Logo mark Archiwum

[WANTED] Ogólny poradnik o zabezpieczeniu kont

Prośby i sugestie
Aylin
Aylin ex-admin forum.lvlup.pro

Zadanie

Przygotowanie poradnika o bezpieczeństwie w Sieci - a dokładniej jak zabezpieczyć swoje konta/adresy email przed przejęciem przez osoby trzecie. Można posiłkować się OWU lvlup, które zostało podlinkowane w materiałach, jeśli autor poradnika będzie chciał się odwoływać do wersji prawnej to też nie widzę w tym nic złego - może wtedy w końcu niektórzy przeczytają regulamin 😛

Co chciałabym zobaczyć w poradniku:

  1. Krótkie wytłumaczenie po co robić zamieszanie z tym całym bezpieczeństwem - można przedstawiać najgorsze scenariusze jakie życie może napisać (okradzenie, podszywanie się, szantaż itp.). Już na samym wstępie warto wspomnieć o jakże skutecznej socjotechnice (no co, koledze hasła nie podasz), czyli że czasem warto być samolubnym i nie dzielić się z innymi wrażliwymi danymi.
  2. Sposoby zwiększenia bezpieczeństwa kont 2.1. Wybór programu do przechowywania haseł (KeePass, KeePassXC itd.) Tutaj ważne będzie wyjaśnienie jak tego ustrojstwa użyć, na co zwrócić uwagę przy wyborze, jakie hasło powinno być użyte jako master password, jak połączyć to z przeglądarką i czego powinien użytkownik spodziewać się (np. KeePassXC samoistnie zamyka się przy uśpieniu, co dodatkowo zwiększa bezpieczeństwo zwłaszcza jak po domu biega X rodzeństwa i ich znajomych, wadą jest że trzeba po odblokowaniu znów wpisać hasło i w przeglądarce kliknąć na wtyczkę że baza haseł jest już ponownie aktywna). Przegląd aplikacji na telefon i jak to wszystko można połączyć aby baza była dostępna i z PC i z telefonu mile widziane :slight_smile: 2.2. Zabezpieczenie przeglądarki Najlepszym zabezpieczeniem jest Pi Hole, wtedy wszystkie złośliwe strony nawet nie dotrą do przeglądarki, jednak jest to rozwiązanie dość zaawansowane, warte wspomnienia ale nie docelowe dla początkującego użytkownika. Bardziej mi chodzi o użycie czegoś w stylu uBlock oraz o uważne poruszanie się po Internecie (czyli czego spodziewać się np. na stronie banku -> zielone kłódeczki, poprawny certyfikat). Poruszenie wszystkich kwestii może być trudne i zbyt skomplikowane, pozostaje jeszcze wspomnieć o nieprzechowywaniu haseł w przeglądarce, regularnym czyszczeniu ciastek i wyłączaniu skryptów JS dla podejrzanych stron (co chyba sam uBlock nawet czyni, ale mogę się mylić). 2.3. Zabezpieczenie maila Czyli co to te 2FA, jak to włączyć, które skrzynki to oferują (Gmail na pewno, ale takie wp czy onet?). Jakiej aplikacji użyć do przechowywania kodów (chociażby i tej od Google, ale warto wspomnieć o alternatywach).
  3. Wszystko o hasłach Jakie nie powinny być, dlaczego warto skorzystać z generatora wbudowanego w program do trzymania haseł, jak często te hasła zmieniać.
  4. Kody zapasowe i inne dodatkowe informacje Gdzie przechowywać, bo na pewno nie w portfelu, jak ktoś gwizdnie portfel to nagle będzie mógł się do maila włamać. Trzymanie haseł w grupach/folderach - zalety i wady.

Osobiście trzymam wszystko w KeePassXC, jako załącznik dodaję kody zapasowe, bazę w końcu wrzuciłam na Dysk Google i mogę szybko zerknąć także z poziomu telefonu przez aplikację. Ważniejsze hasła specjalnie oznakowuję ikonkami, np. maile z konkretnych skrzynek widzę od razu gdzie są - dla niektórych zbędny bajer, dla mnie dość fajnie wygląda to wizualnie i pozwala mi szybciej poruszać się po dość sporej bazie.

Geneza

Obecnie na forum nie posiadamy jednego dobrego poradnika, który mógłby być przykładem dla osób chcących zabezpieczyć swoje konta ale nie mające zielonego pojęcia od czego zacząć. Nie ma co tu oszukiwać się - temat szeroki i długi jak rzeka.

Nakłonił mnie także fakt ostatnio coraz częściej przewijającego się tematu kradzieży kont, np. https://lvlup.rok.ovh/t/kradziez-konta/8444

Materiały

https://lvlup.rok.ovh/t/przechowywanie-hasel/639

https://lvlup.pro/doc/legal/ogolne-warunki.pdf

Nagroda

Za całość przewiduję nagrodę w postaci 70-90 PLN rabatu w lvlup.pro jako doładowanie portfela.

DBanaszewski
DBanaszewski α-tester v3

Można zaklepać, jestem chętny :slight_smile:

Aylin
Aylin ex-admin forum.lvlup.pro

Zaklepanie przyjęte i jest ważne do 15.10. :slight_smile:

error
error

Pisząc na forum niewiele zmienisz - to miejsce to forum społeczności a nie panel z ticketami. Cierpliwości :)

Alienix1338
Alienix1338

luzik

LinGruby
LinGruby Pionier

Aylin:

2.2. Zabezpieczenie przeglądarki

tu jest mało do pisania ;-)

DuckDuckGo - Wyszukiwarka, która Cię nie śledzi KeePassXC-Browser - (zainstalowany analogicznie program na kompie KeePassXC ) uBlock Origin - ( zaznaczone wszystkie filtry ) Privacy Badger - wykrywa potencjalnych szpiegów HTTPS Everywhere - które szyfruje komunikację z wieloma głównymi witrynami

i przeglądanie neta jest o niebo przyjemniejsze ;-)

Aylin
Aylin ex-admin forum.lvlup.pro

LinGruby:

i przeglądanie neta jest o niebo przyjemniejsze

Ty to wiesz, ja to wiem, przeciętny użytkownik Internetów w wieku 12-16 niekoniecznie będzie to wiedział ;)

DBanaszewski
DBanaszewski α-tester v3

Poradnik jest napisany w ~60%, lecz nie wyrobię się na 15 października.

@Aylin mógłbym otrzymać chociaż 3 dni więcej? Szkoła i czas to złe połączenie, a chciałbym dokończyć ten poradnik ;)

Aylin
Aylin ex-admin forum.lvlup.pro

Jasne, termin ostateczny zostaje przesunięty do 20.10., mam nadzieję że tyle czasu wystarczy na pozostałe 40% :slight_smile:

DBanaszewski
DBanaszewski α-tester v3

Niestety, ale jestem zmuszony oddać komuś ten poradnik. Szkoła i inne obowiązki tak jedzą czas, że po prostu nie uda mi się napisać tego poradnika w wyznaczonym czasie.

Mam nadzieję, że osoba, która "zaklepie" sobie poradnik wykona go najstaranniej i najlepiej :slight_smile:

SP24
SP24

Jeśli można, chciałbym zaklepać @Aylin

Aylin
Aylin ex-admin forum.lvlup.pro

Jeśli nadal jesteś chętny @SP24 to mogę "zaklepać" do 04.11. włącznie, co daje dwa tygodnie na realizację tematu :slight_smile:

SP24
SP24

Oczywiście jestem dalej zainteresowany.

Aylin
Aylin ex-admin forum.lvlup.pro

Okej, w takim razie poradnik jest zajęty do daty podanej wyżej :slight_smile:

SP24
SP24

Gotowe! Poradnik został napisany @Aylin https://lvlup.rok.ovh/t/bezpieczenstwo-w-sieci/8636

Aylin
Aylin ex-admin forum.lvlup.pro

Poniżej kilka uwag, po naprawieniu których uznam poradnik za gotowy

  1. Zmienić link artykułu. Nie chcę wp.pl, tam jest głównie para-dziennikarstwo i przepisywanie wiadomości od innych. W artykule jest link do oryginalnej treści na niebezpieczniku. Ten link jak najbardziej chcę. Do tego przydałoby się krótkie podsumowanie artykułu jak już go wklejasz, np. że są różne sposoby wyłudzania danych i phishing jest jedną z nich, co zostało opisane tutaj (link do artykułu). I że nawet dorosła osoba jest w stanie się nabrać, gdyż takiego rodzaju akcje są często dobrze zaplanowane tak aby wyglądały wiarygodnie. Jako przykład "z realnego świata" mogę podać kiedyś bardzo popularną metodę okradania staruszek "na wnuczka". Obecnie starsze panie już są uświadomione, więc złodzieje podają się za ludzi z gazowni albo za policjanta. No jak policjanta do domu nie wpuścić, nie? :slight_smile:
  2. PESEL jest wrażliwą daną, jednak nie aż tak jak np. numer karty bankowej wraz z kodem CVV (te trzy cyferki z tyłu karty). To jest lepszy przykład, w Polsce kradzież osobowości jest rzadka, kradzież hajsu bardziej przemawia do świadomości i jest częstsza. Raczej nie pożyczyłbyś znajomemu karty bankowej, bo ten chce sobie coś kupić w sklepie i ładnie prosi.
  3. Szczerze mówiąc to o LastPass słyszę po raz pierwszy. Jak widzę ich cennik to jakoś jeszcze mniej mam ochotę tego użyć. Fajnie jakbyś o tym wspomniał (zawsze coś nowego na rynku), jednak oparł się o wolno dostępny menadżer haseł, taki jak KeePass, o którym sporo ludzi słyszało. Niektórzy jak zobaczą ceny to wystraszą się i wrócą do pisania haseł na kartce BO JEST TANIEJ. Nie o to chodzi. Do tego gdzie jest master password w LastPass? Jeśli to dane do logowania to takie rozwiązanie nie jest bezpieczne, to znak że baza naszych haseł jest gdzieś tam u kogoś w chmurze i jak będą mieli wyciek to wszystkie hasła sobie popłyną. W KeePass jest zaszyfrowany hasłem plik, nawet jak znajomy będzie wiedział co to i zgra sobie na pendrive to bez master password może sobie nadmuchać, życzę powodzenia z rozszyfrowywaniem 😛
  4. Odnośnie strony banku to jest jedno dobre rozwiązanie, omijające część problemów - zawsze wchodzić na stronę banku z własnego linku (czyli zakładki). Nie jest foolproof, nie daje 100% pewności, ale rozwiązuje takie problemy jak podmiana linku na coś podobnego (np. fałszywa strona wygląda tak samo, ale ma literówkę w domenie). Fajnie że zwróciłeś uwagę na certyfikat i co dokładnie sprawdzić 👍
  5. Zmiana haseł jest dość problematyczna, sama mam z tym problem (👎 dla mnie). Ogólnie ludzie powinni mieć świadomość dlaczego lepiej trzymać się zasady 1 hasło = 1 serwis (podpowiem: wycieki). Do takich tam serwisów typu Spotify to zmieniam hasło rzadko (konto mam od 2015, zmieniałam do tej pory dwa razy, w tym raz po podejrzeniu jakiegoś wycieku), ale takiego maila to CHOCIAŻ raz na rok warto zmienić (raz na pół byłoby super, idealnie raz na kwartał, ale komu by się chciało). Ja sama mam w kalendarz wpisaną datę obowiązkowej zmiany haseł i raz w roku zmieniam. Więc choćby waliło się i paliło, w ten jeden dzień w roku hasła muszą zostać zmienione. Same maile to kwestia jakiegoś kwadransu, max pół godziny, raczej niedużo problemu.
  6. Krótkie wytłumaczenie dlaczego hasła słownikowe są złe - przeciętna osoba nie wie dlaczego 1qaz2wsx to "popularne hasło".

Pełną ocenę poradnika wydam po poprawkach, obecnie wstrzymam się z wypowiedzią.

SP24
SP24

Poradnik został poprawiony według podanych punktów. Ponadto zmieniłem Menadżer haseł z LastPassa na KeePassa, ze względu na fakt iż LastPass tak jak wspomniałaś nie jest zbyt bezpieczny.

Aylin
Aylin ex-admin forum.lvlup.pro

Dzięki za poradnik @SP24 Nagroda w wysokości 80 PLN została wydana, proszę o potwierdzenie :slight_smile:

SP24
SP24

@Aylin Jak najbardziej otrzymałem nagrodę. Nie ma sprawy, zawsze jestem chętny do pisania 😉

Aylin
Aylin ex-admin forum.lvlup.pro

Poradnik napisany, nagroda dostarczona, WANTED zakończone :slight_smile: