@aqostol
Blog (18)
Komentarze (1.6k)
Recenzje (2)

Pierwszy raz ktoś włamał mi się na konto, a nawet dwa

@aqostolPierwszy raz ktoś włamał mi się na konto, a nawet dwa01.03.2019 19:52

Tragedia! A na serio, to mogło skończyć się o wiele gorzej. Ale po kolei...

Jakoś w ostatni weekend nagle zauważyłem na telefonie powiadomienie o nowej poczcie. Otworzyłem je i w kliencie pocztowym zastałem... nic ciekawego. Zero nowej poczty. Dziwne. Każda normalna osoba stwierdziłaby, że ma omamy albo to "jakiś kolejny głupi błąd", który można zignorować i oddalić się w celu dalszej bezmyślnej wegetacji.

Ale że jestem kompletnym nerdem i nie mam życia, to wiem że rzeczy nie dzieją się bez powodu. Zacząłem myszkować i po moim ogromnym zdumieniu zauważyłem, że nowa poczta znajduje się w Koszu. Zapaliła mi się żółta lampka ostrzegawcza. Oto poczta, jaką otrzymałem:

Oho, ktoś próbuje się dostać na moje konto Steam. Z otchłani pamięci wygrzebałem, że rzeczywiście mam takie konto. Na szczęście jest to moje zabytkowe konto, które założyłem z 10 lat temu, żeby móc zagrać w darmówki na multiplayerze z bratem.

I w tym momencie lampka zmieniła kolor na czerwony a syreny zaczęły wyć na alarm. Jeśli poczta jest w koszu to znaczy, że ktoś już się na nią włamał i spokojnie odczytał ten kod!

Adrenalina podskoczyła i natychmiast przesiadłem się na komputer stacjonarny, oraz zalogowałem się na swoją pocztę z przeglądarki. Kolejny fart - nie zmienili hasła. Albo po prostu zareagowałem dla nich za szybko. Zmieniłem hasło.

Następnie zalogowałem się na Steamie na swoje stare konto i po uwierzytelnieniu (podobnym do tego powyżej) również i na nim zmieniłem hasło. Na koniec przekazałem konto do usunięcia (także możecie sobie darować potencjalne zaproszenia do znajomych).

Jednak czy to koniec ataku? Co mogą jeszcze zrobić i skąd znają moje hasła? Odpowiedź nasunęła się sama - ano z dziesiątek wycieków, które miały miejsce przez ostatnie 10 lat. Ale przecież zmieniałem hasło do poczty, więc jak? Tak, że ten sam e-mail mam użyty jako login na mnóstwie innych stron. Przestudiowali wszystkie kombinacje haseł, jakie używam pod tym mailem i w końcu, zapewne za którymś razem, trafili.

"Szlag! To znaczy, że wszystkie inne strony, które używam z tym mailem są spalone, bo używam podobnych kombinacji". Domyśliłem się, że celem ataku są moje platformy cyfrowe takie jak Battle.Net, Epic Games, Origin, GoG, Ubisoft... Długo by wymieniać.

Nie myliłem się, bo później w nocy dostałem jeszcze maila z próbą resetu hasła do Epic Games. Wziąłem z szuflady notes i zacząłem zapisywać nowe hasła. Kompletnie inne niż do tej pory, bo jak widać zmiana jednej litery z małej na dużą nie daje większych rezultatów...

Jednak na tym nie koniec, nadal są setki innych stron... Do tej pory pamiętałem każde hasło do każdej strony, pomagając sobie domyślnym menedżerem haseł w przeglądarce. To było dość wygodne, mogłem dzięki temu zalogować się z każdego urządzenia, często polegając tylko na swojej pamięci. "Jednak" - stwierdziłem - "to chyba koniec mojego wygodnego, leniwego dzieciństwa...".

Wybór menedżera haseł

Jak na każdej stronie mieć inne hasło i nie zwariować? Niestety trzeba skorzystać z profesjonalnego menedżera haseł... Kolejne dwa dni testowałem LastPass oraz Bitwarden (polecony przez kolegę z roboty). Spróbuję rozpisać moje wnioski w formie plusów i minusów.

LastPass

https://www.lastpass.com/

[1/2] Opcja solo
[2/2] Opcja dla 5 użytkowników

Plusy:

  • Automatyczne uzupełnianie formularzy oraz inne interakcje z formularzem
  • Wtyczka do przeglądarki
  • Aplikacja na komputer, którą można wytrenować do wpisywania haseł (dość beznadziejna, ale jest)
  • Aplikacja na telefon z autouzupełnianiem dla innych aplikacji
  • Automatyczne pytanie przy zmianie hasła, czy zastąpić stare
  • Własna, dobra aplikacja autoryzująca (LastPass Authenticator) z możliwością backupu
  • Można zaimportować hasła z pliku CSV (w Chrome oraz Opera eksport do CSV można wykonać odblokowując tą opcję w ukrytych flagach eksperymentalnych)
  • Wyeksportowane hasła w CSV można zaimportować bez problemu do Bitwarden
  • Darmowy test bezpieczeństwa
  • 30-dniowy trial premium
  • Można przeżyć bez premium
  • Generator haseł
  • Mnóstwo najróżniejszych, mniej istotnych funkcji
  • Czynnie działający support...

Minusy:

  • ...który robi z ludzi idiotów lub zwyczajnie pracują tam idioci (przeczytajcie na zrzucie, kilka razy można zrobić solidnego fejspalma)
  • Bardzo drogie premium
  • Dość brzydki i staroświecki wygląd wtyczki, bardzo powolne działanie i ściny w przeglądarce
  • Średnio działające podpowiadanie haseł na przeglądarce w telefonie (często trzeba ręcznie użyć powiadomienia [lub Quick Setting], żeby wypełniło formularz na stronie)
  • Należy do LogMeIn (tak, ci od Hamachi)
Mam już 3 level, a przeciwnicy w tej grze to nadal jakieś głupki.
Mam już 3 level, a przeciwnicy w tej grze to nadal jakieś głupki.

Bitwarden

https://bitwarden.com/

Plusy:

  • Schludny interfejs
  • Szybkie działanie
  • Wtyczka do przeglądarki
  • Aplikacja na telefon z autouzupełnianiem formularzy
  • Aplikacja na komputer, do zarządzania bazą haseł
  • Premium w 100% zbędne, a jeśli już to bardzo tanie
  • Open source
  • Generator haseł

Minusy:

  • Średnio jak dla mnie działające uzupełnianie formularzy w przeglądarce (jest to funkcja eksperymentalna), jak i wykrywanie zmiany hasła
  • Brak własnej aplikacji autoryzującej (należy korzystać z Google Authenticator, Authy, lub innych)
  • Wyeksportowane dane do CSV nie działają w LastPass (trzeba się bawić w edycję pliku edytorem tekstu)
  • Aplikacja na telefon czasem wywala do pulpitu przy zwykłym cofaniu strony
  • Płatny test używanych haseł

Mój wybór

Długo ze sobą walczyłem, ponieważ obie opcje mają swoje zalety i wady. W końcu wygrał LastPass ze względu na całkiem dobrze działającą automatyzację, taką jak automatyczne uzupełnianie haseł, ich zapamiętywanie i wykrywanie zmian. Jednak możliwe, że po jakimś czasie wyjdą rzeczy, które przeleją czarę goryczy. W tej chwili jedna z kropli, która drąży skałę, to strasznie wolno działające serwery LastPassa. Tak wolno, że czasem wręcz nie mogę otworzyć ustawień konta.

Podsumowanie

Menedżer haseł jest jednocześnie wygodny, jak i upierdliwy, jednak zdecydowanie niezbędny. Uczcie się na błędach innych (czyli moich) i jeśli nie macie menedżera, naprawcie to jak najszybciej jak się da, inaczej prędzej czy później czeka Was zimny prysznic. Szczególnie, jeśli będziecie mieć mniej szczęścia ode mnie.

Przez zainstalowanie menedżera haseł odkryłem również bardzo nieprzemyślaną funkcjonalność w przeglądarce Opera. Nie da się w niej kompletnie wyłączyć domyślnego menedżera haseł. Można wyłączyć zapisywanie haseł, ale nie można wyłączyć automatycznego uzupełniania formularzy, które już się zapisało. Także albo będę zmuszony zainstalować inną przeglądarkę albo zacząć jednak używać Bitwarden, skoro automatyczne uzupełnianie i tak się gryzie. Na razie jeszcze trochę się pomęczę.

Pamiętajcie, że hasło do menedżera powinno być jednocześnie trudne, jak i łatwe do zapamiętania. Utrata hasła może być równoważna utracie całego konta ze wszystkimi hasłami, dlatego lepiej zapisać je sobie gdzieś (długopisem), a jeszcze lepiej po prostu zapamiętać. Lepsze to niż próbować zapamiętać setki haseł do każdej strony z osobna.

Na ważnych stronach powinniście również pomyśleć o uruchomieniu dwuetapowej autoryzacji, czyli 2-factor authorization. Najlepszy sposób, to osobna aplikacja na telefon, która podaje kod, który trzeba dodatkowo wpisać przy logowaniu się z nowego urządzenia.

Poza tym...

Moje konto e-mail zostało prawdopodobnie użyte do rozesłania spamu, ponieważ nie mogłem wysyłać przez jakiś czas żadnych wiadomości. Ale nie znalazłem nic w wysłanych wiadomościach...

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.