Používejte Facebook bezpečně!
29. 4. 2016 | Jindřich Zechmeister
Když se mi tento týden ozval známý s tím, že mu někdo či něco hacknulo Facebook a posílá přátelům divné zprávy, uvědomil jsem si, že mnoho uživatelů sociálních sítí nezná dvoufaktorové ověření (2FA). Inspirován tímto případem jsem vytvořil tento článek, který obsahuje kromě doporučení 2FA i jiné rady pro bezpečné využítí sociálních sítí.
Facebook aplikace umí generovat kódy pro přihlášení. Zdroj: macworld.com
Klíčem je dvoufázová autentizace
Pro opravdu bezpečné přihlášení na jakoukoliv sociální síť je potřeba mít nastaveno dvoukrokové (dvoufázové) přihlášení (autentizaci, dále 2FA). Tento způsob přihlášení je běžný zejména pro banky, ale větší internetové služby ho už podporují také (jejich seznam najdete dále v textu).
Kromě jména a hesla musíte při přihlášení zadat i jeden další údaj, kterým je typicky kód z SMS zprávy nebo kód z mobilní aplikace (tokenu). Kromě hesla potřebujete pro přihlášení i tento druhý údaj a ten vzdálený útočník nezíská bez držení vašeho telefonu. Bez SMS zprávy s 2FA kódem se nemůže útočník přihlásit ani když heslo zná.
Postup jak na Facebook přidat telefonní číslo a nastavit 2FA jsme na našem blogu uvěřejnili v samostatném návodu. Kromě SMS zpráv je možné pro 2FA využít generátor kódů v mobilní aplikaci Facebook či generátor kódů Google Authenticator. S Facebookem budete jistě pracovat i na svém smartphonu, takže tato varianta generování kódu je nejpříjemnější. Při každém přihlašování se v telefonu zobrazí dočasný kód pro přihlášení.
Na Facebooku si též nastavte (kromě zmíněného zabezpečení a schvalování přihlášení) zasílání Výstrah při přihlášení. Když se nepovolaná osoba pokusí přihlásit, tak vám dorazí upozornění. Stejnou funkci podporuje i Google, který na základě lokalit zjištěných z IP adres nedovolí "podezřelé" přihlášení (například z Ruska, když Google používáte u nás). Služby umožňují zkontrolovat IP adresu, ze které jste se naposledy příhlásili, nebo ze které byl pokus o přihlášení proveden.
Po nastavení 2FA je vhodné věnovat pozornost případnému obnovení účtu. Mobilní číslo už na účtu nastaveno máte, zvolte si ale také sekundární e-mail pro případnou obnovu hesla. Pro obnovení hesla se může hodit možnost nastavení třech důvěryhodných kontaktů (přátel), kteří vám s obnovením pomohou. Ti skutečně nejzodpovědnější uživatelé si mohou v sekci Schválení přihlášení vygenerovat a vytisknout záložní kódy pro nouzový přístup k účtu (například pokud by vám byl ukraden mobil a nemohli jste se přihlásit s 2FA).
Používejte silné heslo
Pro alespoň základní bezpečnost na internetu je nutné používat silná hesla. Za dostatečně silné heslo považuji alespoň 10 znaků. V hesle musí být písmena a číslice, minimálně jedno písmeno velké a minimálně jeden symbol (?. *, +). Nepiště však symboly a čísla pouze nakonec, protože byste snížili sílu hesla (útočník to bude předpokládat).
Naprosto zapovězeno je použití křestních jmen (zejména vaše a manželky), podstatná jména, značky a celočíselná hesla. Útočníci vždy zkouší jako první tzv. slovníkový útok, tedy doplnění obecných slov a výrazů místo hesla. Slovníkový útok má velice vysokou úspěšnost, protože nejčastěji používaným heslem na internetu je stále „123456“ a „password“.
Uvědomte si, že silné heslo je prvním krokem k zabezpečení. Pro malware a viry není problém heslo uložené v systému (prohlížeči) zjistit a odeslat útočníkovi. Hesla proto pokud možno neukládejte v prohlížeči (což ale neznamená, že je nalepíte na papírku na monitor). Nechcete-li si hesla pamatovat, používejte správce hesel, jako například LastPass nebo 1Password.
Mějte zabezpečený e-mail
E-mailová schránka je nejčastější cíl útočníka. Většina uživatelů používá jednoduché heslo, které se ještě navíc opakuje ve všech internetových službách. Čím více může útočník získat nebo spáchat větší škodu, tím více je motivován se do e-mailu dostat. Věřte, že na veřejné WiFi (kavárny, knihovny, letiště) je odchycení hesla poměrně snadný úkol.
Z pohledu bezpečnosti je nanejvýš vhodné mít sociální sítě navázány na bezpečnou e-mailovou službu, která podporuje dvoufázovou autentizaci. Příkladem je Gmail nebo Outlook.com. Služby jako Seznam.cz, Centrum.cz, Volny.cz a jiné freemaily už dnes raději nepoužívejte.
Nespoléhejte na antivir
Antivir je paradoxně hlavní nepřítel internetové bezpečnosti, protože v lidech vzbuzuje falešný pocit bezpečí a všemocné ochrany před kybernetickými riziky. V Česku se navíc často používají řešení zdarma (Avast, AVG), jejíž míra ochrany je průměrná. Avast a Eset nemám rád kvůli klamání uživatelů a sledování jejich domněle šifrované komunikace.
Antivir vás může ochránit před otevřením nebezpečného souboru, ale neochrání vás před prolomením hesla k e-mailu nebo podobným rizikem. Vždy je nejdůležitější zodpovědné a bezpečné chování, které bude přiměřené důležitosti subjektu, za koho na Facebooku vystupujete. Když nějaký virus pošle na zeď puberťáka porno, tak se jedná vcelku jen o incident, které mu se jeho přátelé zasmějí. Zkuste si však představit analogický incident na firemní stránce velké korporace...
Proto je dvoufázové přihlášení doporučeným nástrojem pro všechny, kdo mají na starosti sociální sítě firem a institucí. Je zárukou bezpečnosti přihlášení i v případě, že dojde k bezpečnostnímu incidentu. Ne nadarmo ho jako první zavedly banky pro své internetové bankovnictví!
Buďte opatrní ve veřejných sítích
Poslední rada se týká připojení na internet mimo domov. Mnoho lidí dnes při návštěvě restaurace nebo při čekání v obchodě vytáhne svůj smartphone a začne hledat WiFi připojení. Zvykli jsme si být neustále online a množství možností pro připojení je příjemné.
V úvodu zmiňovaný kamarád byl pravděpodobně cílem útoku na veřejné WiFi. Naštěstí si během práce s ní uvědomil, že není nejlepší nápad připojovat se na internetbanking pomocí veřejné sítě a neučinil tak.
Jak je snadné odchytávat komunikaci na veřejné WiFi známe i z našeho prostředí a ze známého incidentu v Alze. Nebezpečí číhá i v sítích UPC, protože ty nabízí možnost připojení zdarma pomocí Wi-Free. Při připojení bohužel musíte akceptovat nedůvěryhodný certifikát UPC a smířít se s možností odchytu a zneužití informací, jelikož MITM útok nelze vyloučit. Ze všech zmíněných důvodů doporučuji začít používat VPN tunel v mobilu i počítači. Jak na to najdete samozřejmě i zde na blogu; návody vám pomohou začít tunelovat (samozřejmě jen komunikaci).
Kde najít seznam bezpečných služeb s 2FA?
Dvoufaktorovou autentizaci berte jako podmínku používání sociálních sítí a navázané internetové služby ji musí podporovat také. Seznam služeb, které toto bezpečné přihlášení podporují, naleznete na https://twofactorauth.org/.
Možná se vám zdá požadavek na používání služeb s 2FA přehnaný, ale pokud Facebook používáte jménem firmy, tak je dobré přijmout patřičnou zodpovědnost. Kdyby český premiér používal stejný způsob přihlášení (nebo nepoužíval Seznam), tak by se nestal terčem úspěšného útoku a kauza s jeho prozrazenými maily by se nikdy neodehrála.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz