Jestę1Silnym2Hasłę3Bolgera#4

Tak, to moje hasło do bloga. Nie wierzycie? Sprawdźcie. Sprawdziliście?

Ok, to do sedna.

Przyznam się wam do czegoś strasznego. Otóż, to co słyszeliście o mnie to prawda, lubię kucyki i mam to samo hasło do dwóch różnych kont Gmail i do poczty Microsoft. To jest też to samo hasło co do komputera…. I konta Nokii. A, i do obu kont bankowych mam inne hasło, ale jedno. Tak, wciąż w to nie potrafię uwierzyć i choć nauczyłem się z tym żyć, to czuje lekki wstyd. Bo wytłumaczcie mi, jak można będąc wykształconym informatykiem… lubić kucyki?

He? A hasła? A, to! A, mam to w d***e, och wybaczcie, powinienem się ładniej wyrażać: w czarnej dziurze.

Czyli, jak to sam nie przestrzegam zasad polityki bezpieczeństwa

Jak już wspomniałem, mam jedno hasło do wielu rzeczy. Drugie hasło do innych rzeczy. Trzecie hasło do mało ważnych rzeczy i te samo hasło w wersji 8 znakowej dla równie mało ważnych rzeczy, ale strasznie upierdliwych jeśli chodzi o tworzenie hasła. Do tego rzadko które hasło spełnia oficjalne i dobrze przyjęte wymogi tworzenia haseł z dużymi literami, znakami specjalnymi i kiełbasą wyborczą w środku.

Ale mało tego! O. Słuchajcie dalej listę grzechów.

Nie mam TrueCrypta na dysku. Tak, nie szyfruje swoich zdjęć kota. Nie szyfruje też faktur, które wystawiam, ani blogów, które pisze w Wordzie. Po prostu nie robię niczego, aby dane na moim komputerze były niedostępne dla obcych. Och, no mam jedynie hasło do logowania się, ale jak czytaliście powyżej, niezbyt trudne. Do tego komputer nie wyloguje się automatycznie jak tylko odchodzę od klawiatury na 5 minut i nie dokona autodestrukcji po trzykrotnym złym logowaniu. Mało? Proszę bardzo – nie mam też żadnych podobnych szyfro-kryptujących bajerów na laptopie i mało tego, korzystam z tego samego hasła co do stacjonarki (synchronizacja w Windows 8 jest cudowna).

Żeby wam, pokazać, że wiem co to życie na krawędzi powiem wam też, że wszystkie hasła zapamiętuje w przeglądarce (wyjątek – banki). Wciąż nie uważacie, że igram z ogniem, że lubię szalone i ekscytujące doznania? To co powiecie na to, że mój telefon nie ma ani pinu, ani szlaczka odblokowującego. Każdy kto go dostanie w swoje łapy będzie mógł z niego zadzwonić, wysłać maila, dorwać się do moich zdjęć. Każdy!

A czy już wspomniałem, że nie korzystam z antywirusa…

Och, ten dreszcz, który przechodzi po moim ciele gdy myślę, jak bardzo niebezpiecznie żyję – jest żaden. Bo tak nie myślę.

Dlaczego sam nie przestrzegam zasad polityki bezpieczeństwa

Powody ku temu są trzy:

Po pierwsze – nie dokonuje ani nie dokonałem żadnych zbrodni, nie jestem poszukiwany, ani nic co robię nie sprawi, że będę poszukiwany. Nie oglądam dziecięcej pornografii, nie rozprowadzam pirackiego softu, nie googlam informacji o tym jak zbudować w domu bombę. Nie mam nic, co wymagałoby chronienia, poza odrobiną swojej własnej prywatności i zdjęciami żony w stroju kąpielowym. Mrrrr. Nikt nie czyha na moje potknięcie i nie zdobędzie milionów wykradając nieziemską technologię z mojego laptopa. Może mnie co najwyżej pozbawić wypłaty – a jakby naprawdę chciał, zrobiłby to nawet jeśli miałbym zaszyfrowany dysk i dobre szesnastoznakowe hasło. Po prostu napadłby mnie. Nie obawiam się rządu, ani rządów innego państwa – bo wychodzę z założenia, że nie jestem wystarczająco interesującą osoba, by wykorzystano mnie do szpiegowania – a jeśli byłbym to… hej! Funky!

Po drugie – nie istnieje idealne hasło, ani idealna polityka hasła. Bo co mi z tego, że tworze cudowne hasła, co z tego, że haszuje, co z tego, że każdy serwis ma inne znaczki i cyferki wpisywane przy dostępie, jak wystarczyło aby kilku Rosjan się uwzięło i wykradną owe super silne hasła. Albo, co gorsza, że zarządca serwisu/usługi/oprogramowania trzyma owe hasła w plain tekście. Śmieszne? Ale się zdarza.

Po trzecie – jestem leniem. Mega wielkim leniem, któremu nie chce się pamiętać 30 haseł, bo mam inne ważniejsze rzeczy do zapamiętania. I tak uważam to za cud, ale pamiętam około 40-50 haseł nie tylko do swoich komputerów, ale komputerów serwerowych, klienckich, do sieci WiFi, do różnych usług firm trzecich z którymi współpracuje, gdzie nie można wpisać zwykłego hasła. Gdybym wszędzie przestrzegał Zasad Bezpieczeństwa musiałbym listę haseł spamiętanych podwoić, jeśli nie potroić.

Odpowiedź wasza to pewnie LastPass – lub inne badziewie z kategorii: mam jedno hasło do listy wszystkich haseł. Och, to w końcu takie bezpieczne rozwiązanie, zwłaszcza, jeśli trzymamy tę listę w chmurze u kogoś. Mhmmm. Security so much, wow.

Tu mógłbym przerwać i po prostu patrzeć jak ogień waszego flejma pochłania ten wpis i nabija mi sto komentarzy – ale zamierzam się trochę jednak ponabijać dalej. Niektórzy po prostu lubią patrzeć, jak płonie świat.

:>

Dlaczego ty powinieneś przestrzegać zasad polityki bezpieczeństwa

Bo powinieneś. Bo jeśli troszczysz się o swoje dane i o swoją prywatność musisz pamiętać by tworzyć trudne hasła minimum ośmio-znakowe ze znakami specjalnymi i wymieniać je co 30 dnia, na takie które się w ostatnim roku nie powtórzyły. I tak samo dla każdego hasła z jakiego korzystasz. Dla pewności sprawdziłem z ilu ja korzystam prywatnie i regularnie (min. raz w miesiącu): 21. Dwudziestu jeden!

21 razy 12 daje nam 252 hasła rocznie do zapamiętania. No i jeszcze tyle samo loginów – bo zaleca się nie korzystanie z tych samych loginów.

Bo to jest właśnie bezpieczeństwo! Więc słuchaj się specjalistów, jeśli chcesz być bezpieczny.

Sarkazm odkładając na bok, na tyci chwilę: czy masz 100% pewność, że twój komputer jest niezarażony trojanem? Jeśli odpowiedziałeś: nie – to chyba jednak powinieneś postępować tak jak to powyżej opisałem.

Dlaczego mogę nie przestrzegać zasad polityki bezpieczeństwa

Powodów jest kilka, żaden z nich sam w sobie nie jest wystarczający, ale w sumie wydają się być sensowne.

- Mam aktualne oprogramowanie (system operacyjny, aktualne przeglądarki, aktualne wtyczki) i dbam o to aby były aktualne.

- Interesuje się (z racji ogólnie pojętego zawodu informatyka) tym czy dane oprogramowanie nie ma luk, czytam kilka razy dziennie newsy na wszystkich stronach z kategorii IT i po prostu jestem na bieżąco (o ile to możliwe).

- Nie instaluje niezaufanego oprogramowania ani zaufanego oprogramowania z niezaufanego źródła. Prosta zasada – jeśli nie mam pewności, nie instaluje tego i już. Na pewno znajdę podobny program, co do którego pewność będę miał.

- Nie odwiedzam niepewnych stron. Kilkanaście adresów, które znam na pamięć, plus strony typu wykop/reddit gdzie linki są już przeklikane przez setki osób, są rewelacyjnymi hubami, by mimo wszystko odnajdywać nowe ciekawe rzeczy.

- Dzięki wiedzy i doświadczeniu potrafię natychmiast zauważyć, że z komputerem dzieje się coś nie tak. I zignorować to – bo przeważnie to ignoruje. Komputery maja to do siebie, że dziwnie działają.

- Nie wtykam nie swoich pendrive do komputera, i nie wtykam swoich pendrive to cudzych komputerów.

- Nie otwieram dziwnych maili i nie pobieram dziwnych załączników.

- Trzymam kopie ważnych dokumentów w chmurze, całą resztę może trafić szlag.

- Jestę Hakierem!

Ot i cała filozofia – wystarczy te kilka prostych kroków, by nie przejmować się hasłami, utratami danych, marnotrawstwem zbóż i jazdą po prawej stronie ulicy.

Dlaczego ten blog nie powinien powstać

I tu leży żywcem pies pogrzebany. Dosłownie. W sensie, nikt nie pogrzebał psa… Muszę przestać nadużywać słowa "dosłownie". Lecz nie o tym miałem pisać. Ja, mogę sobie pozwolić na takie życie ponieważ znam dokładnie zagrożenia, ryzyka oraz środki ostrożności. Swoim podstawowym zachowaniem, jestem w stanie zminimalizować ryzyko do takiego stopnia, że akceptuje je w takiej formie i nawet w przypadku najgorszego scenariusza jestem w stanie to przełknąć. Otrzymuje z tego wygodne i pozbawione problemów życie, oczywiście pewnym kosztem.

Ale tak samo jest w dużych projektach gdzie minimalizuje się ryzyko i w pewnym momencie dochodzi do punktu, gdzie jest tak niskie, że można je dopuścić. Nie opłaca się ładować milionów w dalsze obniżanie, gdyż to już nie przynosi wymiernego skutku.
Większość osób (czyli jakieś 80% populacji, z której zapewne 99% nigdy tu nie zajrzy) nie potrafi obniżyć ryzyka do stopnia akceptowalnego, a mimo to podobnie jak ja stosują jedno hasło, jeden login, jeden zestaw witamin. W ich wypadku więc ryzyko jest bardzo duże i często dochodzi do przejęcia, wykradzenia danych, do kompromitacji ich zabezpieczeń.

Pytanie, czy możemy coś z tym zrobić? Czy warto coś z tym robić? Może jest to nieopłacalne?

Odpowiedzi możemy nigdy nie uzyskać, ale warto nad tym dyskutować

...

Dlaczego ten blog naprawdę powstał

Bo chciałem się ponabijać z tych wszystkich użytkowników dobrych programów, którzy na swoich domowych komputerach mają zainstalowane narzędzia szyfrograficzne a także mają w nawyku co 30 dni zmieniać hasła do każdej usługi aby obcy wywiad nie ukradł ich kolekcji koziego porno. Bo jesteście naprawdę zabawni w swoim mniemaniu ważności.

Tak jak ja jestem zabawny w tym, że wszystko wiem lepiej ;)