Čo nás Iniciatíva Q naučila o bezpečnosti na internete?

Andrej Probst, 6. november 2018, Bezpečnosť, čítalo 135 ľudí
Iniciative Q

Iniciatíva Q ukázala, ako sa dajú rýchlo a efektívne zbierať prihlasovacie údaje od veľkého množstva užívateľov. Netvrdím, že Iniciatíva Q nazbierané údaje bude zneužívať. Len tvrdím, že keby útočník chcel získať rýchlo a efektívne prihlasovacie údaje do rôznych služieb, Iniciatíva Q mu ukázala, ako na to.

Čo je Iniciatíva Q?

Ambíciou Inicitatívy Q je stať sa celosvetovým platobným prostriedkom alebo systémom, za ktorým bude stáť platidlo/mena, ktorá sa nazýva jednoducho Q. Presná podoba Q-čka nie je dnes známa. Autori tvrdia, že najprv musí prebehnúť prvá fáza, kedy potrebujú nazbierať veľké množstvo užívateľov, ktorým zadarmo pridelia niekoľko Q-čok. Pri tom predikujú, že jedno Q-čko môže mať v budúcnosti hodnotu jedného dolára. A to je veľkým lákadlom pre užívateľov, čo sa odzrkadlilo v tom, že počet registrovaných užívateľov prudko stúpa a hlavne, pridávajú sa aj netechnicky zdatní užívatelia. Na registráciu stačí získať pozvánku (URL odkaz s unikátnym kódom), zadať len meno, prihlasovacie meno a heslo. Iniciatíve Q sa veľmi efektívne podarilo v krátkom čase získať obrovské množstvo užívateľov, ktorí ani nemusia rozumieť digitálnym menám.

Či bude Q-čko úspešné alebo nie, to teraz nie je dôležité a to ukáže až čas. Jeho pridanou hodnotou už teraz je to, že v praxi overilo, ako jednoducho je možné zbierať prihlasovacie údaje od užívateľov. Stačí užívateľom niečo virtuálne rozdať zadarmo a premeniť ich na marketingový kanál, cez ktorý budú samotní užívatelia Q-čka získavať nových užívateľov Q-čka.

Prihlasovacie meno

Najčastejším prihlasovacím menom do internetových služieb, typicky do e-mailovej schránky, je e-mailová adresa.

Užívatelia, ktorí sa chcú registrovať do Iniciatívy Q a zbierať Q-čka, zadávajú ako svoj identifikátor práve e-mailovú adresu. Môžu sa registrovať aj cez sociálne siete, vtedy Iniciatíva Q získa tiež prístup k e-mailovej adrese.

Bezpečnostné odporúčanie: ak sa chcete registrovať do služby, ktorú dobre nepoznáte (napríklad do Iniciatívy Q) pomocou e-mailu, vytvorte si radšej novú e-mailovú adresu a tú použite. Útočník nebude môcť takéto prihlasovacie meno použiť na prihlásenie do iných služieb a nebude ani vedieť spárovať užívateľov podľa rovnakého e-mailu.

Prihlasovacie heslo

Užívatelia väčšinou používajú to isté prihlasovacie heslo do viacerých internetových služieb. Je to pohodlné, nie je potrebné si pamätať veľa hesiel naraz, stačí len jedno heslo.

Iniciatíva Q od užívateľa, ktorý sa registruje cez prihlasovacie meno a heslo, získa rovno aj to heslo. Užívatelia, ktorí sa registrujú cez sociálne siete to majú lepšie v tom, že heslo Iniciatíve Q neodovzdajú.

Bezpečnostné odporúčanie: používajte unikátne heslá pre prihlasovanie. Ak útočník získa k vášmu prihlasovaciemu menu (prihlasovaciemu e-mailu) nejakým spôsobom heslo, nech ho nemôže použiť pre iné služby.

Záver

Iniciatíva Q má teraz slušnú databázu užívateľských prihlasovacích údajov. Časť bude len polovičná, od sociálnych sietí získala len prihlasovacie meno. Časť je však úplná s prihlasovacím menom aj heslom. Dôveryhodní užívatelia musia teraz dúfať, že ich prihlasovacie údaje nebudú zneužité a Iniciatíva Q ich prihlasovacie údaje bude starostlivo chrániť.

Bezpečnostné odporúčanie: ak používate služby, ktoré umožňujú viacfaktorové prihlasovanie (napríklad SMSka, jednorazové kódy, certifikáty...), využívajte ho.

Len pre zaujímavosť, prihlasovacie heslo nie je možné na Iniciatíve Q zmeniť. Dá sa len odregistrovať.

Máte záujem registrovať sa do Iniciatívy Q?

Čo Ty na to?