Jakie błędy popełniają użytkownicy podczas zakładania haseł, co dalej z pocztą e-mail i dlaczego lokalne rozwiązania mają być lepsze niż platformy gigantów. Rozmawiamy z Jerzym Dąbrówką, VP Communication Product w Wirtualnej Polsce.
"Nigdy nie używaj takiego samego hasła, jak do swojej poczty" - rozmawiamy z Jerzym Dąbrówką z Wirtualnej Polski
Tomasz Popielarczyk: Dlaczego użytkownicy tworzą takie proste, wręcz banalne hasła? Czy naszą intencją nie powinno być jak najmocniejsze zabezpieczenie się przed włamaniem?
Jerzy Dąbrówka: Poczta jest na tyle popularną usługą, że zdecydowana większość użytkowników nie jest świadomych ani zagrożeń, ani technicznych aspektów. Wybierają proste hasła, bo bardziej złożone trudniej jest zapamiętać. Proces odzyskania często frustruje, zwłaszcza, gdy tu-i-teraz potrzebujemy dostępu. Najczęstszym rozwiązaniem jest np. wymaganie użycia małych/dużych liter, cyfr, znaków specjalnych, ale takie wymuszenie może prowadzić do skrajności, jak trzymanie hasła w jawnej formie w postaci np. nalepki na komputerze, albo – do zapomnienia już przy kolejnym logowaniu. Myślę, że podobna sytuacja istnieje na polu finansowym, gdzie kartę zwykle chroni 4-cyfrowy kod PIN, a mimo to są osoby, które potrafią go zapisać mazakiem na karcie. Wprowadzenie 3D-Secure obok CVV jest jednym ze znaków, że wśród tych dostępów również jest sporo nadużyć.
Ułatwieniem jest długość trwania sesji w zaufanych urządzeniach. Szczególnie dotyczy to aplikacji mobilnych, dlatego staramy się promować ten rodzaj dostępu. Nasza aplikacja jest dostępna dla użytkowników Android i iOS. W przeglądarce z kolei, to rolą użytkownika jest określenie, jak bardzo ufa urządzeniu – w zależności czy korzysta z komputera prywatnego, czy używa urządzenia w szkole lub kafejce. Im trudniejsze wymogi, co do hasła, tym szybciej użytkownicy preferują wybór takiej samej wersji dla różnych serwisów. Rzutuje to na ogólne zmniejszenie bezpieczeństwa. Zmiana nawet jednego znaku dla każdego z serwisów robi ogromną różnicę.
Może biometria jest odpowiedzią na takie pytanie? W końcu złamanie naszych odcisków palców jest o wiele trudniejsze…
W nowszych telefonach odblokowywanie ekranu odciskiem palca jest już standardem, więc aplikacje często trzymają użytkownika zalogowanego bezterminowo. Samo hasło jest używane w sporadycznych przypadkach. Nadal jednak hasło jest metodą zapasową ze wszystkimi jego niuansami. Wydaje się też, że hasło jeszcze długo będzie funkcjonowało, jako jeden z kilku kanałów dostępu. Dla przykładu, przeciwko biometrii stoją m.in. brak wsparcia we wszystkich urządzeniach, wrażliwość na pot, brud, wilgoć, zadrapania na skórze, itd. Poza tym, aktualnie względnie rzadko korzysta się z dosłownego łamania haseł. W tego rodzaju atakach na serwisy nie warto sprawdzać więcej niż kilku czy kilkudziesięciu tysięcy popularnych sekwencji i słów. Systemy stosunkowo łatwo bronią się przed tymi tzw. bruteforce'ami haseł, zwłaszcza, jeżeli te spełniają kilka podstawowych reguł siły hasła. Alternatywnie metodą sprawdzenia wszystkich możliwych kombinacji „można” atakować zbiory dostępów, które wyciekły z baz danych – o ile już taki wyciek się zdarzy, ale i tu poważne serwisy trzymają hasła szyfrowane i hashowane, których odkodowanie jest bardzo trudne.
Co ciekawe, wycieki haseł powstają najczęściej w wyniku błędów użytkowników, m.in. przez brak kontroli antywirusowej, łatwego hasła, metody phishingu, czy przez zapisywanie haseł na kartkach. Bardzo dużym problemem są trojany, które potrafią przechwycić hasło bezpośrednio z urządzenia użytkownika niezależnie od zabezpieczeń. Dlatego regularnie sugerujemy zmianę hasła oraz kontrolę antywirusową. Człowiek niestety nadal pozostaje najsłabszym ogniwem. Niewiele osób przywiązuje wagę do ochrony własnej prywatności. W połączeniu ze słabymi hasłami i niezabezpieczonym komputerem może to prowadzić do włamań. Konto pocztowe jest ważnym łącznikiem z naprawdę wrażliwymi danymi. Niektórzy nie zdają sobie sprawy, że włamanie do poczty elektronicznej może skutkować uzyskaniem dostępu do banku lub serwisów społecznościowych.
A jakie hasła tworzą użytkownicy poczty WP?
Proste i szybkie. W formularzach rejestracji i zmiany hasła średnio dopiero po kilku razach proponowane przez użytkownika hasło jest wystarczająco silne, żeby spełniło preferowane przez nas minimum i to mimo tego, że nasze wymagania ustalamy tak, by nie były dla użytkowników frustrujące.
Pomagacie im w tym w jakiś sposób? Uświadamiacie?
Jasne. Poza wymaganiami przy rejestracji, regularnie sugerujemy zmianę hasła oraz okazjonalnie przypominamy tzw. dobre praktyki. Nie zmuszamy jednak ludzi do tego, bo skończy się to tak, że hasło zostanie zapomniane. Jeśli miałbym wybrać najważniejszą i jednocześnie najprostszą zasadę związaną z bezpieczeństwem poczty, to brzmiałaby tak: rejestrując się do serwisu, nigdy nie używaj takiego samego hasła, jak do swojej poczty.
Jak Wasze skrzynki pocztowe mają się w epoce Gmaila i dominacji Androida? Czy nie jest tak, że Google zagarnął większość tego rynku dla siebie?
Gmail to produkt giganta technologicznego i dobry system pocztowy. W sprytny sposób monetyzujący dane użytkownika w innym miejscu, a bazę użytkowników skutecznie budujący przez wiązanie produktu pocztowego ze swoją dominującą pozycją na rynku mobilnych systemów operacyjnych. Mimo to, patrząc na badania Gemius, węzeł pocztowy Wirtualnej Polski jest największy w kategorii. W naszych usługach poczty podchodzimy do tego inaczej – staramy się wykorzystywać naszą lokalność. Tworząc Segregator wiedzieliśmy, jak wygląda polski Internet, kim są najwięksi nadawcy oraz jakie są główne kategorie korespondencji. I to nam się udało: 90% badanych dobrze ocenia jego działanie. Rok temu wprowadziliśmy również "fiszki", czyli małe widżety widoczne na liście wiadomości. Ich głównym celem było skracanie ścieżki użytkownika. Jedną z funkcji jest możliwość szybkiego opłacenia faktury np. za telefon komórkowy. Jesteśmy bardzo zadowoleni z wyników, choć muszę dodać, że są one dostępne jedynie w Poczcie o2.
Dlaczego?
Po połączeniu o2 i WP podjęliśmy decyzję o napisaniu nowego, wspólnego systemu, który będzie wspierał obie marki pocztowe. Dziś cała Poczta o2 oraz połowa WP Poczty jest przeniesiona. To tytaniczny projekt. Dzięki niemu mamy nowy system, który przemyślany był pod potrzeby serwisu, do którego loguje się codziennie prawie pięć milionów kont. W takiej skali pojawiają się fascynujące wyzwania developerskie, ale o tym nie ze mną. :) Lokalność jest też siłą, którą wykorzystujemy w ulepszaniu usług. Niedawno wspólnie z całym zespołem poczty usiedliśmy przy telefonach na naszej infolinii, by oddolnie poznać, z czym zgłaszają się do nas użytkownicy.
Czego się dowiedzieliście? Czy poprawiliście cokolwiek po tym dniu?
Nasz dział wsparcia regularnie i w uporządkowany sposób przekazuje feedback użytkowników do developerów, więc nie potrafię wskazać takiej jednej przełomowej funkcji. Myślę, że każdy z tego dnia wyciągnął inne doświadczenie – taki był zresztą cel ćwiczenia. Mnie uderzyło najbardziej to, jakim wyzwaniem jest Internet dla osób, które nie wyrastały razem z nim. Trudno to pojąć pokoleniu digital native.
A czy nie jest tak, że e-mail powoli odchodzi do lamusa? Pozostaje wyłącznie narzędziem biznesowym, bo w kontaktach towarzyskich preferujemy komunikatory.
Zdecydowanie nie odchodzi. Adres e-mail to prawo jazdy w Internecie, bez niego naprawdę trudno poruszać się po wirtualnym świecie. Był czas, gdy bacznie przyglądałem się wzrostowi komunikatorów. Faktycznie, są one lepsze do prywatnych konwersacji. Mówiąc lepsze, mam na myśli ich architekturę. Są szybkie, zazwyczaj z wcześniej potwierdzoną listą kontaktów, a mimo to popularność uzyskały tylko zamknięte produkty, które nie muszą się obawiać o kompatybilność z zewnętrznymi klientami, starymi protokołami. Jeśli wyciągniesz komputer sprzed dwudziestu lat z Netscape Communicator, to myślę, że z powodzeniem skonfigurujesz tam POPa. To oczywiście przerysowany przykład, ale pokazuje, że poczta internetowa to nie produkt, tylko fundament Internetu, na którym wybudowane są Gmail, WP Poczta, Poczta o2, itd. Tak samo, jak na protokole WWW wybudowany jest Facebook, Wirtualna Polska czy Google. Parę lat temu Facebook Messenger zapowiadał, że będzie przyjmował potwierdzenia zamówień ze sklepów. Byłem tym zaskoczony, bo w moich oczach tracili właśnie tę czystość produktową. Parę miesięcy temu przeczytałem, że jednak się wycofują z powodu przeładowania komunikatora. W praktyce uważam, że ludzie będą wykorzystywali komunikatory do rozmów, a poczty do zakupów w Internecie. Dobrym i bezpieczniejszym miejscem spotkania się klienta z biznesem jest właśnie poczta.
Dziękuję za rozmowę!
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu