Pierwszy raz ktoś włamał mi się na konto, a nawet dwa
Tragedia! A na serio, to mogło skończyć się o wiele gorzej. Ale po kolei...
Jakoś w ostatni weekend nagle zauważyłem na telefonie powiadomienie o nowej poczcie. Otworzyłem je i w kliencie pocztowym zastałem... nic ciekawego. Zero nowej poczty. Dziwne. Każda normalna osoba stwierdziłaby, że ma omamy albo to "jakiś kolejny głupi błąd", który można zignorować i oddalić się w celu dalszej bezmyślnej wegetacji.
Ale że jestem kompletnym nerdem i nie mam życia, to wiem że rzeczy nie dzieją się bez powodu. Zacząłem myszkować i po moim ogromnym zdumieniu zauważyłem, że nowa poczta znajduje się w Koszu. Zapaliła mi się żółta lampka ostrzegawcza. Oto poczta, jaką otrzymałem:
Oho, ktoś próbuje się dostać na moje konto Steam. Z otchłani pamięci wygrzebałem, że rzeczywiście mam takie konto. Na szczęście jest to moje zabytkowe konto, które założyłem z 10 lat temu, żeby móc zagrać w darmówki na multiplayerze z bratem.
I w tym momencie lampka zmieniła kolor na czerwony a syreny zaczęły wyć na alarm. Jeśli poczta jest w koszu to znaczy, że ktoś już się na nią włamał i spokojnie odczytał ten kod!
Adrenalina podskoczyła i natychmiast przesiadłem się na komputer stacjonarny, oraz zalogowałem się na swoją pocztę z przeglądarki. Kolejny fart - nie zmienili hasła. Albo po prostu zareagowałem dla nich za szybko. Zmieniłem hasło.
Następnie zalogowałem się na Steamie na swoje stare konto i po uwierzytelnieniu (podobnym do tego powyżej) również i na nim zmieniłem hasło. Na koniec przekazałem konto do usunięcia (także możecie sobie darować potencjalne zaproszenia do znajomych).
Jednak czy to koniec ataku? Co mogą jeszcze zrobić i skąd znają moje hasła? Odpowiedź nasunęła się sama - ano z dziesiątek wycieków, które miały miejsce przez ostatnie 10 lat. Ale przecież zmieniałem hasło do poczty, więc jak? Tak, że ten sam e‑mail mam użyty jako login na mnóstwie innych stron. Przestudiowali wszystkie kombinacje haseł, jakie używam pod tym mailem i w końcu, zapewne za którymś razem, trafili.
"Szlag! To znaczy, że wszystkie inne strony, które używam z tym mailem są spalone, bo używam podobnych kombinacji". Domyśliłem się, że celem ataku są moje platformy cyfrowe takie jak Battle.Net, Epic Games, Origin, GoG, Ubisoft... Długo by wymieniać.
Nie myliłem się, bo później w nocy dostałem jeszcze maila z próbą resetu hasła do Epic Games. Wziąłem z szuflady notes i zacząłem zapisywać nowe hasła. Kompletnie inne niż do tej pory, bo jak widać zmiana jednej litery z małej na dużą nie daje większych rezultatów...
Jednak na tym nie koniec, nadal są setki innych stron... Do tej pory pamiętałem każde hasło do każdej strony, pomagając sobie domyślnym menedżerem haseł w przeglądarce. To było dość wygodne, mogłem dzięki temu zalogować się z każdego urządzenia, często polegając tylko na swojej pamięci. "Jednak" - stwierdziłem - "to chyba koniec mojego wygodnego, leniwego dzieciństwa...".
Wybór menedżera haseł
Jak na każdej stronie mieć inne hasło i nie zwariować? Niestety trzeba skorzystać z profesjonalnego menedżera haseł... Kolejne dwa dni testowałem LastPass oraz Bitwarden (polecony przez kolegę z roboty). Spróbuję rozpisać moje wnioski w formie plusów i minusów.
LastPass
Plusy:
- Automatyczne uzupełnianie formularzy oraz inne interakcje z formularzem
- Wtyczka do przeglądarki
- Aplikacja na komputer, którą można wytrenować do wpisywania haseł (dość beznadziejna, ale jest)
- Aplikacja na telefon z autouzupełnianiem dla innych aplikacji
- Automatyczne pytanie przy zmianie hasła, czy zastąpić stare
- Własna, dobra aplikacja autoryzująca (LastPass Authenticator) z możliwością backupu
- Można zaimportować hasła z pliku CSV (w Chrome oraz Opera eksport do CSV można wykonać odblokowując tą opcję w ukrytych flagach eksperymentalnych)
- Wyeksportowane hasła w CSV można zaimportować bez problemu do Bitwarden
- Darmowy test bezpieczeństwa
- 30-dniowy trial premium
- Można przeżyć bez premium
- Generator haseł
- Mnóstwo najróżniejszych, mniej istotnych funkcji
- Czynnie działający support...
Minusy:
- ...który robi z ludzi idiotów lub zwyczajnie pracują tam idioci (przeczytajcie na zrzucie, kilka razy można zrobić solidnego fejspalma)
- Bardzo drogie premium
- Dość brzydki i staroświecki wygląd wtyczki, bardzo powolne działanie i ściny w przeglądarce
- Średnio działające podpowiadanie haseł na przeglądarce w telefonie (często trzeba ręcznie użyć powiadomienia [lub Quick Setting], żeby wypełniło formularz na stronie)
- Należy do LogMeIn (tak, ci od Hamachi)
Bitwarden
Plusy:
- Schludny interfejs
- Szybkie działanie
- Wtyczka do przeglądarki
- Aplikacja na telefon z autouzupełnianiem formularzy
- Aplikacja na komputer, do zarządzania bazą haseł
- Premium w 100% zbędne, a jeśli już to bardzo tanie
- Open source
- Generator haseł
Minusy:
- Średnio jak dla mnie działające uzupełnianie formularzy w przeglądarce (jest to funkcja eksperymentalna), jak i wykrywanie zmiany hasła
- Brak własnej aplikacji autoryzującej (należy korzystać z Google Authenticator, Authy, lub innych)
- Wyeksportowane dane do CSV nie działają w LastPass (trzeba się bawić w edycję pliku edytorem tekstu)
- Aplikacja na telefon czasem wywala do pulpitu przy zwykłym cofaniu strony
- Płatny test używanych haseł
Mój wybór
Długo ze sobą walczyłem, ponieważ obie opcje mają swoje zalety i wady. W końcu wygrał LastPass ze względu na całkiem dobrze działającą automatyzację, taką jak automatyczne uzupełnianie haseł, ich zapamiętywanie i wykrywanie zmian. Jednak możliwe, że po jakimś czasie wyjdą rzeczy, które przeleją czarę goryczy. W tej chwili jedna z kropli, która drąży skałę, to strasznie wolno działające serwery LastPassa. Tak wolno, że czasem wręcz nie mogę otworzyć ustawień konta.
Podsumowanie
Menedżer haseł jest jednocześnie wygodny, jak i upierdliwy, jednak zdecydowanie niezbędny. Uczcie się na błędach innych (czyli moich) i jeśli nie macie menedżera, naprawcie to jak najszybciej jak się da, inaczej prędzej czy później czeka Was zimny prysznic. Szczególnie, jeśli będziecie mieć mniej szczęścia ode mnie.
Przez zainstalowanie menedżera haseł odkryłem również bardzo nieprzemyślaną funkcjonalność w przeglądarce Opera. Nie da się w niej kompletnie wyłączyć domyślnego menedżera haseł. Można wyłączyć zapisywanie haseł, ale nie można wyłączyć automatycznego uzupełniania formularzy, które już się zapisało. Także albo będę zmuszony zainstalować inną przeglądarkę albo zacząć jednak używać Bitwarden, skoro automatyczne uzupełnianie i tak się gryzie. Na razie jeszcze trochę się pomęczę.
Pamiętajcie, że hasło do menedżera powinno być jednocześnie trudne, jak i łatwe do zapamiętania. Utrata hasła może być równoważna utracie całego konta ze wszystkimi hasłami, dlatego lepiej zapisać je sobie gdzieś (długopisem), a jeszcze lepiej po prostu zapamiętać. Lepsze to niż próbować zapamiętać setki haseł do każdej strony z osobna.
Na ważnych stronach powinniście również pomyśleć o uruchomieniu dwuetapowej autoryzacji, czyli 2-factor authorization. Najlepszy sposób, to osobna aplikacja na telefon, która podaje kod, który trzeba dodatkowo wpisać przy logowaniu się z nowego urządzenia.
Poza tym...
Moje konto e‑mail zostało prawdopodobnie użyte do rozesłania spamu, ponieważ nie mogłem wysyłać przez jakiś czas żadnych wiadomości. Ale nie znalazłem nic w wysłanych wiadomościach...