Doskonale zdajemy sobie sprawę, że Twoje domeny, nad którymi opiekę nam powierzasz, są dla Ciebie niezmiernie cenne. Wybór rejestratora domen to wybór na lata. Zaufanie w tej branży zdobywa się bardzo powoli, stracić można je bardzo szybko. W tym artykule zapoznamy Cię z mechanizmami ochrony, które stosujemy oraz przekażemy kilka wskazówek, które pomogą Ci bezpiecznie korzystać z Twoich cennych domen.
Domeny internetowe to rdzeń biznesu oraz adres Twojej strony WWW, najbardziej istotny element firmowego adresu e-mail, ale przede wszystkim coś, co wyróżnia Cię w Internecie i pozwala jednoznacznie znaleźć.
Utrzymanie domeny internetowej to pozornie prosta i niedroga usługa, jednak tak naprawdę to ogromna odpowiedzialność. Chcemy być Twoim zaufanym partnerem przez wiele lat. Dlatego też poniżej przedstawiamy podstawowe mechanizmy bezpieczeństwa, które stosujemy na co dzień.
Naszą deklarację bezpieczeństwa znajdziesz pod adresem: https://www.domeny.tv/bezpieczenstwo-domen. W dalszej części tekstu szczegółowo omówimy najważniejsze poruszone tam kwestie.
Szyfrowanie przesyłu danych
Wszystkie dane przesyłane pomiędzy Twoim urządzeniem, a naszymi serwerami, są szyfrowane przy użyciu protokołu HTTPS, co umożliwia aktywny certyfikat SSL. Od wielu lat to standard i samo korzystanie z SSL nie zapewnia pełnego bezpieczeństwa.
Niezmiernie ważne jest jednak poprawne wdrożenie szyfrowania. Musi ono obejmować absolutnie wszystkie elementy, jak również wszystkie systemy. Dotyczy to zarówno stron informacyjnych, jak również panelu klienta, interfejsu API czy paneli do zarządzania innymi usługami.
Szyfrowanie haseł
Wszystkie hasła naszych użytkowników są zaszyfrowane w bazie danych. Co to oznacza? Dokładnie tyle, że my ich nie znamy.
Wiele serwisów internetowych, tylko twierdzi, że przechowuje hasła w formie zaszyfrowanej. Pod pozorem “wygody” trzyma również hasła zapisane gołym tekstem, aby móc je użytkownikom “przypomnieć”. Tymczasem nie ma najmniejszej potrzeby przechowywania jawnych haseł użytkowników.
W momencie wpisywania hasła logowania przez użytkownika, jest ono szyfrowane i porównywane z wersją zaszyfrowaną w bazie danych. Tym samym, pozwala to jednoznacznie stwierdzić, czy zostało podane prawidłowe hasło, czy nie, nawet jeśli go nie znamy i przechowujemy.
Nigdy nie prosimy naszych użytkowników o przesyłanie ani ujawnianie haseł, bo nie ma ku temu potrzeby. Jeśli otrzymasz taką prośbę, oznacza to, że nie pochodzi ona od nas i może być próbą wyłudzenia.
Bezpieczeństwo dostępu
Dbamy o to, aby dostęp do kluczowych elementów naszej infrastruktury był dostępny w maksymalnie ograniczony sposób. Dotyczy to zarówno konkretnych wskazanych osób, jak również sposobów łączenia się z usługami.
Obserwujemy regularnie charakterystykę ruchu na serwerze. W przypadku wykrycia nietypowego ruchu, np. skanowania plików pod kątem wykrycia potencjalnych luk zabezpieczeń, takie działanie jest niezwłocznie blokowane.
Oprogramowanie serwerowe jest regularnie aktualizowane, w szczególności od razu, gdy są wydawane aktualizacje poprawiające bezpieczeństwo.
Wykonujemy regularne audyty bezpieczeństwa naszych serwerów i oprogramowania, które jest na nich uruchomione.
Nie ujawniamy nikomu szczegółowych danych o tym, jak zbudowana jest nasza infrastruktura i jakie dokładnie procedury bezpieczeństwa stosujemy. To również jest elementem naszej polityki bezpieczeństwa.
Kopie zapasowe
Jak dobrze wiemy, złośliwość rzeczy martwych dosięga nas zawsze w najmniej oczekiwanym momencie. Również serwery, na których znajdują się kluczowe systemy, mogą ulec awarii.
Oczywiście wszystkie serwery znajdują się w profesjonalnej serwerowni, korzystamy wyłącznie z nowoczesnego, sprawdzonego sprzętu, zapewniona jest redundancja kluczowych zasobów. Oznacza to, że te same zadania realizowane są przez dwa niezależnie od siebie działające urządzenia, na przykład oddzielne macierze dyskowe, dwa niezależne łącza Internetowe czy różne źródła zasilania. Wszystko to łącznie minimalizuje ryzyko poważnej awarii.
W przypadku bardzo mało prawdopodobnego trwałego uniemożliwienia dostępu do danych, posiadamy i regularnie testujemy procedury tzw. disaster recovery. Obejmują one szybkie przywrócenie usług w innej lokalizacji, na innym fizycznie sprzęcie, przy użyciu kopii bezpieczeństwa, które są wykonywane o każdej godzinie.
Panel klienta
Logujemy wszystkie próby dostępu do Twojego konta – udane i nieudane. Masz dostęp do historii swoich logowań. Dodatkowo masz możliwość zdefiniowania zaufanych adresów IP – na przykład jeśli w biurze masz stały adres IP, z którego regularnie się logujesz. Warto wówczas włączyć powiadomienie e-mail o każdym logowaniu z innego adresu IP.
W przypadku podejrzenia, że ktoś niepożądany zalogował się na Twoje konto, niezwłocznie skontaktuj się z nami.
Procedury obsługi klienta
Jeden z bardziej medialnych hackerów, Kevin Mitnick, w swojej książce “Sztuka podstępu” już w 2001 roku pisał, że “łamał ludzi, a nie hasła”. To stwierdzenie jest aktualne do dzisiaj.
Z tego też powodu wszyscy nasi pracownicy biura obsługi klienta są szkoleni, aby ściśle pilnować ustalonych i spisanych procedur bezpieczeństwa, które zostały wypracowane i są udoskonalane od wielu lat.
Wszyscy pracownicy korzystają wyłącznie z komputerów przygotowanych do pracy zgodnie z polityką bezpieczeństwa firmy. Ich działania są rejestrowane, a dostęp do usług możliwy wyłącznie z sieci wewnętrznej firmy.
Podczas rozmowy telefonicznej nie uzyskasz danych konta, ani tym bardziej hasła, czy jakichkolwiek innych wrażliwych informacji. Za każdym razem ściśle przeprowadzamy weryfikację, czy osoba zgłaszająca zapytanie, jest faktycznie uprawniona do wykonywania działań związanych z daną nazwą domeny.
Przykładowo, w przypadku próby uzyskania dostępu z innego adresu e-mail, niż powiązany z danym kontem, przeprowadzamy manualną weryfikację tożsamości.
Jeśli otrzymamy telefon “pilnie potrzebuję uzyskać dostęp do danej domeny, bo szef ma za 5 minut do podpisania ogromny kontrakt i zapomniał hasła” to jest to dla nas jednoznaczny sygnał, że pośpiech w działaniu będzie tu bardzo złym doradcą. Niestety takie próby uzyskania nieuprawnionego dostępu się zdarzają, muszą się więc spotkać ze zdecydowaną odmową.
Procedury współpracy z dostawcami
Specjalizujemy się w rejestracji i utrzymaniu domen w różnych krajach świata. Rejestry narodowe, obsługujące rozszerzeniedomenowe danego państwa, posiadają różne procedury bezpieczeństwa i obsługi klienta. Niestety nie wszystkie robią to na najwyższym poziomie.
O ile rejestratora domeny zawsze można zmienić, to podmiot bezpośrednio zarządzający daną domeną, już niekoniecznie. Spotykaliśmy się na przykład z przerwą w działaniu domeny, mimo poprawnego jej opłacenia i odnowienia, w wyniku “błędu systemu” naszego dostawcy – rejestru jednego z krajów o niezbyt wysokim poziome rozwoju usług internetowych.
Aby zapobiec takim incydentom, a przynajmniej natychmiast móc na nie zareagować, posiadamy niezależne, proaktywne mechanizmy, które sprawdzają i monitorują kluczowe aspekty działania usług u dostawców zewnętrznych. Na przykład regularnie sprawdzamy, czy nasza baza danych oraz informacje uzyskane od zewnętrznych dostawców, zawierają zgodne dane. W przypadku wykrycia jakiejkolwiek rozbieżności, jesteśmy o tym powiadamiani i niezwłocznie podejmujemy niezbędne działania.
Mechanizmy, jakie Ty samodzielnie powinieneś wdrożyć
Na koniec podajemy kilka wskazówek, które pomogą Ci zadbać o bezpieczeństwo po Twojej stronie:
- Aktualizuj swoje dane w naszym systemie, jeśli uległy zmianie. Dotyczy to szczególnie kontaktowego adresu e-mail.
- Sprawdzaj, czy dane powiadomienie dotyczące domeny, rzeczywiście przyszło od nas, albo od rejestru danego typu domeny. W razie wątpliwości, po prostu napisz do nas.
- Stosuj unikalne, trudne do odgadnięcia hasło do panelu domen. Nie stosuj tego samego hasła nigdzie indziej.
- Nigdy nie przekazuj swojego hasła do panelu domen nikomu innemu – nawet zaprzyjaźnionym osobom.
- Korzystaj wyłącznie ze swoich, zaufanych urządzeń. Nie przekazuj swojego laptopa ani telefonu osobom trzecim.
- Korzystaj wyłącznie z zaufanych sieci, które znasz. Uważaj na darmowe WiFi i niezweryfikowane urządzenia. Unikaj ogólnodostępnych komputerów w hotelowym lobby. Na takim urządzeniu nawet korzystanie ze strony logowania HTTPS może doprowadzić do wycieku hasła.
Zapraszamy do zadawania pytań w komentarzach lub do kontaktu z nami.
Jako CEO MSERWIS posiadam ponad 20-letnie doświadczenie z zakresu tworzenia oprogramowania, funkcjonowania domen oraz serwerów wirtualnych. Odpowiadam za nadzór nad wszystkimi aspektami działalności, w tym sprzedażą, marketingiem, finansami i opracowywaniem strategii biznesowych. Pomagam przedsiębiorcom tworzyć sklepy e-commerce i konfiguratory 3D, które zapewniają więcej klientów dla ich biznesów.
Pingback: Targi CloudFest 2023 za nami! - jesteśmy na bieżąco z najnowszymi trendami technologicznymi - Blog MSERWIS
Pingback: Cała prawda o hasłach. Sprawdź, czy nie jesteś narażony na atak - Blog Domeny.tv