Rejestrując się na różnych portalach internetowych, zakładając konta na forach i innych stronach www niewiele osób zastanawia się, co dokładnie dzieje się z danymi, które są podawane przy rejestracji, a podstawowymi danymi są zazwyczaj e-mail oraz hasło, czyli dwie najważniejsze informacje, które powinny być najlepiej strzeżone.

Rejestracja na stronie www

Wielu użytkowników internetu stosuje prosty schemat działania jeden e-mail do wszystkiego, a jest to poważny błąd. Są strony w internecie, do których potrzebujemy jednorazowego dostępu celem pobrania jakiegoś pliku, otrzymania instrukcji, które są udostępniane po zalogowaniu do danego serwisu. Takie serwisy zbierają zazwyczaj e-maile, aby następnie rozsyłać na nasze skrzynki spam. Dlatego dobrym rozwiązaniem jest praktykowanie metody jeden e-mail do poważnych kontaktów, serwisów, z których często korzystamy i mamy w nich zapisane również nasze dane teleadresowe. Drugi e-mail do stron, z których mamy zamiar skorzystać tylko jednorazowo ewentualnie będziemy korzystać sporadycznie. Powinien być to adres o największym stopniu stosowania w internecie, ale adres, do którego nasze dane teleadresowe nie powinny być przypisane. W ten sposób zapobiegamy też identyfikowaniu nas w prosty sposób w sieci internetowej.

Najważniejsza uwaga nigdy nie stosujemy tego samego hasła do skrzynki e-mail i do witryn, w których zakładamy konto (rejestrujemy się z użyciem danego adresu e-mail).

Dobre serwisy hasła użytkowników przechowują w bazach danych w postaci zakodowanej zazwyczaj poprzez użycie algorytmu z dziedziny kryptografii, który nazywa się MD5. Jest to popularna funkcja skrótu, która z dowolnego ciągu znaków generuje 128-bitowy skrót składający się z 32 znaków np.: dla ciągu znaków mojehaslo algorytm MD5 utworzy hash 8c2e680c62c356e648d8b8cfcfe23751, co teoretycznie jest niezrozumiałym ciągiem znaków niemającym żadnego zastosowania, ale tylko dla przeciętnego użytkownika internetu. Osoby zajmujące się bezpieczeństwem wiedzą, jak cenne może być zdobycie takiego hasha przypisanego do konta użytkownika jakiejś strony (portal społecznościowy, forum itp. witryny).

Dlaczego więc tak ważne jest, aby nie stosować tego samego hasła do konta e-mail oraz różnych innych stron, na których się rejestrujemy? Odpowiedź jest bardzo prosta. Do danych w bazach serwisów ma zazwyczaj ktoś dostęp, a tym kimś jest najczęściej administrator danej strony. W przypadku nieuczciwego administratora zarządzającego witryną, forum może on uzyskać hash interesującego go użytkownika, który bardzo prosto zdekodować. W internecie dostępne są bazy hashy z ich odpowiednikami w postaci niezakodowanej oraz generatory, które umożliwiają w prosty sposób rozkodowanie takiego hasha.

Dekoder MD5

Stosując jeden e-mail na wielu różnych stronach w dodatku z takim samym hasłem dostępu do stron i skrzynki e-mail narażamy się, iż w przypadku wycieku, wykradzenia baz danych z serwisu ktoś w prosty sposób uzyska dostęp do naszej skrzynki e-mail. Również też nieuczciwy administrator ma wgląd do haseł w bazie danych, które w prosty sposób może dekodować, a tym sposobem przeglądać zawartości skrzynek e-mail użytkowników, którzy zarejestrowali się w jego serwisie stosując takie samo hasło jak i do skrzynki pocztowej.

Dlatego stosowanie jednej skrzynki e-mail do wszystkiego, pomimo, że jest to proste i wygodne nie jest najlepszym rozwiązaniem. Lepiej jest stosować metodę jedna prywatna skrzynka do najważniejszych kontaktów druga publiczna do rożnych zastosowań w intrenecie, ale z odmiennym hasłem. W przypadku, kiedy nieautoryzowany użytkownik uzyska hasło do naszego konta w portalu, w którym jesteśmy zarejestrowani nie uzyska dostępu do naszej skrzynki e-mail. W przeciwnym wypadku udostępniamy agresorowi dostęp do narzędzia, przy pomocy, którego może zdziałać już bardzo dużo.

O wycieku danych z różnych serwisów internetowych oraz konsekwencjach przejęcia takiego dostępu do skrzynki e-mail napiszemy niebawem.