@MaXDemage
Blog (171)
Komentarze (1.6k)
Recenzje (2)

Jestę1Silnym2Hasłę3Bolgera#4

@MaXDemageJestę1Silnym2Hasłę3Bolgera#409.08.2014 13:22

Tak, to moje hasło do bloga. Nie wierzycie? Sprawdźcie. Sprawdziliście?

Ok, to do sedna.

Przyznam się wam do czegoś strasznego. Otóż, to co słyszeliście o mnie to prawda, lubię kucyki i mam to samo hasło do dwóch różnych kont Gmail i do poczty Microsoft. To jest też to samo hasło co do komputera…. I konta Nokii. A, i do obu kont bankowych mam inne hasło, ale jedno. Tak, wciąż w to nie potrafię uwierzyć i choć nauczyłem się z tym żyć, to czuje lekki wstyd. Bo wytłumaczcie mi, jak można będąc wykształconym informatykiem… lubić kucyki?

He? A hasła? A, to! A, mam to w d***e, och wybaczcie, powinienem się ładniej wyrażać: w czarnej dziurze.

Czyli, jak to sam nie przestrzegam zasad polityki bezpieczeństwa

Jak już wspomniałem, mam jedno hasło do wielu rzeczy. Drugie hasło do innych rzeczy. Trzecie hasło do mało ważnych rzeczy i te samo hasło w wersji 8 znakowej dla równie mało ważnych rzeczy, ale strasznie upierdliwych jeśli chodzi o tworzenie hasła. Do tego rzadko które hasło spełnia oficjalne i dobrze przyjęte wymogi tworzenia haseł z dużymi literami, znakami specjalnymi i kiełbasą wyborczą w środku.

Ale mało tego! O. Słuchajcie dalej listę grzechów.

Nie mam TrueCrypta na dysku. Tak, nie szyfruje swoich zdjęć kota. Nie szyfruje też faktur, które wystawiam, ani blogów, które pisze w Wordzie. Po prostu nie robię niczego, aby dane na moim komputerze były niedostępne dla obcych. Och, no mam jedynie hasło do logowania się, ale jak czytaliście powyżej, niezbyt trudne. Do tego komputer nie wyloguje się automatycznie jak tylko odchodzę od klawiatury na 5 minut i nie dokona autodestrukcji po trzykrotnym złym logowaniu. Mało? Proszę bardzo – nie mam też żadnych podobnych szyfro-kryptujących bajerów na laptopie i mało tego, korzystam z tego samego hasła co do stacjonarki (synchronizacja w Windows 8 jest cudowna).

Żeby wam, pokazać, że wiem co to życie na krawędzi powiem wam też, że wszystkie hasła zapamiętuje w przeglądarce (wyjątek – banki). Wciąż nie uważacie, że igram z ogniem, że lubię szalone i ekscytujące doznania? To co powiecie na to, że mój telefon nie ma ani pinu, ani szlaczka odblokowującego. Każdy kto go dostanie w swoje łapy będzie mógł z niego zadzwonić, wysłać maila, dorwać się do moich zdjęć. Każdy!

A czy już wspomniałem, że nie korzystam z antywirusa…

Och, ten dreszcz, który przechodzi po moim ciele gdy myślę, jak bardzo niebezpiecznie żyję – jest żaden. Bo tak nie myślę.

Dlaczego sam nie przestrzegam zasad polityki bezpieczeństwa

Powody ku temu są trzy:

Po pierwsze – nie dokonuje ani nie dokonałem żadnych zbrodni, nie jestem poszukiwany, ani nic co robię nie sprawi, że będę poszukiwany. Nie oglądam dziecięcej pornografii, nie rozprowadzam pirackiego softu, nie googlam informacji o tym jak zbudować w domu bombę. Nie mam nic, co wymagałoby chronienia, poza odrobiną swojej własnej prywatności i zdjęciami żony w stroju kąpielowym. Mrrrr. Nikt nie czyha na moje potknięcie i nie zdobędzie milionów wykradając nieziemską technologię z mojego laptopa. Może mnie co najwyżej pozbawić wypłaty – a jakby naprawdę chciał, zrobiłby to nawet jeśli miałbym zaszyfrowany dysk i dobre szesnastoznakowe hasło. Po prostu napadłby mnie. Nie obawiam się rządu, ani rządów innego państwa – bo wychodzę z założenia, że nie jestem wystarczająco interesującą osoba, by wykorzystano mnie do szpiegowania – a jeśli byłbym to… hej! Funky!

Po drugie – nie istnieje idealne hasło, ani idealna polityka hasła. Bo co mi z tego, że tworze cudowne hasła, co z tego, że haszuje, co z tego, że każdy serwis ma inne znaczki i cyferki wpisywane przy dostępie, jak wystarczyło aby kilku Rosjan się uwzięło i wykradną owe super silne hasła. Albo, co gorsza, że zarządca serwisu/usługi/oprogramowania trzyma owe hasła w plain tekście. Śmieszne? Ale się zdarza.

Po trzecie – jestem leniem. Mega wielkim leniem, któremu nie chce się pamiętać 30 haseł, bo mam inne ważniejsze rzeczy do zapamiętania. I tak uważam to za cud, ale pamiętam około 40-50 haseł nie tylko do swoich komputerów, ale komputerów serwerowych, klienckich, do sieci WiFi, do różnych usług firm trzecich z którymi współpracuje, gdzie nie można wpisać zwykłego hasła. Gdybym wszędzie przestrzegał Zasad Bezpieczeństwa musiałbym listę haseł spamiętanych podwoić, jeśli nie potroić.

Odpowiedź wasza to pewnie LastPass – lub inne badziewie z kategorii: mam jedno hasło do listy wszystkich haseł. Och, to w końcu takie bezpieczne rozwiązanie, zwłaszcza, jeśli trzymamy tę listę w chmurze u kogoś. Mhmmm. Security so much, wow.

Tu mógłbym przerwać i po prostu patrzeć jak ogień waszego flejma pochłania ten wpis i nabija mi sto komentarzy – ale zamierzam się trochę jednak ponabijać dalej. Niektórzy po prostu lubią patrzeć, jak płonie świat.

:>

Dlaczego ty powinieneś przestrzegać zasad polityki bezpieczeństwa

Bo powinieneś. Bo jeśli troszczysz się o swoje dane i o swoją prywatność musisz pamiętać by tworzyć trudne hasła minimum ośmio-znakowe ze znakami specjalnymi i wymieniać je co 30 dnia, na takie które się w ostatnim roku nie powtórzyły. I tak samo dla każdego hasła z jakiego korzystasz. Dla pewności sprawdziłem z ilu ja korzystam prywatnie i regularnie (min. raz w miesiącu): 21. Dwudziestu jeden!

21 razy 12 daje nam 252 hasła rocznie do zapamiętania. No i jeszcze tyle samo loginów – bo zaleca się nie korzystanie z tych samych loginów.

Bo to jest właśnie bezpieczeństwo! Więc słuchaj się specjalistów, jeśli chcesz być bezpieczny.

Sarkazm odkładając na bok, na tyci chwilę: czy masz 100% pewność, że twój komputer jest niezarażony trojanem? Jeśli odpowiedziałeś: nie – to chyba jednak powinieneś postępować tak jak to powyżej opisałem.

Dlaczego mogę nie przestrzegać zasad polityki bezpieczeństwa

Powodów jest kilka, żaden z nich sam w sobie nie jest wystarczający, ale w sumie wydają się być sensowne.

- Mam aktualne oprogramowanie (system operacyjny, aktualne przeglądarki, aktualne wtyczki) i dbam o to aby były aktualne.

- Interesuje się (z racji ogólnie pojętego zawodu informatyka) tym czy dane oprogramowanie nie ma luk, czytam kilka razy dziennie newsy na wszystkich stronach z kategorii IT i po prostu jestem na bieżąco (o ile to możliwe).

- Nie instaluje niezaufanego oprogramowania ani zaufanego oprogramowania z niezaufanego źródła. Prosta zasada – jeśli nie mam pewności, nie instaluje tego i już. Na pewno znajdę podobny program, co do którego pewność będę miał.

- Nie odwiedzam niepewnych stron. Kilkanaście adresów, które znam na pamięć, plus strony typu wykop/reddit gdzie linki są już przeklikane przez setki osób, są rewelacyjnymi hubami, by mimo wszystko odnajdywać nowe ciekawe rzeczy.

- Dzięki wiedzy i doświadczeniu potrafię natychmiast zauważyć, że z komputerem dzieje się coś nie tak. I zignorować to – bo przeważnie to ignoruje. Komputery maja to do siebie, że dziwnie działają.

- Nie wtykam nie swoich pendrive do komputera, i nie wtykam swoich pendrive to cudzych komputerów.

- Nie otwieram dziwnych maili i nie pobieram dziwnych załączników.

- Trzymam kopie ważnych dokumentów w chmurze, całą resztę może trafić szlag.

- Jestę Hakierem!

Ot i cała filozofia – wystarczy te kilka prostych kroków, by nie przejmować się hasłami, utratami danych, marnotrawstwem zbóż i jazdą po prawej stronie ulicy.

Dlaczego ten blog nie powinien powstać

I tu leży żywcem pies pogrzebany. Dosłownie. W sensie, nikt nie pogrzebał psa… Muszę przestać nadużywać słowa "dosłownie". Lecz nie o tym miałem pisać. Ja, mogę sobie pozwolić na takie życie ponieważ znam dokładnie zagrożenia, ryzyka oraz środki ostrożności. Swoim podstawowym zachowaniem, jestem w stanie zminimalizować ryzyko do takiego stopnia, że akceptuje je w takiej formie i nawet w przypadku najgorszego scenariusza jestem w stanie to przełknąć. Otrzymuje z tego wygodne i pozbawione problemów życie, oczywiście pewnym kosztem.

Ale tak samo jest w dużych projektach gdzie minimalizuje się ryzyko i w pewnym momencie dochodzi do punktu, gdzie jest tak niskie, że można je dopuścić. Nie opłaca się ładować milionów w dalsze obniżanie, gdyż to już nie przynosi wymiernego skutku. Większość osób (czyli jakieś 80% populacji, z której zapewne 99% nigdy tu nie zajrzy) nie potrafi obniżyć ryzyka do stopnia akceptowalnego, a mimo to podobnie jak ja stosują jedno hasło, jeden login, jeden zestaw witamin. W ich wypadku więc ryzyko jest bardzo duże i często dochodzi do przejęcia, wykradzenia danych, do kompromitacji ich zabezpieczeń.

Pytanie, czy możemy coś z tym zrobić? Czy warto coś z tym robić? Może jest to nieopłacalne?

Odpowiedzi możemy nigdy nie uzyskać, ale warto nad tym dyskutować

...

Dlaczego ten blog naprawdę powstał

Bo chciałem się ponabijać z tych wszystkich użytkowników dobrych programów, którzy na swoich domowych komputerach mają zainstalowane narzędzia szyfrograficzne a także mają w nawyku co 30 dni zmieniać hasła do każdej usługi aby obcy wywiad nie ukradł ich kolekcji koziego porno. Bo jesteście naprawdę zabawni w swoim mniemaniu ważności.

Tak jak ja jestem zabawny w tym, że wszystko wiem lepiej ;)

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.