Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Bezpieczeństwo online — eksperci kontra zwykli internauci

27 lipca 2015, 17:46 | Aktualności | komentarzy 8

Pracownicy firmy Google przedstawili wyniki interesujących badań na temat dobrych praktyk bezpieczeństwa online. Porównano metody ochronne używane i zalecane przez ekspertów z tymi rekomendowanymi przez zwykłych użytkowników Internetu. Warto zastanowić się chwilę nad różnicami w wynikach obu grup.

W ramach badania “…no one can hack my mind”: Comparing Expert and Non-Expert Security Practices ankiety na temat najważniejszych ich zdaniem dobrych praktyk bezpieczeństwa online wypełniło 231 ekspertów z branży IT security oraz 294 „zwykłych” internautów.

Rekomendowane praktyki bezpieczeństwa online — eksperci kontra zwykli internauci

Rekomendowane praktyki bezpieczeństwa online — eksperci kontra zwykli internauci

Aktualizacje kontra antywirusy

Jak widać, wyniki obu grup okazały się w znacznej mierze rozbieżne. Eksperci najczęściej zgłaszali potrzebę wykonywania regularnych aktualizacji, podczas gdy nie-eksperci na pierwszym miejscu umieścili ochronę antywirusową i tylko 2 % z nich wspomniało o aktualizacjach.

Wygląda więc na to, że zwykli internauci nie doceniają znaczenia regularnego łatania, natomiast eksperci zdają sobie sprawę z ograniczeń technologii antywirusowych.

Hasła unikalne i silne

W przypadku obu grup na drugim miejscu znalazły się zagadnienia związane z bezpieczeństwem haseł. Eksperci postulują jednak przede wszystkim stosowanie unikalnych (dla danego zastosowania) haseł, za to zwykli internauci użycie haseł silnych.

Oczywiście jedno nie wyklucza drugiego, użycie unikalnych haseł (przy jednoczesnym zachowaniu wystarczającej złożoności — czwarta pozycja na liście eksperckiej) wydaje się jednak lepszą strategią aniżeli bardzo silne hasło zastosowane w identycznej formie we wszystkich możliwych serwisach i usługach.

Uwierzytelnianie dwuskładnikowe, częste zmiany haseł i pozostałe rekomendacje

Na trzeciej pozycji eksperci polecają wykorzystywanie dwuskładnikowego uwierzytelniania, nie-eksperci zaś częste zmiany haseł. Trzy do zera dla ekspertów. Częste zmiany hasła, szczególnie te wykonywane nieprawidłowo (niewielka modyfikacja hasła w stosunku do jego poprzednika), nie ochronią nas tak dobrze, jak dodatkowy składnik uwierzytelniający.

Na kolejnych pozycjach eksperci wymieniają m.in. zastosowanie programów do zarządzania hasłami, natomiast zwykli użytkownicy rekomendują odwiedzanie wyłącznie znanych witryn oraz nieujawnianie własnych informacji personalnych.

Rzeczywiście wielu ekspertów zaleca korzystanie z managerów haseł, pomimo tego, że same w sobie są również narażone na rozmaite przykłady potencjalnych ataków.

Reasumując, wygląda na to, że zwykli internauci mogą się jeszcze sporo nauczyć od ekspertów w dziedzinie bezpieczeństwa i to nawet w zakresie zupełnie podstawowych zagadnień (np. znaczenie stosowania poprawek bezpieczeństwa)…

— Wojciech Smol

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. tomek

    Niektore antywirusy raportuja uzytkownikowi braki/zaleglosci w aktualizacjach systemu i zwiazany z tym obnizony poziom bezpieczenstwa oraz naklaniaja do ich wykonania, co dowodzi ze userzy maja takie samo zdanie jak eksperci :) Moze to tez swiadczyc, ze specjalisci nieswiadomi tego, ze AV tak robia i ufaja tylko swojej mocy jedi :) Reasumujac, z glupota ludzka nie da sie wygrac, dysponujac nawet ultra nowoczesnymi srodkami bezpieczenstwa.

    Odpowiedz
  2. józek

    A może prawda jest taka, że typowi włamywacze, których powinniśmy się bać, wolą się włamać do Playstation Network i ściągnąć sobie kilkadziesiąt (kilkaset?) milionów kart kredytowych, niż inwestować w architekturę potrzebną do przeszukiwania internetu w poszukiwaniu niezałatanych komputerów zwykłych kowalskich? Prawda jest taka, że hacker pojawia się w miejscu, gdzie można zarobić. Botnety przynoszą zyski, ale infekuje się ludzi przez torrenty, a jak każdy dobrze wie, coraz trudniej o niewykrywalnego malware. Narażać się za 2000zł limitu debetowego u Mariana? Trzeba być kretynem. Bazy danych nawet nie trzeba już kraść, bo bazy mailowe i to cholernie obszerne latają za darmo na pastebinach, tablice hashy MD5 również. Obecni włamywacze obecnie zarabiają na trzy sposoby – 1. paypal (i tym podobne), z racji tego, że wiele firm prowadzi sprzedaż przez takie ewallety trzymając na nich CAŁE zyski! 2. kryptowaluty – przejąc jakiś wallet, mający 10btc w mocnym spadku (np. był czas, kiedy BTC chodziło po 16zł) i poczekać aż wzrośnie do 1000$, sam czysty zysk 3. zlecenia od gimbazy w stylu „shackuj im to forum bo o mnie źle piszo!”. To tyle jeżeli chodzi o tych „złych”. A ci dobrzy, zarabiają na pentestach, łataniu dziur, wykrywaniu podatności. Kogo się ma bać standardowy Kowalski siedzący 3h dziennie na fejsie?

    Odpowiedz
  3. tomek

    A według oceniających mój egzamin zawodowy jedną z trzech najważniejszych zasad bezpieczeństwa w internecie było korzystanie z legalnego oprogramowania :(

    Odpowiedz
    • No tak. A czemu nie? Wgrywając patcha nie wiesz co w nim siedzi. Część z nich omija tylko zabezpieczenia gry, ale część może zawierać groźny kod. A z reguły takie pliki dajesz do wyjątków antywirusa i co gorsza możesz odpalać na uprawnieniach administratora…

      Odpowiedz
      • tomek

        No, ale jak widać eksperci bezpieczeństwa nie uznali tej kwestii za tak ważną jak CKE.

        Odpowiedz
      • Filip

        Temu, że w „legalnym” sofcie też są backdory. Albo inne bonusy, o których sam producent nie wie.

        Odpowiedz
        • Na pewno dogrywając cracki jest ich mniej…

          Odpowiedz
    • Cyrk

      A wiesz jak najłatwiej dołączyć do botnetu bez bawienia się w przełamywanie zabezpieczeń? Sciągnąć cracka i to nawet ze „sprawdzonego” źródła. Część najbardziej zasłużonych grup crackujących popularne gry i programy nawet się z tym specjalnie nie ukrywa. Instaluje swoje i czeka miesiącami, aż nie pojawi się zamówienie na jakiś manewr wymagający większej ilości nodów, a potem znowu „do spania”. Użytkownik jedynie zauważy „a w zeszłym tygodniu znowu mi net mulił i miałem słabe pingi” i przejdzie nad tym do porządku dziennego.

      PS. O subskrybcji do botnetu wbudowanej w „Windows full wypas Enterprise” przez litość nie będę wspominał…

      Odpowiedz

Odpowiedz