Poradnik BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia

W pierwszym odcinku Poradnika BINGO staraliśmy się Wami nieco wstrząsnąć, pokazując, jak newralgicznym narzędziem jest smartfon. Udało się? Jesteście zmotywowani do zmian? Jeśli tak, to czas na stawienie czoła kolejnym zagrożeniom. W tym odcinku zaprezentujemy kilka narzędzi, które pomogą Wam zmierzyć się z konkretnymi wyzwaniami dotyczącymi bezpieczeństwa cyfrowego.

1. Zarządzanie hasłami

Wycieki haseł zdarzają się co dzień. To taki rodzaj zagrożenia, od którego może ucierpieć dowolne konto. Możesz nawet tego nie zauważyć i dane będą dalej wyciekać. Albo odczujesz to bardzo boleśnie, np. jeśli stracisz kontrolę nad profilem na Facebooku – swoim lub swojej organizacji. Na stronie Have I Been Pwned możesz sprawdzić, czy dane Twojego konta (loginy, hasła) wyciekły. Nieprzekonanym polecamy premierowy odcinek przygód hakera Janusza (Niebezpiecznik).

Jak sobie radzić z zagrożeniem? Przede wszystkim ustawiaj mocne hasła: długie, zawierające małe i wielkie litery, cyfry, znaki specjalne. Może to być też ciąg przypadkowych słów. Ale to nie wszystko: używaj różnych haseł do różnych usług i regularnie je zmieniaj. Wreszcie: bezpiecznie je przechowuj. Karteczka przylepiona do monitora odpada. Lepiej sprawdzi się jeden z programów do zarządzania hasłami (nazywanych też: portfelami do haseł, menedżerami haseł – nie należy ich mylić z opcją zapamiętywania haseł przez przeglądarkę internetową, która jest antytezą bezpiecznego przechowywania haseł), np. KeePassXC / KeePassDroid (wersja programu na telefony z systemem Android).

Korzystając z programu do zarządzania hasłami, możesz używać dowolnie trudnych haseł (choćby ciągu dwudziestu przypadkowych znaków) do setek usług, a pamiętać musisz jedno silne hasło matkę. Korzystasz z różnych urządzeń? To nie problem. Zaszyfrowany (hasłem matką) plik z hasłami możesz umieścić w chmurze czy na pendrivie.

2. Dwuetapowe/dwustopniowe logowanie

Możesz dodatkowo zwiększyć ochronę kont, włączając – gdzie to tylko możliwe – dwustopniowe logowanie. To metoda wymagana przez wiele systemów bankowości elektronicznej, a dostępna w różnych innych usługach. Polega na tym, że zalogowanie się do konta jest możliwe tylko po podaniu dwóch rodzajów haseł, np. hasło użytkownika + kod z tokena lub hasło użytkownika + kod SMS. Dzięki temu samo poznanie hasła nie wystarczy do włamania się na konto.

Opcja ta jest możliwa do włączenia w popularnych usługach: Google, Facebook czy Twitter.

3. Bezpieczne przeglądanie Internetu

Każda Twoja aktywność w sieci jest śledzona i zapisywana, naruszając nie tylko Twoją prywatność, ale też bezpieczeństwo informacji, które posiadasz. Reklamy w Internecie są nie tylko irytujące – bywają też nośnikiem złośliwego oprogramowania. Ciasteczka i skrypty śledzące są używane nie tylko przez strony komercyjne, ale i publiczne. Nie są od nich wolne także strony organizacji społecznych. Ale ciastko ciastku nierówne. Dwa przykłady:

1. Strona panoptykon.org serwuje ciastka z narzędzia do mierzenia statystyk (Piwik), o czym informuje w polityce prywatności. Piwik Panoptykonu jest umieszczony na naszym serwerze, więc informacje o użytkownikach nie trafiają poza Panoptykon. Zbierane dane pomagają administrować stroną, zapewnić jej wysoką jakość merytoryczną, analizować, czy struktura strony nie zawiera błędów itd.
2. Strona pozytek.gov.pl prowadzona przez Ministerstwo Rodziny, Pracy i Polityki Społecznej serwuje ciastka firmy Google. W polityce plików cookies informuje, że pliki te mogą służyć do personalizacji strony, dostosowywania reklam i śledzenia konwersji. Informacje o użytkownikach trafiają jednak na serwery Google’a, który poza tym gromadzi też dane o nich z wielu innych źródeł.

uBlock: dziennik żądań ze strony panoptykon.org

uBlock: dziennik żądań ze strony pozytek.gov.pl

Wśród organizacji społecznych korzystanie z narzędzi Google Analytics czy wtyczek Facebooka jest powszechne, co oznacza, że zaglądający na ich strony użytkownicy muszą się liczyć z tym, że informacje o nich zostaną przekazane dalej (dzięki third party cookies). Jeśli prowadzisz stronę internetową, zadbaj o prywatność i bezpieczeństwo Twoich odbiorców. Na co zwrócić uwagę?

Jak bezpiecznie przeglądać Internet:

• Wybierz bezpieczną przeglądarkę: Chromium, Firefox.
• Zadbaj o ustawienia chroniące prywatność: w ustawieniach przeglądarki włącz kasowanie ciasteczek podczas zamykania programu, włącz ochronę przed śledzeniem (opcja Do not track – chociaż nie wszystkie strony internetowe ją szanują), blokuj ciasteczka trzecich stron (ang. third party cookies), nie zapisuj haseł w przeglądarce i danych wypełnianych w formularzach).

Więcej o ustawieniach przeglądarki

• Zainstaluj w przeglądarce wtyczki, które blokują reklamy, chronią przed śledzeniem Twojej aktywności w sieci, pomagają zarządzać ciasteczkami:
  • dla Firefoxa: HTTPS Everywhere, uBlock Origin, Disconnect. Dla zaawansowanych użytkowników też: Flashblock, Better Privacy, Cookie Monster, Self-Destructing Cookies, NoScript;
  • dla Chromium: HTTPS Everywhere, uBlock Origin, Disconnect, Flashblock.
• Odinstaluj wtyczkę Adobe Flash lub wybierz w ustawieniach tryb „Pytaj o aktywację”.

Więcej o wtyczkach

• Przesiądź się na wyszukiwarkę, która nie zbiera informacji o Tobie: StartPage.com, DuckDuckGo.com. Więcej o alternatywnych wyszukiwarkach.
• Zadbaj o ustawienia usług, z których korzystasz w sieci, np. ustaw, kto może widzieć Twoje posty w mediach społecznościowych, wyłącz geolokalizację czy dopasowywanie reklam.
• Nie łącz kont: używaj osobnych kont i różnych adresów e-mail/nicków do różnych usług. Uważaj na wtyczki portali społecznościowych na innych stronach: nie „lajkuj”, nie komentuj i nie loguj się na innych stronach za pośrednictwem danych do logowania do portalu społecznościowego.
• Zachowaj zasady bezpieczeństwa dotyczące pracy na telefonie, które opisaliśmy w poprzednim odcinku Poradnika BINGO 1. (Nie)bezpieczny smartfon.

4. Szyfrowanie plików: 7zip

Przesyłanie plików z wrażliwymi informacjami to codzienność w organizacjach. Można to robić zaszyfrowanym e-mailem, ale ta opcja ma pewien minus – obie strony muszą opanować szyfrowanie e-maili. Inny, łatwiejszy sposób to szyfrowanie samych plików z informacjami. Sprawdzi się do tego program 7zip, dzięki któremu dostęp do plików będzie możliwy tylko po wpisaniu hasła.

Uwaga: hasło do odszyfrowania pliku powinno spełniać wymogi opisane w punkcie 1.: być trudne do odgadnięcia i bezpiecznie przekazane odbiorcy. Nie przesyłaj go w e-mailu razem z zaszyfrowanym załącznikiem! Przekaż je odbiorcy na żywo albo w zaszyfrowanej wiadomości tekstowej – do tego celu przyda się np. aplikacja Signal, o której pisaliśmy w 1. odcinku Poradnika.

Anna Obem

Współpraca: Małgorzata Szumańska, Anna Walkowiak, Izabela Meyza

Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski

Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% podatku na rzecz Panoptykonu.