19/09/2016

Jak zhakowałam moje pytanie zabezpieczające Apple

Porady Zagrożenia

Na początku 2012 r. dostałam MacBooka. Niewiele wiedziałam o takich gadżetach i nie planowałam zakupu innego urządzenia Apple. Włączyłam laptopa i utworzyłam konto Apple ID. W pewnym momencie musiałam wprowadzić hasło i wybrać kilka pytań zabezpieczających.

2016-09-13-yes-we-can

Cztery lata później kupiłam iPada i oczywiście zakupiłam na niego kilka ciekawych aplikacji. Moje konto nabrało dla mnie większej wartości, więc zaczęłam się zastanawiać nad jego ochroną w postaci dwuetapowego uwierzytelniania.

Nie było to tak łatwe, jak by się mogło wydawać. W zakładce Bezpieczeństwo nie mogłam nic zmienić, dopóki nie odpowiedziałam dokładnie na swoje pytanie bezpieczeństwa. A wprowadzana przeze mnie odpowiedź nie pasowała.

Chciałam zmienić to pytanie zabezpieczające, lecz okazało się, że drugi adres e-mail przeznaczony na takie sytuacje nie został zweryfikowany. Nie wiem, jak firma Apple może traktować niezweryfikowany adres e-mail jako aktywny, ale tak jest, przez co kółko się zamknęło.

Kilkukrotnie kliknęłam odnośnik służący do weryfikowania adresu, ale wiadomości z potwierdzeniem nie przychodziły. Nic nie było takie, jak powinno. To nie był dobry czas, aby skorzystać z pomocy technicznej, więc miałam tylko jedną drogę — musiałam pokonać moje zabezpieczenie.

Jak zhakowałam swoje pytanie zabezpieczające

Pytanie, które wybrałam cztery lata temu, nie było trudne. Gdy zastanowiłam się nad odpowiedzią, uświadomiłam sobie, że każdy mógł je wymyśleć, przeglądając moje CV lub konto w sieci społecznościowej.

— Gdzie pracowałeś po raz pierwszy?
Oczywiście aby odpowiedzieć na to pytanie, zagląda się najpierw do serwisu LinkedIn.

— Gdzie poznali się Twoi rodzice?
Moi rodzice dorastali, spotkali się i pobrali w tym samym mieście, w którym się urodziłam. Tak to się dzieje u wielu ludzi. A miejsce urodzenia jest często podawane w sieciach społecznościowych (niestety!). Dlatego wg mnie nie jest ona bezpieczna.

— Jaka jest ulubiona książka Twojego dziecka?
Będąc dzieckiem, uwielbiałam kilka książek, ale tutaj najbardziej prawdopodobną odpowiedzią byłby Hobbit autorstwa J. R. R. Tolkiena. Podobnie jak w przypadku innych pytań, nie należało ono do najtrudniejszych: po pierwsze dlatego, że książka ta jest dosyć popularna. Po drugie, moi znajomi ze szkoły wiedza, że napisałam kilka wypracowań na ten temat. Ostatecznie musiałam tylko przypomnieć sobie, czy cztery lata temu wpisałam tytuł w wersji krótszej, czy pełnej — „Hobbit, czyli tam i z powrotem”.

Znałam wszystkie odpowiedzi, zatem dlaczego system ich nie akceptował? Przyczyna była prozaiczna: głównym językiem mojego konta był angielski, a to oznacza, że pytania bezpieczeństwa także były wyświetlane w tym języku. Ale cztery lata temu odpowiedziałam na nie po rosyjsku. Po przełączeniu języków i wprowadzeniu tych samych odpowiedzi ponownie zostały one uznane za poprawnie. Nawet jeśli ktoś nie przełącza języka, wprowadzanie odpowiedzi może być problematyczne: znaczenie ma wielkość liter, skróty czy pseudonimy.

Zaczęłam się zastanawiać nad tym, jakie pytania i odpowiedzi byłyby bezpieczne.

Jakie jest dobre pytanie zabezpieczające? Jeśli musisz wybrać pytanie z listy, na które się zdecydujesz?

Dobre pytanie zabezpieczające można wyłonić na podstawie pięciu kryteriów.

  1. Nieprzeciętność— odpowiedź na pytanie musi być trudna do odgadnięcia i wyszukania. Na przykład ulubieniec wielu banków — nazwisko panieńskie Twojej matki — jest kiepski. Nie będę przecież marnować swojego czasu na wyszukanie 9 000 sposobów, aby wymyślić to jedno.
  2. Stabilność —odpowiedź nie może zmieniać się w czasie. Unikaj wybierania pytań, które dotykają sfery rzeczy ulubionych: za kilka lat zajecie, jedzenie, zespół, film, restauracja, wakacyjne miejsce mogą już nie być na pierwszym miejscu.
  3. Łatwe do zapamiętania — hasła wpisujemy dosyć często, rzadziej musimy odpowiadać na związane z nimi pytania. Nawet jeśli pamiętasz swojego pierwszego nauczyciela, gdy byłeś nastolatkiem, z biegiem czasu możesz je zapomnieć, więc lepiej jest nie wybierać pytań, które możesz zapomnieć za kilka lat.
  4. Prostota — na niektóre pytania można poprawnie odpowiedzieć na wiele sposobów. Gdzie miał miejsce Twój pierwszy pocałunek? Może to być „Warszawa”, „wawa”, „Wa-wa” itp. Nie wybieraj prostych opcji; unikaj pytań, na które można odpowiedzieć na wiele sposobów.
  5. Możliwość wybrania wielu opcji— najgorsze są pytania, które wymagają wybrania odpowiedzi „tak” lub „nie”, bo wtedy osoba obca ma 50% szansy na powodzenie. Dobre pytania mają mnóstwo wariantów odpowiedzi — a Ty powinieneś być jedyną osobą, która zna tę właściwą.

Świadomość phishingu w mediach społecznościowych

Niewykluczone, że w mediach społecznościowych natknąłeś się kiedyś na ankiety lub quizy, w których należało wymienić „pierwsze siedem miejsc pracy…” czy „pierwszą podróż samolotem”. Są one skarbnicą wiedzy dla osób trudniących się socjotechniką i często są one autorstwa przestępców.

Jeśli chcesz, zmień odpowiedź na najgorsze pytanie zabezpieczające na taką, na którą nikt nie wpadnie. Na przykład na pytanie „Jakie jest nazwisko panieńskie Twojej matki?” możesz odpowiedzieć XCU*(&S1042! — ale tu musisz uważać, aby nie wprowadzić w błąd samego siebie.

Lepsza opcją wydaje się uszczuplenie nazwiska panieńskiego z samogłosek: na przykład Nwk zamiast Nowak. Możesz również przeplatać tymi literami datę urodzenia, np. n04w08k80. Niby nic wielkiego, ale na pewno lepsze niż oryginał.

Ta metoda jest najlepsza dla tych pytań, na które musisz odpowiadać często — na przykład podczas kontaktu z bankiem. Warto je sobie przypominać co jakiś czas, aby się do nich przyzwyczaić.

Istnieją jeszcze inne, lepsze sposoby zabezpieczania konta — takie jak weryfikacja dwuetapowa.