З приходом інформаційних технологій персональна інформація стала менш захищеною від витоку. Це відкрило нові вільні ніші для шахраїв, що продають її мільйонами на чорному ринку або використовують для викрадення більш серйозних речей, ніж фото Ваших улюбленців у домашньому фотоархіві.
Коли останнього разу Ви вивчали свій цифровий слід? Для багатьох відповідь буде такою: “Ніколи!”, “А навіщо?”, “Та кому я потрібен?”. Це все тільки полегшує справу електронним шахраям.
Однак доброю новиною є те, що не обов’язково бути технічним генієм, щоб захистити себе та рідних від небажаних наслідків.
1. Один сервіс – один пароль!
Використовуйте унікальні паролі і виробіть наступну звичку: один сервіс – один пароль! І тільки так!
Можете навіть використовувати генератори випадкових довгих паролів та зберігати їх у менеджері паролів. Тоді Вам необхідно буде запам’ятати лише один майстер-пароль, такий максимально довгий, як тільки зможете запам’ятати, і такий, який неможливо підібрати або вгадати. Наприклад, Вашу персональна інформація, дні народження дітей, котів або прізвище Вашого першого боса.
Ну, і на випадок склерозу можете його записати у неелектронному вигляді (на папері, наприклад) і покласти у недоступне хакерам місце :-).
Варто ще сказати що майстер-пароль бажано міняти принаймні раз на рік 🙂
Отже, менеджери паролів:
- 1Password – обійдеться в $2,99/місяць, але воно того варте, бо синхронізується між усіма Вашими пристроями, має підтримку macOS, iOS, Windows, Android, Linux, Chrome OS та навіть Command Line. Також встановлюється у браузери Chrome та Firefox і допомогає заповнювати не тільки дані у формах, а й зберігати іншу, менш структуровану, інформацію. 1Password також може попередити Вас про те, що сайти, які Ви використовували, мають порушення безпеки, дозволяючи Вам якнайшвидше змінити пароль і зменшити шанси на те, що Ваші дані будуть вкрадені.
- LastPass – подібний до 1Password, але з меншим фунціоналом, що обійдеться за $3/місяць. Але має безкоштовну спрощену версію.
- Dashlane – подібний до LastPass, що обійдеться за $3.33/місяць. Також має безкоштовну версію для зберігання до 50 паролів.
- KeePass – подібна до попередніх, вільна (opensource) програма для зберігання паролів. Також існують різні версії та форки програми – такі, як мобільні версії для Android (KeePassDroid, KeePass2Android), iOS (MiniKeePass, iKeePass), BlackBerry (KeePassB) та Windows Phone (7Pass та 8Pass), веб-версія BrowsePass, форк KeePassX для Linux.
2. Увімкніть багатофакторну аутентифікацію
Всі про це знають, але чомусь мало людей використовує. Або взагалі про це не знають. Або чули, але не знають де/як увімкнути.
Обов’язково вмикаємо багатофакторну аутентифікацію (інколи вона називається двофакторна, 2FA, MFA тощо), бо так Вас зламати буде набагато складніше, ніж просто перехопити якимось вірусом-кейлогером введений Вами пароль на зараженій машині.
Якщо є така опція у сервісі, то, звісно, краще використовувати додаткову аутентифікацію з одноразовими паролями через застосунок на Вашому мобільному телефоні (наприклад, Google Authenticator, який є на багатьох платформах), бо СМС-повідомлення не є надійним, оскільки його легко перехопити, а одноразовий пароль через пошту перехопити не набагато складніше за СМС.
Під час налаштування багатофакторної автентифікації Вам буде запропоновано відсканувати QR-код або ввести секретну фразу вручну. Краще записати десь секретну фразу у неелектронному вигляді (на папері, наприклад) і покласти у недоступне хакерам місце :-).
Навіщо записувати? Бо ця секретна фраза зберігається тільки на телефоні, і у випадку його втрати або у випадку відновлення з резервної копії Ви її втратите і відновити доступ до Вашого екаунту буде доволі складно.
Вмикається багатофакторна аутентифікація так:
- Google
Обліковий запис Google -> Безпека -> Двохетапна перевірка
І тут вже вас чекає розмаїття різних способів, краще обрати декілька, наприклад “Голосове або текстове повідомлення”, “Резервні коди” та “Додаток Google Authenticator”.
- Facebook
Налаштування -> Безпека й авторизація -> Використання двоетапної перевірки
Генерація одноразового коду входить у комплект з додатком Facebook на телефоні. Але також краще зберегти “Резервні коди” (Recovery Codes) у неелектронному вигляді.
- Instagram
Редагувати профіль -> Конфіденційність і безпека -> Двоетапна перевірка
- AppleID
Керувати AppleID -> Безпека -> натискаємо “Редагувати” -> Двофакторна автентифікація
3. Зверніть увагу на процес відновлення екаунту
Зверніть увагу не тільки на пароль, а й на процес відновлення, бо злам починають звідти. Дівоче прізвище матері? Пройшли ті часи, коли це було сек’юрно. Будьте креативні! Якщо сервіс дозволяє робити свої запитання, то робіть питання невеличку підказку в стилі “02 221 3” (що може означати третій рядок зверху на 221 сторінці на другій книжці на полиці праворуч). Або просто зробіть рандомний рядок на 32 символи у якості відповіді та збережіть в надійному місці (а ще краще в паперовому вигляді).
Давайте розглянемо для прикладу процес відновлення (читай – зламу акаунта) у AppleID. Крок перший – введіть AppleID. Тут все ясно. Далі, введіть номер телефону. Також дуже легко, бо якщо знаєш “жертву” – то номер, найімовірніше, також знаєш. Далі. “Повідомлення з вказівками надіслано на всі ваші пристрої”, але натискаємо “Не маєте доступу до жодного із пристроїв?”. Далі вводимо код що надійшов у СМС на номер, що вказали вище. Це також легко перехопити, починаючи з портативної базової станції GSM/репітера, якщо перебувати у жертви під носом чи мати простий телефонний вірус, що читає СМС, пересилає, куди треба, і тут же видаляє. І що ж ми бачимо далі? Таємні питання! О так, дуже важко дізнатися “ім’я першого друга” або “кличку домашнього улюбленця” або “місто, в якому познайомились Ваші батьки”. Ну, Ви зрозуміли.
4. Не відкривайте вкладення від невідомих людей
Цей вид розсилки вірусів старий, як світ, і буде існувати, поки буде електронна пошта. Всі начебто знають про це, однак знаходяться люди, які ще на це ведуться. Ну, не буде всередині листа фоток оголеної Насті Каменських, зарплат співробітників компанії або деталей отримання Вашого призу!
Ну, а що робити з відомими відправниками? Звісно, відкривати підряд усі файли (особливо .exe) та виконувати з правами адміністратора! Ні! Тут також треба бути обережним, бо поштову адресу відправника дуже просто підмінити чи справді відправити вірус зі зламаного екаунта знайомої Вам людини. Це також стосується й екаунтів у соціальних мережах.
От наприклад, як зламати екаунт директора великої компанії? Доволі просто, якщо починати не з нього самого, а шляхом довірених контактів через бухгалтера, секретаря, помічника тощо. Недаремно є вислів, що надійність системи визначається її найслабкішою ланкою.
5. Не ігноруйте оновлення програм
Так, оновлюватись набридає, але це передумова для забезпечення безпеки Ваших екаунтів та пристроїв. Не забувайте, що хакери також знають про вразливість програм та пристроїв. І Ви можете використовувати супер-секʼюрний пароль з увімкненою багатофакторною аутентифікацією та мега-важкими методами відновлення екаунта, але весь цей захист може впасти в руках хакера, якому відома критична вразливість, що дозволяює все це обійти на неоновленій версії програмного забезпечення.
Роман Теличко, фахівець з питань кібербезпеки
спеціально для Cyberсalm
