byłoby, gdyby nie korzystał z ich usług
Nie do końca - są takie firmy, które świadczą płatne usługi od początku zaprojektowane do ochrony prywatności. Przykłady to przeróżne VPN'y, ale są też inne podmioty:
protonmail.ch
posteo.de
mailbox.org
tarsnap.com
jest jeszcze mykolab.ch
jest jeszcze mykolab.ch
@Piotr J. Poradnik BINGO jest
@Piotr J. Poradnik BINGO jest przeznaczony przede wszystkim dla organizacji społecznych. Staramy się pomóc im bezpieczniej korzystać z tych kanałów, które są dla nich ważne. A to te, gdzie są ich odbiorcy. Czyli m.in. Facebook i Twitter.
W komentarzach są już ciekawe podpowiedzi, jak zadbać o prywatność. Teoretycznie do 2FA można też używać służbowych nr telefonów - ale to też wydatki dla organizacji. Podpowiadając rozwiązania, musimy wziąć pod uwagę potrzeby i możliwości organizacji.
Logowanie dwuetapowe z
Logowanie dwuetapowe z telefonem nie jest do końca bezpieczne. Rozmowy i SMSy można podsłuchać. Może to zrobić nie tylko rząd lub operator.
> Logowanie dwuetapowe z
> Logowanie dwuetapowe z telefonem nie jest do końca bezpieczne. Rozmowy
> i SMSy można podsłuchać. Może to zrobić nie tylko rząd lub operator.
Dlatego warto mieć token sprzętowy, jak wspomniany YubiKey.
@Piotr J. pod warunkiem, że
@Piotr J. pod warunkiem, że zaufasz właścicielom tych usług.
@ Anna Obem (Fundacja Panoptykon): "Zainstaluj w przeglądarce wtyczki, które blokują reklamy, chronią przed śledzeniem Twojej aktywności w sieci, pomagają zarządzać ciasteczkami:"
W Firefoksie to są ROZSZERZENIA (extensions), a nie wtyczki.
Harlock: "pod warunkiem, że
Harlock: "pod warunkiem, że zaufasz właścicielom tych usług"
Oczywiście to dopiero wstęp. Podstawą jest szyfrowanie end-to-end. Ale lepiej mieć konto pocztowe płatne, u dostawcy, który stawia na prywatność. Opłata jest właśnie za to, że serwer pocztowy jest lepiej zabezpieczony i nie sprzedaje informacji o treści prywatnych maili. Konta te mają też różne inne fajne bonusy.
Dodaj komentarz