Na co dzień użytkownicy internetu korzystają z wielu różnych mediów społecznościowych. Jest to też częsty cel cyberprzestępców, którym czasami chodzi wyłącznie o dane użytkownika, ale częściej o próbę wyłudzenia pieniędzy np. metodą „na BLIK-a” od znajomych ofiary. Rozpoczynając całą serię artykułów, chciałabym na początku skupić się na tym, co sami możemy zrobić, żeby nasze konto na Facebooku nie było celem udanego ataku. Równocześnie zadbamy wspólnie o to, żeby nieznajomi nie mogli zbyt wiele z naszego profilu wyczytać. Zapraszam na mały przegląd tego, co sam portal pozwala zdziałać. Dzisiejszy artykuł dedykuję bardzo początkującym użytkownikom, ale ci bardziej doświadczeni mogą sprawdzić, czy zrealizowali wszystkie punkty lub inspirując się lekturą, podzielić się z nami i czytelnikami swoją wiedzą na temat skutecznych zabezpieczeń.
Zacznijmy od tego, że media społecznościowe to kopalnia wiedzy o nas samych. Dlatego musimy korzystać z nich z głową i zastanowić się, co udostępniamy, co i jak komentujemy, jakie inne informacje przekazujemy. Dane, które udostępniamy potrafią zdefiniować nas samych, nasze cechy, poglądy, wiedzę. Każdy sam dokonuje wyboru, na ile chroni swoją prywatność, a ideą tego artykułu jest jedynie pomoc w konfiguracji konta w taki sposób, aby stało się ono trudniejszym celem dla cyberprzestępców.
Pod postem zamieszczę listę kontrolną do pobrania, na której będą wszystkie kroki. Powinno to w bardzo praktyczny sposób pomóc zorganizować swoje działania.
Krok 1: Zaczynamy od logowania.
Można spróbować opcji Kontrola prywatności – z ciekawości przeszłam przez nią i była całkiem interesująca, ale chcę pokazać wszystkie ustawienia, więc należy skierować swoje kroki do ogólnych ustawień konta. W tym miejscu można sprawdzić, czy na pewno podany adres e-mail jest poprawny i aktualny (wiem co mówię, sama żyłam długo z nieaktualnym).
Krok 2: Przechodzimy do bezpieczeństwa i logowania.
Zaczynamy od szybkiego przeglądu: najlepiej by było kliknąć teraz „Wyloguj się ze wszystkich sesji”, ale ewentualnie można wylogować się tylko z wybranych sesji, używając trzech kropek po prawej stronie (strzałka). Skąd wiedzieć, które sesje są do wylogowania? Sam użytkownik wie najlepiej, z jakich urządzeń się logował i w jakich miejscowościach (do geolokalizacji podchodziłabym z dużą dozą ostrożności, często geolokalizacja adresu IP, z którego się łączymy, nie jest w praktyce miejscem naszego pobytu). Natomiast jeśli zmieniane są hasło lub adres e-mail, sugeruję wylogować wszystkie aktywne sesje, aby wymusić ponowne logowanie nowymi poświadczeniami.
Krok numer 3 jest bardzo ważny, bo dotyczy hasła i uwierzytelniania.
ie znam poradnika, który nie mówi o sile hasła i uwierzytelnianiu dwuskładnikowym.
Jeśli jednak sugeruję zmianę hasła, to mam na myśli to, że powinno się je zmienić, jeżeli:
- składa się z samych liczb,
- jest prostym „słownikowym” hasłem w stylu „Ewa1567”,
- używane jest jedno hasło w kilku miejscach,
- poprzednie zostało złamane lub wyciekło.
Spełnienie jednego lub więcej warunków doprowadza do konkluzji, że warto zmienić hasło: zawsze polecam korzystanie z menedżera haseł (np. KeePass darmowy lub płatny 1Password), ale jeśli z jakiegoś powodu nie chcesz, to zasada z hasłami jest prosta. Najlepiej żeby było zdaniem, jakąś kombinacją, którą Wam łatwo będzie zapamiętać, a przy okazji możecie zamienić „a” na „@” albo „s” na „$” i już to sprawi, że są jakieś elementy skomplikowania, które czynią hasło trudniejszym do odgadnięcia. Idealnie sytuację oddaje poniższy komiks XKCD.
Lata doświadczeń pokazują, że złą praktyką jest wymuszanie częstej zmiany haseł – np. raz w miesiącu. Powoduje to, że użytkownicy mają tendencję do tworzenia prostych haseł, które są relatywnie łatwe do złamania. Częsta zmiana silnego hasła (np. generowanie nowego w menadżerze haseł) nie ma za wiele sensu. Natomiast jeśli użytkownik nie ma świadomości dotyczącej odpowiedniego budowania haseł to wciąż będzie tworzył słabe zabezpieczenia. Jedynie wydłużanie ciągu znaków i zmiana cyfr (lub dodawanie kolejnych) w praktyce nie poprawi bezpieczeństwa konta.
Kolejne ważne dla użytkownika pytanie brzmi: czy włączać uwierzytelnianie dwuskładnikowe? Zdecydowanie tak! Do wyboru jest aplikacja uwierzytelniająca (np. Google Authenticator), klucz zabezpieczeń (np. Yubikey), lista kodów odzyskiwania dostępu (zawsze mam mieszane uczucia przy pobierania kodów i trzymania ich gdzieś na dysku, w chmurze, analogowo na kartce) i wiadomość tekstowa SMS (przez niektórych nieuznawane za uwierzytelnianie dwuskładnikowe). Ja najbardziej lubię dwie pierwsze, można mieć też wszystkie naraz.
Nie jest jednak tak, że za każdym razem Facebook będzie prosić o drugi etap weryfikacji. W ten sposób przechodzimy do Autoryzowanych logowań, do których warto zaglądać co jakiś czas, np. kiedy logowaliście się z innego źródła, zmieniliście telefon lub komputer. Wszystkie starsze autoryzacje warto usunąć, ale możliwe jest usuwanie danych za każdym razem.
Krok czwarty dotyczy dodatkowych zabezpieczeń:
Świat dodatkowych zabezpieczeń wita użytkowników możliwością otrzymywania powiadomień, jeśli ktoś z nieznanego urządzenia zaloguje się na nasze konto i ja tę opcję włączyłam. Poprosiłam nawet o e-mail jeśli się to wydarzy. I też takie rozwiązanie polecam. Co do wybierania znajomych, jeśli utracony zostanie dostęp do konta: można wybrać, nie wiem, na ile to skuteczne i efektywne.
Czas przejść dalej i wykonać piąty krok:
Nic nie stoi na przeszkodzie żeby e-maile od Facebooka były zaszyfrowane. Wystarczy wpisać swój klucz publiczny PGP (Pretty Good Privacy). Jest to opcja raczej dla bardziej zaawansowanych użytkowników, ale początkującym też radzę trochę więcej na ten temat poczytać. Rada dla najbardziej ostrożnych (do których samą siebie zaliczam): warto wygenerować osobny klucz publiczny dla Facebooka.
Nadal zdarzają się phishingi związane z Facebookiem, dlatego bardzo pomocna okazać się może opcja Zobacz ostatnie e-maile od Facebooka. Jeśli więc jakiś e-mail jest dla Was podejrzany, zawsze można sprawdzić w tym miejscu, czy to prawdziwa wiadomość, czy jednak próba oszustwa. Pamiętać należy jednak, by pod żadnym pozorem nie klikać w linki z maila.
Pierwsza część za nami: przebrnęliśmy przez cały pakiet możliwości kryjący się pod hasłem Bezpieczeństwo i logowanie.
Następnym razem przyjrzymy się, co można zobaczyć bez przeszkód na Waszym profilu.
Autorka: Ewa Matusiak
Dodatkowe materiały:
Dla łatwiejszego wykonania wszystkich kroków warto pobrać specjalnie przygotowaną listę sprawdzającą, na której możecie odhaczyć wszystkie punkty.