[WANTED] Ogólny poradnik o zabezpieczeniu kont

Aylin | 2018-10-08 13:07:15 UTC | #1

Zadanie

Przygotowanie poradnika o bezpieczeństwie w Sieci - a dokładniej jak zabezpieczyć swoje konta/adresy email przed przejęciem przez osoby trzecie. Można posiłkować się OWU lvlup, które zostało podlinkowane w materiałach, jeśli autor poradnika będzie chciał się odwoływać do wersji prawnej to też nie widzę w tym nic złego - może wtedy w końcu niektórzy przeczytają regulamin :stuckouttongue:

Co chciałabym zobaczyć w poradniku:
1. Krótkie wytłumaczenie po co robić zamieszanie z tym całym bezpieczeństwem - można przedstawiać najgorsze scenariusze jakie życie może napisać (okradzenie, podszywanie się, szantaż itp.). Już na samym wstępie warto wspomnieć o jakże skutecznej socjotechnice (no co, koledze hasła nie podasz), czyli że czasem warto być samolubnym i nie dzielić się z innymi wrażliwymi danymi.
2. Sposoby zwiększenia bezpieczeństwa kont
2.1. Wybór programu do przechowywania haseł (KeePass, KeePassXC itd.)
Tutaj ważne będzie wyjaśnienie jak tego ustrojstwa użyć, na co zwrócić uwagę przy wyborze, jakie hasło powinno być użyte jako master password, jak połączyć to z przeglądarką i czego powinien użytkownik spodziewać się (np. KeePassXC samoistnie zamyka się przy uśpieniu, co dodatkowo zwiększa bezpieczeństwo zwłaszcza jak po domu biega X rodzeństwa i ich znajomych, wadą jest że trzeba po odblokowaniu znów wpisać hasło i w przeglądarce kliknąć na wtyczkę że baza haseł jest już ponownie aktywna). Przegląd aplikacji na telefon i jak to wszystko można połączyć aby baza była dostępna i z PC i z telefonu mile widziane :slight_smile:
2.2. Zabezpieczenie przeglądarki
Najlepszym zabezpieczeniem jest Pi Hole, wtedy wszystkie złośliwe strony nawet nie dotrą do przeglądarki, jednak jest to rozwiązanie dość zaawansowane, warte wspomnienia ale nie docelowe dla początkującego użytkownika. Bardziej mi chodzi o użycie czegoś w stylu uBlock oraz o uważne poruszanie się po Internecie (czyli czego spodziewać się np. na stronie banku -> zielone kłódeczki, poprawny certyfikat). Poruszenie wszystkich kwestii może być trudne i zbyt skomplikowane, pozostaje jeszcze wspomnieć o nieprzechowywaniu haseł w przeglądarce, regularnym czyszczeniu ciastek i wyłączaniu skryptów JS dla podejrzanych stron (co chyba sam uBlock nawet czyni, ale mogę się mylić).
2.3. Zabezpieczenie maila
Czyli co to te 2FA, jak to włączyć, które skrzynki to oferują (Gmail na pewno, ale takie wp czy onet?). Jakiej aplikacji użyć do przechowywania kodów (chociażby i tej od Google, ale warto wspomnieć o alternatywach).
3. Wszystko o hasłach
Jakie nie powinny być, dlaczego warto skorzystać z generatora wbudowanego w program do trzymania haseł, jak często te hasła zmieniać.
4. Kody zapasowe i inne dodatkowe informacje
Gdzie przechowywać, bo na pewno nie w portfelu, jak ktoś gwizdnie portfel to nagle będzie mógł się do maila włamać. Trzymanie haseł w grupach/folderach - zalety i wady.

Osobiście trzymam wszystko w KeePassXC, jako załącznik dodaję kody zapasowe, bazę w końcu wrzuciłam na Dysk Google i mogę szybko zerknąć także z poziomu telefonu przez aplikację. Ważniejsze hasła specjalnie oznakowuję ikonkami, np. maile z konkretnych skrzynek widzę od razu gdzie są - dla niektórych zbędny bajer, dla mnie dość fajnie wygląda to wizualnie i pozwala mi szybciej poruszać się po dość sporej bazie.

Geneza

Obecnie na forum nie posiadamy jednego dobrego poradnika, który mógłby być przykładem dla osób chcących zabezpieczyć swoje konta ale nie mające zielonego pojęcia od czego zacząć. Nie ma co tu oszukiwać się - temat szeroki i długi jak rzeka.

Nakłonił mnie także fakt ostatnio coraz częściej przewijającego się tematu kradzieży kont, np.
https://forum.lvlup.pro/t/kradziez-konta/8444

Materiały

https://forum.lvlup.pro/t/przechowywanie-hasel/639

https://lvlup.pro/doc/legal/ogolne-warunki.pdf

Nagroda

Za całość przewiduję nagrodę w postaci 70-90 PLN rabatu w lvlup.pro jako doładowanie portfela.

DBanaszewski | 2018-10-08 13:11:31 UTC | #2

Można zaklepać, jestem chętny :slight_smile:

Aylin | 2018-10-08 13:26:59 UTC | #3

Zaklepanie przyjęte i jest ważne do 15.10. :slight_smile:

error | 2018-10-08 14:37:00 UTC | #5

Pisząc na forum niewiele zmienisz - to miejsce to forum społeczności a nie panel z ticketami. Cierpliwości :)

Alienix1338 | 2018-10-08 14:40:05 UTC | #6

luzik

LinGruby | 2018-10-08 17:08:39 UTC | #7

[quote=”Aylin, post:1, topic:8485”]
2.2. Zabezpieczenie przeglądarki
[/quote]

tu jest mało do pisania ;-)

DuckDuckGo - Wyszukiwarka, która Cię nie śledzi
KeePassXC-Browser - (zainstalowany analogicznie program na kompie KeePassXC )
uBlock Origin - ( zaznaczone wszystkie filtry )
Privacy Badger - wykrywa potencjalnych szpiegów
HTTPS Everywhere - które szyfruje komunikację z wieloma głównymi witrynami

i przeglądanie neta jest o niebo przyjemniejsze ;-)

Aylin | 2018-10-08 17:52:13 UTC | #8

[quote=”LinGruby, post:7, topic:8485”]
i przeglądanie neta jest o niebo przyjemniejsze
[/quote]

Ty to wiesz, ja to wiem, przeciętny użytkownik Internetów w wieku 12-16 niekoniecznie będzie to wiedział ;)

DBanaszewski | 2018-10-14 13:37:37 UTC | #9

Poradnik jest napisany w ~60%, lecz nie wyrobię się na 15 października.

@Aylin mógłbym otrzymać chociaż 3 dni więcej? Szkoła i czas to złe połączenie, a chciałbym dokończyć ten poradnik ;)

Aylin | 2018-10-14 13:39:40 UTC | #10

Jasne, termin ostateczny zostaje przesunięty do 20.10., mam nadzieję że tyle czasu wystarczy na pozostałe 40% :slight_smile:

DBanaszewski | 2018-10-18 15:17:13 UTC | #11

Niestety, ale jestem zmuszony oddać komuś ten poradnik.
Szkoła i inne obowiązki tak jedzą czas, że po prostu nie uda mi się napisać tego poradnika w wyznaczonym czasie.

Mam nadzieję, że osoba, która “zaklepie” sobie poradnik wykona go najstaranniej i najlepiej :slight_smile:

SP24 | 2018-10-19 12:16:41 UTC | #12

Jeśli można, chciałbym zaklepać
@Aylin

Aylin | 2018-10-21 11:41:25 UTC | #13

Jeśli nadal jesteś chętny @SP24 to mogę “zaklepać” do 04.11. włącznie, co daje dwa tygodnie na realizację tematu :slight_smile:

SP24 | 2018-10-21 12:15:55 UTC | #14

Oczywiście jestem dalej zainteresowany.

Aylin | 2018-10-21 12:17:33 UTC | #15

Okej, w takim razie poradnik jest zajęty do daty podanej wyżej :slight_smile:

SP24 | 2018-10-22 19:24:13 UTC | #16

Gotowe! Poradnik został napisany @Aylin
https://forum.lvlup.pro/t/bezpieczenstwo-w-sieci/8636

Aylin | 2018-10-23 11:15:43 UTC | #17

Poniżej kilka uwag, po naprawieniu których uznam poradnik za gotowy

Zmienić link artykułu. Nie chcę wp.pl, tam jest głównie para-dziennikarstwo i przepisywanie wiadomości od innych. W artykule jest link do oryginalnej treści na niebezpieczniku. Ten link jak najbardziej chcę. Do tego przydałoby się krótkie podsumowanie artykułu jak już go wklejasz, np. że są różne sposoby wyłudzania danych i phishing jest jedną z nich, co zostało opisane tutaj (link do artykułu). I że nawet dorosła osoba jest w stanie się nabrać, gdyż takiego rodzaju akcje są często dobrze zaplanowane tak aby wyglądały wiarygodnie. Jako przykład “z realnego świata” mogę podać kiedyś bardzo popularną metodę okradania staruszek “na wnuczka”. Obecnie starsze panie już są uświadomione, więc złodzieje podają się za ludzi z gazowni albo za policjanta. No jak policjanta do domu nie wpuścić, nie? :slight_smile:
PESEL jest wrażliwą daną, jednak nie aż tak jak np. numer karty bankowej wraz z kodem CVV (te trzy cyferki z tyłu karty). To jest lepszy przykład, w Polsce kradzież osobowości jest rzadka, kradzież hajsu bardziej przemawia do świadomości i jest częstsza. Raczej nie pożyczyłbyś znajomemu karty bankowej, bo ten chce sobie coś kupić w sklepie i ładnie prosi.
Szczerze mówiąc to o LastPass słyszę po raz pierwszy. Jak widzę ich cennik to jakoś jeszcze mniej mam ochotę tego użyć. Fajnie jakbyś o tym wspomniał (zawsze coś nowego na rynku), jednak oparł się o wolno dostępny menadżer haseł, taki jak KeePass, o którym sporo ludzi słyszało. Niektórzy jak zobaczą ceny to wystraszą się i wrócą do pisania haseł na kartce BO JEST TANIEJ. Nie o to chodzi.
Do tego gdzie jest master password w LastPass? Jeśli to dane do logowania to takie rozwiązanie nie jest bezpieczne, to znak że baza naszych haseł jest gdzieś tam u kogoś w chmurze i jak będą mieli wyciek to wszystkie hasła sobie popłyną. W KeePass jest zaszyfrowany hasłem plik, nawet jak znajomy będzie wiedział co to i zgra sobie na pendrive to bez master password może sobie nadmuchać, życzę powodzenia z rozszyfrowywaniem :stuckouttongue:
Odnośnie strony banku to jest jedno dobre rozwiązanie, omijające część problemów - zawsze wchodzić na stronę banku z własnego linku (czyli zakładki). Nie jest foolproof, nie daje 100% pewności, ale rozwiązuje takie problemy jak podmiana linku na coś podobnego (np. fałszywa strona wygląda tak samo, ale ma literówkę w domenie). Fajnie że zwróciłeś uwagę na certyfikat i co dokładnie sprawdzić :+1:
Zmiana haseł jest dość problematyczna, sama mam z tym problem (:-1: dla mnie). Ogólnie ludzie powinni mieć świadomość dlaczego lepiej trzymać się zasady 1 hasło = 1 serwis (podpowiem: wycieki). Do takich tam serwisów typu Spotify to zmieniam hasło rzadko (konto mam od 2015, zmieniałam do tej pory dwa razy, w tym raz po podejrzeniu jakiegoś wycieku), ale takiego maila to CHOCIAŻ raz na rok warto zmienić (raz na pół byłoby super, idealnie raz na kwartał, ale komu by się chciało). Ja sama mam w kalendarz wpisaną datę obowiązkowej zmiany haseł i raz w roku zmieniam. Więc choćby waliło się i paliło, w ten jeden dzień w roku hasła muszą zostać zmienione. Same maile to kwestia jakiegoś kwadransu, max pół godziny, raczej niedużo problemu.
Krótkie wytłumaczenie dlaczego hasła słownikowe są złe - przeciętna osoba nie wie dlaczego 1qaz2wsx to “popularne hasło”.

Pełną ocenę poradnika wydam po poprawkach, obecnie wstrzymam się z wypowiedzią.

SP24 | 2018-10-23 16:44:29 UTC | #18

Poradnik został poprawiony według podanych punktów. Ponadto zmieniłem Menadżer haseł z LastPassa na KeePassa, ze względu na fakt iż LastPass tak jak wspomniałaś nie jest zbyt bezpieczny.

Aylin | 2018-10-24 17:50:52 UTC | #19

Dzięki za poradnik @SP24
Nagroda w wysokości 80 PLN została wydana, proszę o potwierdzenie :slight_smile:

SP24 | 2018-10-24 18:25:14 UTC | #20

@Aylin Jak najbardziej otrzymałem nagrodę. Nie ma sprawy, zawsze jestem chętny do pisania :wink:

Aylin | 2018-10-24 18:33:30 UTC | #21

Poradnik napisany, nagroda dostarczona, WANTED zakończone :slight_smile: