2/26/2012

Jedno imię kilka furtek na świat otworzy…

Często korzystasz z komputera w kafejce, pracy albo w szkole ? Czy dużo osób również korzysta z tego komputera ? No właśnie, tutaj zaczyna się problem.
Jak nie skasujesz pozostawionych przez Ciebie danych w przeglądarce – to mamy problem. Ów problem, chciałbym omówić, a dokładniej udowodnić – jak jedno imię potrafi otworzyć kilka furtek np. do poczty i konta na fejsbuku.


Osoba, która będzie się włamywała to Janek - dobrze myślący chłopak, który uwielbia obnażać błędy innych ludzi w praktyce.
Janek :>
Otóż, Janek pewnego dnia poszedł sobie do kafejki internetowej, skorzystać z tamtejszych atrakcji. Kiedy odpalił stronę facebooka, w polu login ukazał się zapamiętany przez przeglądarkę adres e-mail.
Wyglądał on mniej więcej tak:

Przeglądarka zapamiętała login.

Jako że Janek jest zły – to postanowił na podstawie tego adresu – zdobyć konto pocztowe, a także facebooka. Chciał to zrobić jak najprostszym sposobem.

1. Wejście na stronę logowania do poczty.

Janek znał tylko login, ale nie znał hasła. Włamywanie się do bazy dostawcy usługi pocztowej było totalnie bez sensu. Postanowił więc użyć opcji bardzo „przydatnej” opcji…

2. „Nie pamiętasz hasła ?”

Z możliwych opcji wybrał najprostsze – pytanie pomocnicze, które użytkownik poczty ustawia przy zakładaniu konta.

Pytaniem było – „Jak mam na imię ?” (FAIL!)  – Janek, który w jednym momencie zrobił facepalm, głośny na całą kafejkę wpisał imię, które znajduje się w adresie pocztowym. Oczywiście, to była prawidłowa odpowiedź

3. Resetowanie hasła

Kolejnym krokiem było zresetowanie starego hasła i wpisanie nowego. Od tej pory Janek miał dostęp do poczty, która należał do przypadkowej osoby, która po prostu nie skasowała zostawionych po sobie danych w głupiej przeglądarce…

Kolejny cel – Facebook.

Janek postawił sobie kolejny cel – konto na facebooku. Postanowił pójść tą samą drogą co przy  zdobywaniu dostępu do konta pocztowego.

1. Facebook – opcja „Nie pamiętasz hasła”

Janek, ponownie skorzystał z opcji „przypomnienia hasła”, które przy odrobinie szczęścia – w łatwy sposób pozwalało na zdobycie upragnionego celu.

Docelowo Facebook umożliwia przypomnienie hasła na trzy sposoby.
trzy opcje uzyskania hasła
Jednakże Janek skorzystał z opcji, która pozwalała użyć zdobytego konta pocztowego.

2. Po podaniu adresu poczty…

Janek musiał tylko zaakceptować wysłanie na przypisany do konta adres e-mail – hasła resetującego konto.


3. Użycie hasła i zdobycie dostępu do konta na Fejsbuku 
Teraz już wystarczyło wpisać hasło resetujące, a następnie podać nowe hasło – potem już tylko co Janek w głowie ma to zrobi.

 Generalnie, sami widzicie jak łatwo jest zdobyć dostęp do czyjegoś konta. Przy czym, nie trzeba tutaj być niesamowitym hakierem, który będzie ładował wszelkie ataki na dostawcę usługi. Wystarczy tylko pomyśleć, a także bezlitośnie wykorzystać błędy posiadacza konta.

Jak żyć panie premierze ? Jak żyć ?

Co zrobić aby nie stać się ofiarą takiego Janka ? Wystarczy zastosować się do paru zasad i wskazówek.

1. Używać oddzielnych adresów pocztowych do różnych usług.

Przykładowo, na usługi takie jak portale społecznościowe bądź inne mniej ważne usługi internetowe – warto używać osobnego adresu e-mail.
Warto by też nazwać je np. imieniem ulubionej postaci z bajki. „Inna” nazwa loginu pocztowego, pozwoli nam ustrzec się przed wpadką jak przy zdobywaniu dostępu do poczty przez Janka za pomocą pytania pomocniczego.

2. W miarę możliwości, stosować podwójne uwierzytelnianie.
Podwójne uwierzytelnianie == najpierw hasło, a potem sms z kodem dostępu

Opcja ta jest bardzo przydatna, ale niestety nie wszędzie dostępna (Gmail i Facebook – posiadają tą opcję). Wbrew pozorom nie jest ona upierdliwa, a także trudna w stosowaniu. Postaram się omówić ją kiedyś na łamach bloga ;-)

Podwójne uwierzytelnianie, pozwoli nam na uniknięcie dostępu do naszego konta przez nieuprawnioną osobę. Gdyż nawet, jeśli zdobędzie ona hasło – to będzie jeszcze musiała zdobyć nasz telefon, aby odczytać jednorazowy kod dostępu.

3. Po skończonej pracy kasujemy historię, a także cache zachowany przez przeglądarkę.

Jest to bardzo szybkie działanie, a także bardzo skuteczne w zapobieganiu działania potencjalnemu Jankowi.
W Firefox’ie wystarczy nacisnąć – CTRL+SHIFT+DELETE – potem zaznaczyć wszystkie opcje i wyczyścić.


Mam nadzieję, że przeczytaniu wpisu skłoniło Was do pewnych przemyśleń. Wystarczy zacząć myśleć o własnym bezpieczeństwie, aby uniknąć takich wpadek ;)

Brak komentarzy:

Prześlij komentarz

Zastrzegam sobie możliwość usuwania komentarzy, które nie są zbytnio konstruktywne pod względem merytorycznym.