Jak mieć bezpieczne hasło i nie popaść w paranoję?

Za sprawą włamania na Wykop wywiązała się dyskusja o hasłach. Pisali o tym groszek (dead link), kUtek, Zal i generalnie z żadnym zaprezentowanym podejściem do końca nie mogę się zgodzić.

Jak dla mnie wszystkie te zabawy ze skrótami itp. są nie do przyjęcia. Albo hasło jest takie, że trzeba je pamiętać (czyli umieć wpisać z głowy), albo można sobie pozwolić na jakiś portfel haseł (i wtedy nie ma się co bawić, tylko można wygenerować losowe). Hasłami losowymi nie ma się co zajmować – mają być długie i możliwie losowe.

Pozostają hasła do zapamiętania. Tu trzeba rozróżnić serwisy krytyczne (także maile, na które mamy ustawione przypominanie haseł) i resztę. Krytyczne łatwo wyróżnić – możliwe większe straty finansowe, wycieki prywatnych danych itp. Pierwsza sprawa, to – jeśli to tylko możliwe – do serwisów krytycznych chronimy także login. Po co? Prosta sprawa, jeśli ktoś będzie chciał nam zrobić kuku, to nie ma co ułatwiać mu sprawy. Plus, niektóre serwisy (zwł. banki) mogą blokować po określonej ilości nieudanych logowań, więc źli ludzie mogą nam uprzykrzyć życie już samą znajomością loginu.

Poza tym, do serwisów krytycznych mamy możliwie mocne, nieschematyczne hasła, które pamiętamy, logujemy się możliwie tylko z zaufanych maszyn i w sposób bezpieczny (nie plain text), nie 20 zakładek na innych portalach otwartych w tym czasie. Jeśli zdarzy nam się logowanie awaryjne z niezaufanej maszyny/niebezpiecznym protokołem – jak najszybciej wymieniamy hasło (z bezpiecznej maszyny). Reszta w rękach admina serwisu. No może jeszcze nie chwalimy się zbytnio, które serwisy są dla nas krytyczne. 😉

Reszta, czyli serwisy niekrytyczne. Tak naprawdę zwykły użytkownik może zrobić tylko trzy rzeczy. Pierwsza, absolutnie konieczna: nie stosujemy takich samych haseł. Przy akcjach jak ta z Wykopem i podobnych, w razie czego włamywacz uzyska dostęp do jednego serwisu. Po takich włamaniach zwykle włamywacz automatem sprawdza, czy można zalogować się z takim samym loginem i hasłem na inne portale (chyba, że darzy nas szczególną uwagą, ale to trochę inna sprawa).

Jeśli chodzi o hasła, reszta to sprawy wtórne – jeśli stosujemy schemat/schematy to po takim włamie włamywacz raczej nie będzie miał dostępu do danych z kilku serwisów (chyba, że darzy nas szczególną uwagą, albo jedna i druga baza wpadną w ręce kogoś, kto nas darzy). Oczywiście warto zmieniać hasła okresowo i mieć różne schematy/hasła, ale wygoda kłóci się z bezpieczeństwem.

Sprawa druga: ustawiamy przypominanie/zmienianie hasła na zaufanego maila. W razie włamu przyda się do odzyskania dostępu, choćby po to, żeby zamieścić sprostowanie.

Sprawa trzecia, nieoczywista. Nie ufamy niekrytycznym portalom. Koniec, kropka. Mogą być poziomy dostępu (jak na Joggerze) ale nie znaczy to, że zamieszczone na wyższym poziomie dane są/będą niedostępne dla innych ludzi. Można to traktować jako kosmetykę, ale pisanie tam rzeczy, których nie napisało by się na stronie głównej to proszenie się o potencjalne kłopoty. Generalnie im mniej prywatnych/wrażliwych danych na takich serwisach, tym lepiej.

Trzeba przyjąć, że włamy itp. na serwisy niekrytyczne będą się zdarzały – przy ich ilości jest to jedynie kwestia czasu. I raczej będą to ataki na bazę serwisu, niż na nasze konto (chyba, że ktoś darzy nas szczególną uwagą), dlatego hasło należy mieć nieoczywiste, długie (dodanie przedrostka w stylu abcdefg (oczywiście nie chwalimy się nim) drastycznie wydłuży czas łamania hasła, jeśli ktoś nas „polubi”, ale IMO nie ma co popadać w paranoję. Co tak naprawdę się stanie, jeśli ktoś skorzysta z naszego konta do Wykopu (i tylko z niego)?

Po wykrytym włamaniu oczywiście zmieniamy hasło. Jeśli stosujemy hasła schematyczne, z oczywistym schematem, należy zmienić schemat i wymienić wszystkie hasła objęte danym schematem. Tyle dobrych rad, praktyka pokazuje, że kompromis między użytecznością a bezpieczeństwem zawsze jest trudny. Dlatego polecam określenie krytycznych serwisów i naprawdę dbanie o bezpieczeństwo w ich przypadku. W przypadku niekrytycznych i tak pewnie lenistwo AKA użyteczność AKA wygoda weźmie górę…

Żegnaj, Plusie. Witaj, XXX.

Nie wiem, czy jestem odosobniony, ale mam wrażenie, że poziom PlusGSM spadł drastycznie w ostatnich miesiącach. Pod każdym względem. Postanowiłem spisać ich wpadki.

Wpadka pierwsza to rozpoczęcie wysyłania niezamówionych SMSów. I reklamy się pojawiły, i SMSy nawołujące do udziału w wyborach. Wszystko wysyłane przez nich. Kiedyś tego nie było przez dobrych parę lat. Być może błąd w bazie, ale…

Wpadka druga to reakcja na zgłoszenie powyższego mailem. Okazało się, że wyrazić zgodę na treści reklamowe można elektronicznie, ale cofnąć nie, a jakakolwiek reklamacja wyłącznie pisemnie (papier). Wymiana maili była długa i bezowocna, na dodatek ściemniali, że wyraziłem zgodę rejestrując numer (czego nie zrobiłem), a prośba o wgląd we wniosek rejestracyjny skończyła się nakazem wysłania papieru. No bardzo XXI w. O podejściu do klienta nie wspomnę, bo po drugim mailu mogli po prostu zweryfikować, czy ja to ja i wyłączyć usługę, skoro wyraźnie nie chcę i mi to przeszkadza. SMSy jakoś zniknęły, same, ale niesmak pozostał.

Wpadka trzecia to ściemnianie nt. możliwości rozwiązania umowy przy zmianie regulaminu. Typu, że razem, w pakiecie itp. Nie mi kłamali, tylko ojcu, a prawdopodobnie też by nie rozwiązał umowy. W każdym razie udało im się zatrzymać na tyle, że okres możliwego złożenia wypowiedzenia minął. Tyle, że niesmak po raz kolejny i przy najbliższej okazji postaram się, żeby przeniósł się gdzie indziej.

Wpadka czwarta to pogorszenie jakości usług. Nie wiem jak to się stało, bo liczba klientów raczej spadła, niż wzrosła, ale sprawdzenie aktualnych pakietów trwa długo. Kiedyś po wysłaniu zapytania SMS przychodził w przeciągu paru sekund. Teraz potrafi nie przyjść i kilkanaście minut. Strona miastoplusa też leżała ostatnio dobre 2 dni (jak nie więcej). Akurat chciałem sprawdzić, jak z wysyłaniem SMSów stamtąd…

Wpadka piąta to zmiana bramki SMS. Jak pisałem bramka była dla mnie świetną sprawą. Ale już jej nie ma. Nie w tamtym kształcie. Poradziłem sobie, wykupując płatną usługę w innej firmie i tworząc własny skrypt do wysyłania SMSów. Tyle, że Plus stracił atut.

Wpadka ostatnia, która przelewa czarę goryczy, to cenzura na nowej bramce. Co prawda mnie to osobiście nie dotyczy, ale blokowanie nazw innych operatorów w treści to zwykłe skucenzuratwo (koledzy wczoraj w pubie zauważyli, że się dewulgaryzuję, może to i prawda?). Do tego ściema, że ludzie się skarżyli i to dlatego cenzurują. Gdyby nie to, że wiem jak olewczo traktowane są skargi klientów na niechciane reklamy przez SMS, to może bym uwierzył.

Podsumowując, dokonam jedynego możliwego sprzeciwu wobec kłamliwej i nieetycznej polityki PlusGSM i zagłosuję nogami. Decyzja zapadła: w listopadzie (do wtedy mam ważne konto) zmieniam operatora GSM. Na pewno będzie to prepaid. Play ma fory ze względu na długi okres ważności wychodzących, ale mBank mobile ma niższą stawkę (przynajmniej w promocji) i parę gratisów dla klientów mBank. Innych operatorów jeszcze nie sprawdzałem – trochę czasu zostało, może się coś zmieni…

Rzut oka na odtwarzacz Sansa c200 z Rockbox – instalacja.

Jakiś czas temu Zal pisał o Rockboksie na Sansie. Sprawa zainteresowała mnie na tyle, że postanowiłem kupić ten wynalazek. Pora na wrażenia z instalacji.

Stary odtwarzacz Creative ma dwie zasadnicze wady: pojemność (512 MB) oraz brak odtwarzania plików ogg. Do tego z „pomniejszych” wad, których sobie nie uświadamiałem można doliczyć: brak playlist i integracji ze scrobblerami. Ponieważ do kupienia była Sansa c200 2 GB za relatywnie niewielkie – w porównaniu z możliwościami po insalacji Rockboksa – pieniądze, a dawno nie kupiłem sobie żadnego gadżetu, wybór był prosty – wymiana odtwarzacza.

Co do samego odtwarzacza nie mam zastrzerzeń. Co prawda refubished, ale wygląda jak nowy. Jakość wykonania nie rzuca na kolana – w porównaniu z Creative trochę plastikowy. Zasadniczą wadą jest, moim zdaniem, specjalny, dziwny kabel, oraz wbudowany akumulator. Razem sprawia to, że nie jest tak do końca mobilnie w porównaniu ze starym – trzeba taszczyć/znaleźć komputer i kabelek, żeby podładować baterię czy dograć muzę. Jeśli chodzi o dogrywanie muzyki, to dzięki wbudowanemu czytnikowi microSD jest to pewnie do obejścia (karta do telefonu, telefon z kompem bo bluetooth i voila – dogrywamy nowe kawałki). Akumulatorków przeboleć nie mogę, jedyne co mnie pociesza, to zapowiadany czas pracy na akumulatorze – 14h. Wygląda, że wystarczy.

Oryginalnym softem zbytnio się nie bawiłem, bo i tak zamierzam korzystać z Rockboksa. No ewentualnie do ładowania będzie wykorzystywany, bo podobno Rockbox ma buga z obsługą chipa w tym modelu. Zostawiłem baterię do naładowania i postanowiłem zrobić upgrade. Od samego początku były problemy – graficzny instalator nie wykrył sprzętu. Nie wiem, co było przyczyną, ale po doczytaniu, że tak naprawdę cała instalacja to rozpakowanie archiwum na playera i uruchomienie jednej binarki, postanowiłem instalować manualnie.

Instalacja, a konkretnie wgranie bootloadera wymaga uprawnień administratora. Najpierw kopiujemy zawartość archiwum (zdecydowałem się oczywiście na wersję stabilną, czyli release, czyli 3.3), potem uruchamiamy patcher bootloadera. Trwa to dosłownie moment. Po reboocie możemy przejrzeć dostępne opcje.

Opcji jest dużo. Trochę za dużo, jak dla mnie. Nawigacja nie do końca intuicyjna. Postanowiłem dodać muzykę i pobawić się playlistami. Tu pierwszy spory zonk – nie działało mi zapisywanie playlisty (teoretycznie dłuższe przytrzymanie select powinno zapisywać). Podobnie z presetami w radiu – także nie chciało zapisywać. Poprzeglądałem trochę gry (jest m.in. klon Frozen Bubble i Life!) i ustawienia. W międzyczasie trafiłem na forum o wiele mówiącej nazwie Anything But iPod, które będąc użytkownikiem Rockboksa warto znać – zwykle znajdziemy tam odpowiedzi na pytania.

Postanowiłem sprawdzić, czy upgrade do current coś zmienia w sprawie tych playlist. Tym razem – o dziwo – graficzny instalator nie miał problemów z rozpoznaniem sprzętu. Dodałem kilka tematów, fonty i postanowiłem wgrać nowy firmware. Upgrade jest prosty – po prostu nadpisujemy pliki (gdybyśmy chcieli zrobić upgrade manualny). Automat robi to sam. Przy okazji – nie trzeba upgrade’ować bootloadera – zmienia się bardzo rzadko.

Upgrade firmware’u nie tylko rozwiązał problem z zapisywaniem playlist (teraz wszystko działa jak w manualu), ale chyba też trochę pozmieniał nawigację – IMO jest znacznie lepiej. Wygląda na to, że podstawowa funkcjonalność działa OK. Do przetestowania zostało mi trochę bajerów w stylu spięcie ze scrobblerem libre.fm i być może pomyślę później o wgraniu audio menu. Na razie pora skompletować muzę, rozejrzeć się za jakąś kartą i zrobić playlisty.

Podsumowując – Rockbox jest fajny, choć nieco za bardzo dla geeków. Pewnie moja miła nie poradziłaby sobie z upgrade’em.