Moja spowiedź bezpieczeństwa – odpowiedzi na wasze pytania

dodał 28 lipca 2020 o 19:52 w kategorii Info, Prywatność  z tagami:
Moja spowiedź bezpieczeństwa – odpowiedzi na wasze pytania

Moje wpisy o używanym przeze mnie sprzęcie, systemach, programach, hasłach i innych aspektach mojego cyfrowego bezpieczeństwa z reguły generują sporo pytań. Czas zatem na odpowiedzi dotyczące spraw, które was zainteresowały.

Od paru lat prowadzę dość otwartą politykę informacyjną odnośnie mojego podejścia do bezpieczeństwa. Zaczęło się od wpisu w 2016, któremu towarzyszyły dalsze wyjaśnienia. Potem była aktualizacja w 2018 oraz odpowiedzi na pytania. W końcu w maju tego roku opisałem, co zmieniło się od 2018. Mieliście dużo ciekawych uwag i pytań, które omówię poniżej. Kolejny wpis pewnie w 2022 :)

Czemu nie używam innego menedżera haseł?

To pytanie przewijało się często. Czemu nie Dashlane, dlaczego KeepassX, a nie KeepassXC, czemu nie menedżer online itd. Odpowiedź zacznę od tego, że gdy wybierałem menedżera haseł (2006, o ile dobrze pamiętam), to nie było wielkiego wyboru. Decyzja o używaniu menedżera haseł (i w konsekwencji różnych haseł do różnych usług) jest o kilka rzędów wielkości ważniejsza dla bezpieczeństwa użytkownika od wyboru samego narzędzia. To główny powód, dla którego nie zastanawiałem się nad zmianą. Wasze uwagi jednak mi uświadomiły, że używana przeze mnie wersja nie jest od paru lat rozwijana, więc w imię używania wspieranych rozwiązań wpisałem sobie do listy zadań migrację na KeepassXC. Sprawdźcie w 2022, czy zdążyłem.

Jeśli jeszcze nie wybraliście swojego menedżera haseł, to niedawno opublikowaliśmy opis tego, jakimi zasadami kierować się przy wyborze menedżera haseł plus instrukcje, jak skonfigurować kilka najpopularniejszych.

Mój menedżer haseł zna wszystkie moje hasła oprócz hasła do menedżera haseł. Zapisuję tam także hasła do kluczy SSH, klucze PGP czy PIN-y do walizek itp.

Historyczne ujęcie z bunkra

Dlaczego Chrome, a nie Safari?

Z uwagi na fakt, że korzystam z ekosystemu Apple na większości swoich intensywnie eksploatowanych urządzeń pytanie ma sens – jak pływać, to czemu bez zanurzania głowy. Używałem Chrome, zanim przeniosłem się na urządzenia Apple i nie widzę powodu do zmiany. Synchronizacja zakładek itp. działa dobrze, chociaż praktycznie z niej nie korzystam. Synchronizuję za to hasła zapamiętane w przeglądarce do mniej znaczących serwisów, dzięki czemu mam je także na telefonie. Na telefonie używam głównie Safari do klikania w linki (chyba nawet nie da się ustawić otwierania linków w Chrome). Chrome zresztą jest trochę iluzją na telefonie, bo pod spodem i tak mieszka silnik Safari. Na komputerze nie zmieniam także dlatego, że ufam zespołowi bezpieczeństwa Google i temu, że zbudował naprawdę bezpieczne rozwiązanie. W końcu Google nie lubi się z nikim dzielić danymi swoich użytkowników, prawda? :)

Dlaczego nie Brave?

Nie mam zaufania do ich modelu biznesowego, poza tym mają swoje za uszami. Będzie artykuł o wyborze przeglądarki, widziałem już w draftach, więc wkrótce rozwiniemy temat.

Czy oddzielam przeglądanie prywatne od zawodowego?

Ja w zasadzie nie mam życia prywatnego (lub zawodowego, zależy jak patrzeć). Moja praca tak przeplata się z życiem, że nie potrafiłbym używać różnych sesji, przeglądarek czy urządzeń. Wszystko robię w jednym głównym środowisku, najwyżej dla bardziej ryzykownych sytuacji w wirtualkach.

Dlaczego podłączam komputer do telewizora po HDMI zamiast AirPlay?

AirPlay zrywa, choć moja okolica to generalnie radiowa pustynia (widzę ze 3 sieci Wi-Fi), nie chce mi się z tym walczyć w środku oglądania najnowszego odcinka przygód Roberta Makłowicza w Dalmacji.

Dlaczego używam BLIK-a do płatności online zamiast karty?

Tak, karta ma chargeback, ale jeśli spodziewam się, że towar raczej dotrze, to wolę nie rozdawać wszystkim jej numeru. Kartą płacę za wakacje (na wypadek, gdyby zbankrutował organizator) i usługi abonamentowe (bo często nie można inaczej). A jeśli boję się, że sklep mi towaru nie dostarczy, to wybieram inny. No i wolę, jak wyciąg miesięczny ma mniej pozycji i można go przeczytać w minutę, zamiast poświęcać na to kwadrans.

Czy nie boję się utraty prywatności przez płatności elektroniczne?

Nie, nie boję się. Praktycznie nie używam gotówki od paru lat i nadal nie wiem, jakie zauważalne / odczuwalne skutki związanej z tym utraty prywatności miałbym odczuć, bo do tej pory żadnych nie odczułem. No i nie wyobrażam sobie chodzenia ze zwitkiem banknotów w kieszeni.

Dlaczego VeraCrypt, a nie wbudowane narzędzia MacOS?

Raz – kwestia przyzwyczajenia. Dwa – większe zaufanie mam do narzędzi, którym się przyglądałem bardziej, a swojego czasu naczytałem się historii TrueCrypta i analiz technicznych. Nie znaczy to, że nie ufam szyfrowaniu MacOS – po prostu jakoś bardziej lubię VC.

Dlaczego Google, Gmail, GSuite?

Pytają często o to ludzie, którzy weszli na stronę z Androida przez linka z Google. Ale tak serio to moja ocena korzyści z tego, że to wszystko dobrze działa, nie kosztuje dużo i nie niesie dla mnie negatywnych konsekwencji. Podkreślam, że decyzja jest tylko moja i każdy musi podjąć swoją na podstawie swojej oceny ryzyka i korzyści. Próbowałem ekosystemu Microsoftu i był dla mnie nie do zaakceptowania (nie wiem, czy to kwestia przyzwyczajenia, czy jednak Google ma lepszy UX), inne opcje są zbyt uciążliwe.

Dlaczego uBlock Origin?

A nie Nano Adblocker, Nano Defender, uMatrix itd. Odpowiedź jest prosta – z uBlockiem nie widzę reklam, więc nie mam potrzeby szukania alternatyw.

Czy używam XMPP?

Sporadycznie, tylko jak mam okazję porozmawiać z jakimś złodziejem. Niestety chyba wszyscy się obrazili za moje artykuły i już do mnie nie piszą :)

Czemu nie używam antywirusa?

To przykład, dlaczego każdy musi sam dobierać swoje mechanizmy bezpieczeństwa. Wszystkim „zwykłym” użytkownikom AV polecam, sam nie potrafiłbym pracować z włączonym AV. Moja praca wymaga ciągłego odwiedzania dziwnych stron, pobierania potencjalnie złośliwych plików, odbierania e-maili z dziwnymi załącznikami – AV to uniemożliwia. I nie chodzi o to, że na Maku nie ma wirusów – na Windowsie też nie zainstalowałem.

Po co dwa backupy w chmurze?

Używam Jotty i Dropboksa, ponieważ Dropbox działa jako backup backupu. Szansa, że stracę zarówno dane w chmurze, jak na dysku są niewielkie, ale skutek byłby taki bolesny, że backupów wolę mieć więcej. W sumie mam co najmniej 3, bo jeszcze dysk z TimeMachine.

Czy dać Revolutowi skan mojego dowodu?

To jedno z najczęściej pojawiających się pytań i jednocześnie jedno z najbardziej mnie zaskakujących. Dlaczego boicie się wysłać instytucji finansowej, obracającej miliardami, skan waszego dowodu osobistego? Jeśli im nie ufacie, to dlaczego trzymacie tam swoje pieniądze? Jeśli generalnie nie lubicie pokazywać swojego dowodu, to jakim cudem macie konto w jakimkolwiek banku? Naprawdę nie rozumiem. Myślę, że Revolut więcej zarabia na waszych saldach niż na braniu chwilówek na wasze skany dowodów osobistych. O mniejszym ryzyku nie wspominając.

Dlaczego używam Authenticatora Plus?

Kiedyś używałem zwykłego Google Authenticatora, ale gdy utopiłem telefon (w sumie nie utopiłem, tylko za długo trzymałem pod wodą), zorientowałem się, że do jednego konta nie miałem kodów zapasowych. To było smutne. Znalazłem wtedy Authenticatora Plus, który zapewnia możliwość odzyskania zdolności generowania kodów na innym urządzeniu. Tak, nie jest to idealnie bezpieczne, ale na szczęście nie znają moich haseł. Dopiero wasze pytania uświadomiły mi, że ta aplikacja nie jest już od dłuższego czasu aktualizowana, zatem czas rozejrzeć się za inną. Wpisane na listę zadań.

W tym samym obszarze pytanie dodatkowe, czyli gdzie trzymam kody zapasowe. Otóż trzymam je w menedżerze haseł, dzięki czemu dbam o jego bezpieczeństwo jeszcze bardziej. Czy nie boję się trzymać pliku z bazą danych na Dropboksie? Nie, bo dostęp jest zabezpieczony 2FA i silnym hasłem, którego łamanie będzie trwało dłużej niż istnieje wszechświat (lub coś koło tego).

Jak dbam o urządzenia rodziny / bliskich?

To bardzo dobre pytanie, warte osobnego artykułu. W dużym skrócie – moi bliscy są trochę uświadomieni codziennym obcowaniem ze mną, jednak ich bezpieczeństwo cyfrowe jest dla mnie źródłem zmartwień. Nie da się ich uzbroić po zęby, bo nie widzą takiej potrzeby (i słusznie), jednak kilka rzeczy na nich wymusiłem (lub namówiłem). Telefony Apple (gdy ktoś lubi) lub Pixel (gdy woli Androida), poczta na Gmailu (zdejmuje wiele stresów z głowy) i autoryzacja przelewów w aplikacji banku muszą zapewnić mi spokojny sen. Do tego nauczeni mozolnym wysiłkiem konsultują teraz ze mną różne dziwne e-maile, jakie do nich docierają.

Czy mam drugi nr telefonu do usług bankowych?

Nie. Raz, że nie lubię nosić dwóch telefonów, dwa, że numer telefonu nic nie da napastnikowi, skoro nie używam kodów SMS do autoryzacji.

Dlaczego nie używam unikatowych e-maili?

Jest taka koncepcja, że używanie unikatowych e-maili (np. na własnej domenie z włączonym catch-all) zwiększa bezpieczeństwo. Moim zdaniem nie zwiększa bardziej niż unikatowe hasła, których używam. Używałbym unikatowych e-maili, by lepiej identyfikować źródła wycieków, ale dużo pracy z zaczynaniem od początku.

Jak zabezpieczam komunikację z sygnalistami?

Najczęściej tak jak sygnalista, bo nie mam – przynajmniej na pierwszym – etapie wielu opcji. Udostępniam klucz PGP i większości to wystarcza, a jeśli nie wystarcza, to ustalamy jakiś inny kanał komunikacji.

Czy nie boję się biometrii?

Używam od lat biometrii palca, do której dołączyła biometria twarzy. Dane biometryczne zostają na moim urządzeniu (wiele osób o to pyta – tak, na telefonie albo komputerze, nikt tego nie zbiera w centralnym punkcie), mało jest fałszywych wyników negatywnych i fałszywych pozytywnych, dla mnie to wygodna i praktyczna metoda uwierzytelnienia.

Jakich narzędzi do robienia notatek używam?

Najczęściej dowolnego kawałka papieru (także zadrukowanego) lub pliku tekstowego. Ostatnio eksperymentuję trochę z coggle.it.

Czy używam Siri lub Asystenta Google?

Jakoś nie mogę się przemóc, by mówić do telefonu. Czasem używam dyktowania (działa!), ale asystentów nie stosuję.

Co z IoT w domu?

Nie mam osobnej sieci na IoT, może dlatego że nie mam IoT :) Adres IP od routera oprócz telefonów, komputerów, tabletów i zegarków dostaje Apple TV i QNAP, nie będę dla nich wydzielonej sieci robił.

Ile wydaję na różne usługi IT?

Wychodzi tego ok. 2000 PLN miesięcznie, z czego lwią część zjadają usługi hostingowe (utrzymuję kilka VPS-ów na różne projekty), reszta to abonamenty aplikacji, domeny itp.

Ile znaków mają moje hasła?

Najdłuższe niecałe 20, większość ok. 12-14. Długość dobieram w zależności od wagi informacji oraz używanego algorytmu przechowywania (o ile jest znany, jeśli jest nieznany, to zakładam MD5). Menedżer haseł ma najdłuższe, chociaż tam algorytm jest jednym z najlepszych. Dyski też mają długie. Przy szacowaniu długości hasła przyjmuję, że nawet jeśli ktoś może łamać hasła milion razy szybciej niż Brutalis, to nie powinien złamać moich haseł szybciej niż przed moją śmiercią ;)

Podsumowanie

Jeśli macie jeszcze jakieś pytania, to postaram się na nie odpowiedzieć w komentarzach. Kolejne wydanie spowiedzi za dwa lata.