Zarządzanie hasłami online
Wielu użytkowników czuje się przytłoczonych informacjami dotyczącymi bezpieczeństwa online. Mark Risher i Stephan Micklitz z Google rozmawiają o tym, że podczas opracowywania zabezpieczeń trzeba uwzględnić te emocje.
Panie Risher, jako dyrektor Google ds. zarządzania produktami i usługami zajmuje się pan bezpieczeństwem online. Czy padł pan kiedyś ofiarą internetowego oszustwa?
Mark Risher: Nie przychodzi mi w tej chwili do głowy żadna konkretna sytuacja, ale to tylko moje przypuszczenia. Popełniam błędy tak samo jak wszyscy. Niedawno na przykład wpisałem hasło do Google na niewłaściwej stronie. Na szczęście mam w Chrome wtyczkę Ochrona hasła, która wskazała mi błąd. Oczywiście natychmiast zmieniłem to hasło.
Stephan Micklitz, dyrektor ds. technicznych w zespole Google odpowiedzialnym za prywatność i zabezpieczenia: Jesteśmy tylko ludźmi. Gdy zapamiętamy hasło, możemy łatwo wpisać je na stronie, nie upewniając się, że jest właściwa.
Risher: Chcielibyśmy zupełnie pozbyć się haseł, ale to nie takie proste.
„Wiele zabezpieczeń działa w tle”.
Mark Risher
Co jest złego w hasłach?
Risher: Mają wiele wad: trudno je zapamiętać, ale łatwo wykraść, a zarządzanie nimi bywa uciążliwe. Wielu użytkowników sądzi, że hasła powinny być tak długie i skomplikowane, jak to tylko możliwe. Tymczasem to w rzeczywistości zwiększa ryzyko. Skomplikowane hasła sprzyjają używaniu ich na wielu kontach, a przez to stają się bardziej podatne na złamanie.
Micklitz: Im rzadziej wpisujesz hasło, tym lepiej. Dlatego nie należy stale logować się na konta i z nich wylogowywać. Z czasem może dojść do tego, że przestaniemy zwracać uwagę, na jakiej stronie właściwie jesteśmy, a to bardzo ułatwi sprawę złodziejom haseł. Zalecamy więc, by się nie wylogowywać.
Na stronie mojego banku użytkownicy są automatycznie wylogowywani po kilku minutach bezczynności.
Micklitz: Niestety wiele firm wciąż stosuje się do nieaktualnych reguł. Zalecenie ciągłego wylogowywania się pochodzi z czasów, gdy większość ludzi korzystała z internetu w kafejkach lub na komputerach udostępnianych innym osobom. Z naszych badań wynika, że im częściej użytkownik musi wpisywać hasło, tym bardziej prawdopodobne, że padnie ofiarą cyberataku. Lepiej jest więc włączyć na telefonie komórkowym czy komputerze blokadę ekranu i korzystać z bezpiecznego hasła.
Risher: To prawda. Niestety krąży wiele fałszywych i niepraktycznych zaleceń, co może powodować dezorientację wielu użytkowników. W najgorszym wypadku poczucie niepewności sprawia, że ludzie po prostu się poddają. Dochodzą do wniosku, że skoro tak trudno jest się chronić, lepiej nic nie robić. To trochę jak zostawianie otwartych drzwi do domu, skoro i tak w okolicy grasują włamywacze.
Mark Risher pełni w Google funkcję dyrektora ds. zarządzania produktami i usługami w zakresie bezpieczeństwa i ochrony prywatności. W 2010 roku założył Impermium – startup zajmujący się cyberbezpieczeństwem, który został nabyty przez Google w 2014 roku. Od tamtej pory Risher pracuje w siedzibie firmy w Mountain View w Kaliforni. Po prawej: klucz bezpieczeństwa używany w Programie ochrony zaawansowanej. Jest dostępny za niewielką opłatą i może być stosowany na wielu stronach internetowych.
Jak firma Google zapewniłaby bezpieczeństwo użytkowników, gdyby zlikwidowano hasła?
Risher: W tej chwili wiele innych zabezpieczeń działa już w tle. Haker może poznać hasło i numer telefonu, a mimo to jesteśmy w stanie zagwarantować bezpieczeństwo konta Google na poziomie 99,9 procent. Sprawdzamy na przykład, z jakiego kraju lub urządzenia ktoś się loguje. Jeśli podejmuje kilka prób logowania z rzędu i wpisuje nieprawidłowe hasło, nasze systemy zabezpieczeń traktują to jako sytuację alarmową.
Micklitz: Opracowaliśmy też stronę Sprawdzanie zabezpieczeń, gdzie użytkownicy mogą krok po kroku przejrzeć własne ustawienia bezpieczeństwa na koncie Google. W programie ochrony zaawansowanej idziemy jeszcze dalej.
Na czym polega ten program?
Micklitz: Początkowo był przeznaczony dla polityków, prezesów czy dziennikarzy, którzy często mogą stanowić cel dla przestępców. Obecnie jest dostępny dla wszystkich zainteresowanych większym bezpieczeństwem w internecie. Aby wejść na chronione konto Google, trzeba mieć specjalny klucz USB lub Bluetooth.
Risher: Wiemy z doświadczenia, że to bardzo skuteczne zabezpieczenie. Wszyscy pracownicy Google używają kluczy bezpieczeństwa, by chronić swoje konta firmowe. Od wprowadzenia tego środka bezpieczeństwa nie mieliśmy ani jednego przypadku wyłudzenia informacji, w którym analiza przyczyn wskazałaby na potwierdzanie hasła. Stosowanie tokenów znacznie poprawia bezpieczeństwo konta Google, ponieważ haker nie dostanie się na nie nawet wówczas, gdy pozna hasło. Konto online można zhakować z dowolnego miejsca na świecie, ale w przypadku kont chronionych fizycznym tokenem zabezpieczającym sprawa nie jest już taka prosta.
Micklitz: Poza tym tokenów zabezpieczających można używać na wielu stronach internetowych, nie tylko w programie ochrony zaawansowanej Google. Są do kupienia u nas i u innych producentów w niewygórowanej cenie. Szczegółowe informacje można znaleźć na stronie g.co/advancedprotection.
„Czasem trudno ocenić ryzyko w internecie”.
Stephan Micklitz
Jakie są obecnie waszym zdaniem największe zagrożenia, które czyhają na nas w internecie?
Risher: Problemem jest duża liczba list z kombinacjami nazw użytkownika i haseł, które można znaleźć online. Nasz współpracownik Tadek Pietraszek spędził wraz ze swoim zespołem 6 tygodni na przeszukiwaniu internetu i znalazł 3,5 miliarda takich kombinacji. To nie są dane ze zhakowanych kont Google. Zostały skradzione innym dostawcom usług. Ponieważ jednak wielu użytkowników wykorzystuje to samo hasło na kilku kontach, takie listy stanowią problem również dla nas.
Micklitz: Moim zdaniem dużym problemem jest tzw. spear phishing. Polega to na wysyłaniu dopracowanych, spersonalizowanych wiadomości, w których ofierze trudno jest rozpoznać fałszerstwo. Widzimy, że hakerzy coraz częściej sięgają po tę metodę – i odnoszą sukces.
Risher: Zgadzam się ze Stephanem. Ponadto spear phishing nie jest w rzeczywistości wcale tak czasochłonny, jak mogłoby się wydawać. Spersonalizowanie e-maila ze spamem zajmuje kilka minut. Hakerzy mogą korzystać z informacji, które użytkownicy publikują na swój temat online. To problem w przypadku kryptowalut. Na przykład ktoś, kto ogłasza, że posiada 10 tys. bitcoinów, nie powinien być zaskoczony, gdy ta informacja przyciągnie uwagę cyberprzestępców.
Micklitz: To tak, jakby stać pośrodku rynku i ogłaszać przez megafon, ile pieniędzy ma się na koncie. Kto by zrobił coś takiego? Nikt. Czasem jednak trudno ocenić ryzyko w internecie.
Czy regularne e-maile ze spamem są nadal problemem?
Risher: Łączenie urządzeń i usług to dla nas duże wyzwanie. Ludzie korzystają z internetu nie tylko na laptopach i smartfonach. Używają też do tego telewizorów, smartwatchów i inteligentnych głośników. Różne aplikacje działają na wszystkich tych urządzeniach, więc hakerzy mają wiele potencjalnych punktów ataku. Ponieważ sporo urządzeń jest dzisiaj połączonych, wystarczy, że wykorzystają jedno z nich, by dotrzeć do informacji przechowywanych na innym. Musimy więc zadać sobie pytanie, jak zagwarantować bezpieczeństwo użytkowników wobec tak licznych nowych zwyczajów dotyczących korzystania z internetu.
Micklitz: Najpierw trzeba się zastanowić, jakich danych naprawdę potrzebujemy w przypadku każdej usługi – i jakie dane są wymieniane między usługami.
Stephan Micklitz
jest dyrektorem ds. technicznych w zespole Google ds. ochrony prywatności i bezpieczeństwa. Studiował informatykę na Monachijskim Uniwersytecie Technicznym, a od końca 2007 roku pracuje w biurze Google w Monachium. Micklitz zasiada w zarządzie Deutschland sicher im Netz (DsiN), niemieckiej inicjatywy na rzecz bezpieczeństwa w internecie.
Jak wykorzystujecie sztuczną inteligencję do ochrony użytkowników?
Micklitz: Google używa sztucznej inteligencji już od jakiegoś czasu.
Risher: Ta technologia jest od początku wbudowana w naszą usługę poczty e-mail – Gmaila. Opracowaliśmy nawet własną bibliotekę z zakresu systemów uczących się, czyli TensorFlow, która ułatwia pracę programistów zajmujących się tym obszarem. TensorFlow przydaje się szczególnie w Gmailu, ponieważ umożliwia rozpoznawanie wzorców.
Czy możecie wyjaśnić, na czym polega rozpoznawanie wzorców?
Risher: Powiedzmy, że obserwujemy podejrzaną aktywność w kręgu kilku użytkowników i nie możemy przypisać jej do żadnej kategorii. System uczący się jest w stanie porównać te wydarzenia i przy odrobinie szczęścia może wykryć nowe formy oszustw, zanim zaczną się szerzyć online.
Micklitz: Wszystko ma jednak granice. System nie będzie bardziej inteligentny niż osoba, która go używa. Jeśli wprowadzę do systemu fałszywe lub jednostronne dane, rozpoznane wzorce również takie będą. Mimo zachwytu nad sztuczną inteligencją jej skuteczność zawsze zależy od osoby, która posługuje się tą technologią. Wprowadzenie do systemu danych wysokiej jakości, a potem weryfikowanie wyników, to obowiązek użytkownika.
Risher: Pracowałem kiedyś dla innego dostawcy poczty e-mail i otrzymaliśmy wiadomość od pracownika banku w Lagos. W tym czasie krążyło wiele fałszywych e-maili, a wiele z nich pochodziło z Nigerii. Tamta osoba skarżyła się, że jej e-maile zawsze trafiają do folderu ze spamem, chociaż pracuje w renomowanym banku. To typowy przykład fałszywego uogólnienia przy rozpoznawaniu wzorców, które wynika z niewystarczających informacji. Możemy spróbować rozwiązać ten problem poprzez zmianę algorytmu.
Zdjęcia: Conny Mirbach
Innowacje w zakresie cyberbezpieczeństwa
Dowiedz się, w jaki sposób chronimy więcej osób online niż ktokolwiek inny.
Więcej informacji