TWORZENIE DOBRYCH HASEŁ, UWIERZYTELNIANIE I TRWAŁE NISZCZENIE NOŚNIKÓW – jak zadbać o poufność danych

Na bezpieczeństwo naszych danych warto patrzeć wielowymiarowo. Poza zainwestowaniem w oprogramowanie antywirusowe i wyrobieniem właściwych nawyków przy korzystaniu z urządzeń, nośników oraz komunikacji za pośrednictwem sieci należy zadbać o jakość stosowanych haseł, a także korzystać z dostępnych metod uwierzytelniania dostępu.

Paweł Tomczyk
ekspert ds. bezpieczeństwa
i cyberbezpieczeństwa, Sekkura
Kamila Lewandowska- -Winiarska
ekspert ds. marketingu
i komunikacji, Sekkura

Do szyfrowania dysków, zabezpieczania poczty i systemów niezbędne jest dobre hasło. Jego siłę możemy sprawdzić na stronach internetowych dostawców oprogramowania antywirusowego, na przykład https://password.kaspersky.com/pl/. Oczywiście nie należy podawać rzeczywistych haseł, a jedynie hasła o podobnej strukturze.

Jak tworzyć dobre hasła?

Zweryfikujmy jedną z popularnych metod tworzenia haseł, jaką jest wykorzystanie numeru rejestracyjnego samochodu, np. WW0364J. Za każdym razem uzyskamy odpowiedź, ile czasu zajęłoby złamanie tego rodzaju hasła. W naszym przykładzie hasło może zostać złamane metodą siłową na typowym komputerze domowym w około… dwa dni. Dodajmy, że często stosowana zmiana wielkości liter niewiele zmienia.

Jak więc tworzyć i zapamiętać dobre hasło? Jedną z najlepszych metod jest wykorzystanie ulubionych wierszy, rymowanek lub piosenek. Zanalizujmy hasło „&7WknpimltpnNnlwsrZkjr8*”. Może ono zostać złamane metodą siłową na typowym komputerze domowym w około
10 000+ wieków. Wydaje się, że jego zapamiętanie nie jest łatwe, jednak, gdy je rozszyfrowujemy, okaże się inaczej:

  1. znaki & oraz 7 są pod jednym klawiszem.
  2. ciąg liter „WknpimltpnNnlwsrZkjr” – to nic innego jak pierwsze litery słów rymowanki „Wlazł kotek na płotek i mruga, ładna to piosenka niedługa. Niedługa, niekrótka, lecz w sam raz. Zaśpiewaj, koteczku, jeszcze raz” (oczywiście bez polskich znaków).
  3. znaki 8 i * to również ten sam klawisz.

Inną metodą tworzenia, ale już nie zapamiętywania, lecz używania dobrych haseł jest stosowanie tzw. menedżera haseł, na przykład programu KeePass. Działa on w zasadzie w każdym systemie operacyjnym, w tym na Androidzie, a dzięki wersji przenośnej możemy nasze hasła mieć zawsze przy sobie. Zasada jego działania jest bardzo prosta. Tworzymy bazę haseł, którą program szyfruje przy użyciu jednego hasła. I to jako jedyne musimy pamiętać. Resztę możemy pozostawić programowi, a jeśli potrzebujemy nowe hasło, po prostu je generujemy i zapisujemy w programie. Przykładowo wygenerowane hasło: „mW$zpS?ìZ/Í9Þþ”æ{Am£,©Z” w postaci zaszyfrowanej dodane zostaje jako wpis w bazie haseł. Po zalogowaniu do menedżera haseł odnajdujemy to właściwe i wklejamy je z bazy we właściwy formularz. Schowek, czyli miejsce, w którym przeklejane hasło jest tymczasowo zapisane, zarówno w komputerach, jak i smartfonach, jest czyszczony automatycznie po ok. 10 sekundach.

Warto też sprawdzić, czy nasze dane nie wyciekły. Można to zrobić na przykład poprzez stronę https://haveibeenpwned.com, na której sprawdzimy adresy e-mail czy numery telefonów.

Dlaczego warto korzystać z uwierzytelniania?

Uwierzytelnianie wieloskładnikowe (ang. multi-factor authentication, w skrócie MFA) polega na podawaniu zawsze dwóch niezależnych składników uwierzytelniających. Najczęściej jest to identyfikator użytkownika i hasło uwierzytelniające, a także kod lub fraza, dostarczane na urządzenie przenośne (np. smartfon czy tablet), kod z wiadomości pocztowej wysłanej przez serwis, na który użytkownik próbuje się zalogować, lub za pośrednictwem specjalnej karty, tokenu, odcisku linii papilarnych palca czy siatkówki oka.

O ile hakerzy mogą przejąć czy pozyskać login i hasło do aplikacji, serwisu, dużo trudniej jest im w tym samym czasie uzyskać dostęp do naszego smartfona lub skrzynki pocztowej czy spreparować odcisk palca.

Nierzadko użytkownicy aplikacji czy serwisów używają tych samych loginów i haseł do różnych usług. W takim przypadku wyciek danych z jednego miejsca powoduje, że inne systemy czy aplikacje są narażone na przejęcie tożsamości. Problem ten przynajmniej częściowo rozwiązuje stosowanie uwierzytelniania wieloskładnikowego.

Wymiana, zgubienie lub kradzież sprzętu

Sformatowanie dysku przed planowaną wymianą sprzętu, jak również hasła dostępowe do sprzętu w razie kradzieży lub zgubienia to za mało, aby móc spać spokojnie.

Szacuje się, że w ciągu roku globalnie ok. 170 mln dysków ze starych urządzeń (60% liczby nowych komputerów) trafia do nowych właścicieli bez należytego wykasowania z nich danych. Samo wykasowanie plików czy formatowanie dysku nie pozwalają na rzeczywiste usunięcie danych, zaś na dyskach nierzadko znajdują się dość istotne dane np. dotyczące działania organizacji, dane osobowe, dane klientów, kontrakty, umowy. Nowy właściciel często z ciekawości, a w sytuacji kradzieży lub zgubienia – aby uzyskać dostęp do treści –uruchamia tzw. botowalną wersję systemu, np. Kali Linux, która umożliwia dostęp do danych zapisanych na dysku – bez względu na to, czy system był zabezpieczony hasłem, czy nie. Dane z dysku sformatowanego można zaś odzyskać, korzystając z działających pod systemem Linux programów, typu TestDisk czy PhotoRec.

Rozwiązaniem jest trwałe niszczenie dysków – przewiercanie albo kasowanie danych za pomocą fal elektromagnetycznych, odbiór sprzętu przez firmy zajmujące się jego niszczeniem na podstawie umów przenoszących odpowiedzialność; nie są to jednak rozwiązania przyjazne ekologii.

Naprzeciw wychodzą rozwiązania typu WIPERAPP, które pozwalają na trwałe usuwanie zawartości nośników, zarówno z dysków SSD, jak i HDD. Z technicznego punktu widzenia WIPERAPP działa niskopoziomowo, korzystając z udostępnionych funkcji firmware dysków twardych, pozwalających na nadpisywanie każdego z sektorów dysków. Każde kasowanie danych potwierdzone jest certyfikatem, który jest niezbędnym dowodem dla osób odpowiedzialnych za proces utylizacji sprzętu. Jest to rozwiązanie offline, dzięki czemu nikt nie ma dostępu do danych, które są usuwane.

Innym sposobem jest szyfrowanie dysków. W komputerach pracujących pod kontrolą Windows zastosowanie znajdzie oprogramowanie szyfrujące VeraCrypt (następca TrueCrypta). Dużą zaletą jest łatwość obsługi, a przy tym bardzo duże możliwości konfiguracji, w tym szyfrowanie zarówno partycji systemowej, jak i wszystkich pozostałych. W komputerach pracujących pod kontrolą Linuxa sprawdzi się szyfrowanie partycji systemowej podczas instalacji systemu, a ewentualnych pozostałych partycji przy pomocy programu VeraCrypt. Po wymianie lub utracie sprzętu nowy „ciekawski” użytkownik odzyska dane, ale będą one zaszyfrowane, więc praktycznie dla niego bezużyteczne.