Практично кожен ваш обліковий запис може бути зламаний. Після численних витоків даних у 2024 році, коли понад 7 мільярдів облікових даних потрапило на чорний ринок, технологічні компанії впроваджують нові стандарти безпеки. Microsoft оголосила про обов’язкову багатофакторну аутентифікацію для всіх користувачів Microsoft 365 та Azure до вересня 2025 року, а компанії Apple, Google та Microsoft активно просувають нову технологію passkeys, яка має замінити паролі.

Проте поки ці стандарти впроваджуються, найкращим методом захисту залишається двофакторна аутентифікація — процес, який вимагає додаткового підтвердження вашої особи при вході в обліковий запис. За даними Microsoft, облікові записи з увімкненою багатофакторною аутентифікацією на 99,9% краще захищені від компрометації.

Що таке двофакторна аутентифікація та чому вона критично важлива

Двофакторна аутентифікація (2FA) — це метод захисту, який вимагає два різні способи підтвердження особи: щось, що ви знаєте (пароль), та щось, що ви маєте (смартфон, апаратний ключ) або чим ви є (біометричні дані). Дослідження 2025 року показують, що 83% організацій використовують багатофакторну аутентифікацію, а 66% вимагають біометричної перевірки для доступу до корпоративних ресурсів.

Статистика кіберзлочинності підтверджує критичну важливість 2FA: у 2024 році 62% витоків даних були спричинені викраденими або слабкими паролями. При цьому системи Microsoft піддаються понад 1000 атакам паролів щосекунди, що підкреслює недостатність традиційного парольного захисту.

Чому SMS-аутентифікація більше не є безпечною

Попри поширеність SMS-кодів для двофакторної аутентифікації, цей метод має серйозні вразливості. У 2024 році кількість атак із заміною SIM-карт (SIM swapping) зросла на 1055% — лише у Великій Британії зафіксовано майже 3000 випадків проти 289 у 2023 році. В США ФБР зареєструвало збитки від таких атак на суму 26 мільйонів доларів.

SIM swapping — це атака, коли зловмисники переконують мобільного оператора перенести ваш номер на SIM-карту під їхнім контролем, отримуючи доступ до всіх SMS-кодів автентифікації. Крім того, SMS-повідомлення не шифруються, що дозволяє перехоплювати коди через вразливості мережі SS7. Дослідження Princeton University показало, що 80% спроб SIM swap-атак виявилися успішними з першої спроби.

Експерти з кібербезпеки радять відмовитися від SMS 2FA на користь більш захищених методів, особливо для критично важливих облікових записів — банківських, криптовалютних та електронної пошти.

Додатки-аутентифікатори: надійніша альтернатива SMS

Додатки-аутентифікатори генерують тимчасові коди безпосередньо на вашому пристрої без використання телефонної мережі, що робить їх стійкими до перехоплення та SIM swapping. Найпопулярніші програми — Google Authenticator, Microsoft Authenticator та Authy — працюють за стандартом TOTP (Time-based One-Time Password), генеруючи 6-значний код, який оновлюється кожні 30 секунд. Також нещодавно творці Proton VPN випустили 2FA  додаток, який доступний для всіх основних платформ. Proton Authenticator простий у використанні, елегантний і безкоштовний.

При налаштуванні нового облікового запису ви скануєте QR-код, який прив’язує додаток до вашого акаунта. Наступного разу при вході вам достатньо ввести код з програми. Ці коди генеруються локально на пристрої та не передаються через Інтернет, що унеможливлює їх перехоплення хакерами.

За даними досліджень 2025 року, додатки-аутентифікатори забезпечують значно вищий рівень безпеки порівняно з SMS, хоча й не є абсолютно захищеними від фішингу — якщо зловмисник створить підроблену сторінку входу, користувач може ввести код, не помітивши підміни.

Апаратні ключі безпеки: максимальний захист від фішингу

Для максимального захисту застосовують апаратні ключі безпеки — фізичні пристрої на основі USB або NFC (наприклад, YubiKey або Feitian), які підключаються до комп’ютера чи смартфона для автентифікації. Ці ключі працюють за стандартом FIDO2 та є стійкими до фішингу — навіть якщо ви перейдете за підробленим посиланням, ключ не відкриє доступ до неправильного сайту.

Після впровадження апаратних ключів безпеки для 85 000 співробітників Google повідомила про нульову кількість успішних фішингових атак. Це підтверджує ефективність фізичних ключів як найнадійнішого методу двофакторної автентифікації у 2025 році.

Недоліком апаратних ключів є необхідність мати їх при собі та складність відновлення доступу при втраті пристрою, проте для захисту найважливіших облікових записів це оптимальне рішення.

Passkeys: революція в автентифікації без паролів

Найновіша технологія автентифікації — passkeys (ключі допуску) — використовує криптографію з відкритим ключем замість паролів. Коли ви створюєте passkey, система генерує пару ключів: приватний зберігається на вашому пристрою, а публічний — на сервері вебсайту. Вхід здійснюється за допомогою Face ID, Touch ID або PIN-коду пристрою, без введення будь-яких паролів.

Apple, Google та Microsoft активно впроваджують підтримку passkeys у свої екосистеми з 2022 року, і у 2025 році ця технологія досягла зрілості. За даними звіту Bitwarden, кількість створюваних passkeys зросла на 550% протягом 2024 року, причому понад мільйон нових passkeys було створено лише в останньому кварталі. Дослідження показують, що у 2025 році passkeys складають 62% усіх методів аутентифікації, порівняно з 33% для SMS.

Основні переваги passkeys: повна стійкість до фішингу (працюють лише на легітимних сайтах), неможливість викрадення (приватний ключ ніколи не покидає пристрій), автоматична синхронізація між пристроями через iCloud Keychain, Google Password Manager або Microsoft Account. Понад 95% пристроїв на iOS та Android підтримують passkeys, що робить цю технологію масово доступною.

Налаштування двофакторної автентифікації на платформах Apple

Для активації двофакторної автентифікації на iPhone або iPad (iOS 17 та новіших версій) відкрийте налаштування, натисніть на своє ім’я вгорі екрана, оберіть “Вхід і безпека” та увімкніть двофакторну автентифікацію. Система почне надсилати 6-значні коди на ваші довірені пристрої при кожній спробі входу з нового пристрою або браузера.

На Mac перейдіть до меню Apple → “Системні налаштування” → натисніть на своє ім’я → “Пароль і безпека” та активуйте двофакторну автентифікацію. Після цього при вході в Apple ID з нового пристрою ви отримуватимете код на свої довірені пристрої.

Для створення passkey на пристроях Apple відвідайте вебсайт, який підтримує цю технологію, виберіть опцію створення passkey та автентифікуйтесь за допомогою Face ID або Touch ID. Ключ автоматично збережеться в додатку Apple Passwords та синхронізується через iCloud Keychain на всі ваші пристрої Apple.

Налаштування двофакторної автентифікації в Microsoft

Увійдіть до свого облікового запису Microsoft на сайті account.microsoft.com та перейдіть до розділу “Безпека“. Оберіть “Додаткові параметри безпеки” та натисніть “Налаштувати” у розділі “Двоетапна перевірка“. Система запропонує додати номер телефону або додаток Microsoft Authenticator для отримання кодів підтвердження.

Microsoft зробила багатофакторну аутентифікацію обов’язковою для всіх користувачів Microsoft 365 та Azure. Перша фаза впровадження розпочалася в жовтні 2024 року для адміністративних порталів, друга фаза стартувала 1 жовтня 2025 року для інструментів командного рядка, мобільних додатків та API.

Налаштування двофакторної автентифікації в Google

Для активації двофакторної аутентифікації в облікових записах Google (Gmail, YouTube, Google Drive) перейдіть на сторінку g.co/2sv та натисніть “Розпочати“. Система запропонує ввести номер телефону та обрати спосіб отримання кодів — через SMS або телефонний дзвінок. Значно безпечнішим варіантом є використання додатка Google Authenticator або підказок Google Prompt, які дозволяють підтверджувати вхід простим натисканням “Так” на вашому смартфоні.

Google також підтримує створення резервних кодів для автономного доступу — система генерує десять одноразових кодів, які можна використати, якщо у вас немає доступу до основного методу аутентифікації. Кожен код працює лише один раз, тому після використання його слід перекреслити.

Для створення passkey в Google перейдіть до розділу безпеки облікового запису та оберіть опцію налаштування passkey. Система збереже ключ у Google Password Manager та синхронізує його на всі пристрої, де ви увійшли в обліковий запис Google.

Додаткові рекомендації з безпеки

Окрім увімкнення двофакторної аутентифікації, дотримуйтесь цих правил для максимального захисту:

• використовуйте унікальні паролі для кожного облікового запису та зберігайте їх у менеджері паролів;
• активуйте сповіщення про підозрілу активність у ваших банківських додатках та у мобільного оператора;
• встановіть блокування SIM-карти у вашого оператора для запобігання SIM swapping;
• регулярно перевіряйте сеанси входу та завершуйте незнайомі сесії.

Для найважливіших облікових записів — банківських, криптовалютних гаманців, корпоративної електронної пошти — використовуйте апаратні ключі безпеки або passkeys замість SMS-кодів.

Навчіть себе розпізнавати фішингові атаки: завжди перевіряйте URL-адресу сайту перед введенням облікових даних, не переходьте за посиланнями з непідтверджених електронних листів або SMS, та пам’ятайте, що жодна легітимна організація ніколи не попросить вас надати коди двофакторної аутентифікації.

Майбутнє аутентифікації: перехід до passwordless

У 2025 році індустрія рухається до повної відмови від паролів. Passkeys вже підтримують такі платформи, як eBay, Best Buy, Kayak, PayPal та GitHub, а обізнаність користувачів про цю технологію зросла з 39% до 57% за два роки. Експерти прогнозують, що до 2030 року ринок багатофакторної аутентифікації досягне 40 мільярдів доларів, причому основний драйвер зростання — біометричні технології та passkeys.

Організації, які впроваджують passkeys, отримують не лише підвищену безпеку, але й економічні переваги: зниження витрат на SMS-аутентифікацію, менше запитів на скидання паролів до служби підтримки, вищі показники конверсії завдяки спрощеному процесу входу. Компанії, які вже зараз переходять на passwordless-аутентифікацію, позиціонують себе як лідери в інноваціях, орієнтованих на користувача.

Ця стаття Двофакторна аутентифікація у 2025 році: як захистити всі свої облікові записи раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Для багатьох молодих людей університет стає першим місцем, де вони самостійно керують своїм цифровим життям. Це робить їх легкими мішенями для хакерів та шахраїв. Який студент не користується безкоштовним Wi-Fi, не завантажує файли з сумнівних джерел або не ділиться паролями з друзями? Але саме ці звички можуть призвести до серйозних проблем з безпекою.

Чому студенти особливо вразливі до кіберзагроз

Студенти часто стають жертвами кіберзлочинців з кількох причин. По-перше, вони активно користуються інтернетом для навчання, спілкування та розваг. По-друге, багато хто з них вперше живе самостійно і може не усвідомлювати всіх ризиків. По-третє, студенти часто мають обмежений бюджет, що змушує їх шукати безкоштовні альтернативи, які не завжди безпечні.

Крім того, університетські мережі часто стають мішенями для хакерів через велику кількість користувачів та цінну інформацію, яку вони містять.

Основні правила безпеки в мережі університету

1. Обережно з публічним Wi-Fi

Університетські мережі Wi-Fi зручні, але не завжди безпечні. Уникайте входу в банківські додатки або інші чутливі сервіси через публічний Wi-Fi. Якщо це необхідно, використовуйте VPN для шифрування трафіку.

VPN може захистити від атак типу «людина посередині». VPN (віртуальна приватна мережа) вирішує цю проблему, зберігаючи вашу онлайн-активність приватною навіть у спільних або незахищених мережах і зупиняючи інтернет-провайдерів або інших спостерігачів від відстеження ваших даних.

На щастя, є багато дешевих VPN або навіть безкоштовних VPN, тому якщо ви маєте студентський бюджет, вам не доведеться витрачати багато грошей. Наші найкращі бюджетні варіанти — Mullvad VPN, Surfshark і Proton VPN, який є найкращим — і єдиним — безкоштовним VPN, який ми рекомендуємо.

Окрім використання VPN для університетського Wi-Fi, VPN можуть бути корисними, коли ви подорожуєте (наприклад, на навчанні за кордоном або під час канікул) або хочете отримати доступ до контенту, недоступного у вашому регіоні, наприклад закордонних бібліотек Netflix.

2. Створюйте унікальні паролі

Більшість людей знають, що потрібно використовувати надійні паролі, але багато хто цього не робить. Нерідко один і той самий пароль використовується для десятка облікових записів — і це зрозуміло. Ви жонглюєте заняттями, проєктами та всім іншим, тому запам’ятовування 30 різних паролів не в пріоритеті. Але саме на це й розраховують зловмисники.

Як тільки ваші облікові дані потрапляють у витік даних, зловмисники перевіряють ці самі логіни на всіх основних сервісах. Це називається credential stuffing (підбір облікових даних), і це працює.

Зробіть собі послугу: використовуйте парольні фрази замість окремих слів. Пароль “Coffee&Reading2025!” набагато надійніший за “password1234”. Агентство кібербезпеки та безпеки інфраструктури США (CISA) рекомендує робити паролі довжиною щонайменше 16 символів, використовуючи комбінацію літер, цифр, спеціальних символів і слів.

Ще краще — довірте всю справу менеджеру паролів, як-от Bitwarden, Proton Pass або KeePass. Менеджери паролів — це безкоштовні або недорогі інструменти, які запам’ятовують усе за вас. Тоді вам потрібно пам’ятати лише один основний пароль, а не п’ятдесят. Якщо у вас є зайві гроші, спробуйте 1Password, оскільки він використовує надійне галузеве шифрування AES-256, архітектуру секретних ключів для посиленої безпеки облікового запису та вбудовані сповіщення Watchtower для перевірки проблем безпеки на веб-сайтах, які ви відвідуєте. Але будь-який із рекомендованих вище менеджерів паролів працює добре.

3. Увімкніть багатофакторну автентифікацію

Багатофакторна автентифікація (MFA) стоїть між вами та кимось, хто видає себе за вас онлайн. Ви входите за допомогою пароля, а потім підтверджуєте, що це дійсно ви, іншим способом — наприклад, вводите код із телефону або натискаєте підказку в додатку. MFA використовує два або більше окремих методів автентифікації. Цей додатковий крок іноді може перетворити вкрадений пароль на марну інформацію, адже без SMS-повідомлення, коду автентифікації чи іншого способу підтвердження входу доступ не буде надано.

Хакери та зловмисники розраховують на те, що більшість людей пропускають цей крок. Вони отримують або купують викрадені паролі оптом і тестують, які з них ще працюють. MFA може зачинити ці двері. Навіть якщо вони мають ваш логін, зазвичай вони не можуть пройти другу перевірку, якщо ваші додаткові методи підтвердження також не скомпрометовані.

Деякі університети вже підтримують MFA через Duo або Google Authenticator. А нещодавно творці Proton VPN випустили 2FA  додаток, який доступний для всіх основних платформ. Proton Authenticator простий у використанні, елегантний і безкоштовний.

Після налаштування підтвердження входу займає кілька секунд. Ці кілька секунд можуть допомогти уберегти ваші дані від потрапляння в чужі руки.

Захист особистих даних та конфіденційності

4. Будьте обережні в соціальних мережах

Соціальні мережі — велика частина життя, але надмірний обмін інформацією може поставити вас під загрозу. Зловмисники шукають дрібні деталі, як-от ваш день народження, університет, рідне місто тощо, щоб вгадати паролі або відповіді на контрольні запитання. З вашого профілю я можу дізнатися вашу електронну пошту та те, що вашого першого собаку звали Сірко — що може бути одним із ваших часто використовуваних паролів або відповіддю на одне з ваших контрольних питань.

Тримайте свої облікові записи приватними та обмежуйте те, що ви публікуєте публічно. Приймайте запити лише від людей, яких ви дійсно знаєте, і уникайте обміну особистими оновленнями в режимі реального часу.

Більшість випадків крадіжки особистих даних починається зі збирання фрагментів особистої інформації з соцмереж. Чим менше ви ділитеся, тим важче комусь використати цю інформацію проти вас.

Також припиніть нескінченно скролити стрічку. Вам треба вчитися.

5. Оновлюйте програмне забезпечення

Регулярно оновлюйте операційну систему, браузери та додатки. Оновлення часто містять важливі виправлення безпеки, які захищають від нових загроз.

Так, оновлення можуть дратувати, але вони мають значення. Деякі з них виправляють уразливості безпеки, про які хакери вже знають. Коли ви їх ігноруєте, ви фактично залишаєте свої вхідні двері відчиненими.

Найпростіше рішення — увімкнути автоматичні оновлення та дозволити їм працювати у фоновому режимі. Зазвичай вам навіть не доведеться про це думати. А коли пристрій повідомляє, що потребує перезавантаження, просто зробіть це. Це швидке перезавантаження часто є тим, що фактично фіксує будь-які доступні виправлення безпеки.

6. Використовуйте антивірусне програмне забезпечення

Більшість сучасних пристроїв мають вбудований захист. Windows 10 і 11 постачаються з Microsoft Defender Antivirus, і він досить непоганий. Подібно до цього, на пристроях MacOS ви знайдете вбудований XProtect для захисту від загроз. Але ви можете вибрати стороннє антивірусне програмне забезпечення для Mac, якщо хочете захисту кількох пристроїв або додаткових переваг кібербезпеки, як-от батьківський контроль або страхування від крадіжки особистих даних.

Окрема антивірусна програма може забезпечити додаткові переваги безпеки, як-от розширене видалення загроз, кращий показник виявлення шкідливого ПЗ або захист від крадіжки особистих даних. Якщо у вас обмежений бюджет, є кілька безкоштовних антивірусних варіантів. AVG та Avira безкоштовні й добре справляються зі своїм завданням. Bitdefender також має безкоштовний рівень, який добре працює. Вони сканують ваші файли, позначають підозрілу активність і виконують більшість того, що ви очікуєте від антивірусу.

Час від часу запускайте повне сканування. І, будь ласка, не завантажуйте нічого з підозрілих веб-сайтів.

Безпечне використання пристроїв та додатків

7. Завантажуйте програми з офіційних джерел

Завантажуйте додатки лише з офіційних магазинів — App Store для iOS або Google Play для Android. Уникайте завантаження програм з невідомих сайтів, оскільки вони можуть містити шкідливе ПЗ.

8. Дбайте про безпеку пристроїв

Завжди блокуйте свої пристрої паролем, PIN-кодом, відбитком пальця або розпізнаванням обличчя. Це перша лінія захисту, якщо ваш пристрій загубиться або буде вкрадений.

Потрібна лише мить, щоб ноутбук або телефон зникли. Тримайте свої пристрої при собі, коли ви вчитеся, їсте або йдете на заняття. У громадських місцях легко вкрасти те, що ви залишаєте без нагляду.

Порада: закривайте веб-камеру, коли ви її не використовуєте. Простої кришки або шматочка скотчу достатньо, щоб ніхто не міг спостерігати без вашого відома, а деякі веб-камери навіть мають фізичну шторку для закриття об’єктива.

9. Регулярно створюйте резервні копії

Створюйте резервні копії важливих файлів та документів. Використовуйте хмарні сервіси або зовнішні накопичувачі. Це допоможе відновити дані у випадку кібератаки або технічної несправності.

Втрата роботи трапляється частіше, ніж люди думають, і зазвичай це відбувається в найгірший можливий момент. Резервне копіювання файлів зберігає ваші дані в безпеці, коли ноутбук ламається або телефон крадуть. Ви ж не хочете втратити свої есе чи особисті фотографії разом із ним.

Ви можете зберігати свої дані в хмарі за допомогою сервісів на кшталт Google Drive або Dropbox або використовувати фізичну резервну копію, як-от мережеве сховище (NAS) або USB. Покладатися як на хмарні сервіси, так і на локальну резервну копію може бути надійно, і використання кожного дає вам додаткову безпеку.

Увімкніть автоматичне резервне копіювання, щоб ваші файли зберігалися регулярно без необхідності пам’ятати про це.

Розпізнавання та уникнення шахрайства

10. Остерігайтеся фішингових атак

Будьте обережні з електронними листами, SMS або повідомленнями, які просять надати особисту інформацію або перейти за підозрілими посиланнями. Завжди перевіряйте відправника та не поспішайте з відповіддю на термінові запити.

Університети ніколи не просять студентів надавати паролі або фінансову інформацію через електронну пошту. Якщо ви отримали такий запит, зверніться безпосередньо до IT-служби університету.

Фішинг — це коли хтось намагається обдурити вас, щоб ви розкрили особисту інформацію, видаючи себе за надійне джерело, як-от ваш університет, банк, друга/родича або відому компанію. Фішингові повідомлення стають дедалі переконливішими, але є ознаки, на які варто звертати увагу. Стежте за загальними привітаннями («Вітаємо», «Шановний»), дивними URL-адресами та терміновою мовою, що штовхає вас натиснути посилання або відповісти негайно.

Завжди перевіряйте посилання, щоб побачити, куди вони насправді ведуть. Наведіть мишу на гіперпосилання або клацніть правою кнопкою миші > Перевірити, перш ніж клацати, щоб попередньо переглянути повну URL-адресу. Також перевірте адресу відправника, перш ніж щось робити. Різниця може бути такою тонкою, як microsoft.com і rnicrosoft.com. Якщо ви не впевнені, зв’яжіться з організацією безпосередньо через їхній офіційний веб-сайт.

Студентів, зокрема, часто стають об’єктами фальшивих вакансій або шахрайства зі стажуванням, які вимагають банківські дані або документи, що посвідчують особу. Якщо це трапилося з вами, ігноруйте повідомлення та повідомте про це університетський IT-відділ. Вони можуть розіслати масове попереджувальне повідомлення, тож ви можете допомогти комусь іншому.

11. Перевіряйте дозволи додатків і налаштування конфіденційності

Більшість програмного забезпечення та додатків збирають дані за замовчуванням, і зазвичай більше, ніж їм потрібно. Вони можуть отримувати доступ до ваших контактів, місцезнаходження, фотографій, мікрофона тощо без вашого відома. Приділіть кілька хвилин, щоб перевірити дозволи додатків у налаштуваннях телефону чи комп’ютера та подивіться, що кожен із них може робити. Ви можете — і повинні — перевіряти політику конфіденційності та дозволи додатків під час завантаження, щоб виявити тривожні сигнали.

Вимкніть усе, що не має сенсу. Додатку соціальної мережі не потрібна ваша точна геолокація, а фоторедактору не потрібен ваш список контактів.

Додаткова перевага — зменшення дозволів також може продовжити термін служби батареї та зробити ваш пристрій більш плавним у роботі.

12. Знайте, що робити, якщо вас скомпрометували

Якщо один із ваших облікових записів зламали або ваш пристрій починає поводитися дивно, займіться цим негайно. Зазвичай очікування лише погіршує ситуацію.

По-перше, змініть паролі для будь-яких облікових записів, які можуть бути зачеплені. Почніть із електронної пошти та фінансових облікових записів. Потім запустіть сканування на наявність шкідливого ПЗ на вашому пристрої, щоб очистити все підозріле.

Якщо ви надали платіжні дані або особисту інформацію, зателефонуйте у свій банк і повідомте їх про те, що сталося. Вони можуть моніторити або заморозити ваш обліковий запис у разі потреби. Нарешті, повідомте про проблему IT-команді вашого університету та/або місцевим органам влади, щоб вони могли допомогти відстежити її та зупинити поширення.

Швидкі дії обмежують шкоду. Чим довше ви чекаєте, тим важче це виправити.

Додаткові поради для студентського життя

Пам’ятайте, що кібербезпека — це не одноразова дія, а постійний процес. Будьте в курсі нових загроз та методів захисту. Багато університетів проводять семінари з кібербезпеки — відвідуйте їх.

Також важливо навчити своїх друзів та однокурсників основам цифрової безпеки. Чим більше людей дотримуються правил безпеки, тим безпечнішим стає середовище для всіх.

Якщо ви підозрюєте, що стали жертвою кібератаки, негайно зверніться до IT-служби університету та змініть паролі до всіх важливих облікових записів. Швидка реакція може мінімізувати збитки та запобігти подальшим проблемам.

Ця стаття була цікавою? Слідкуйте за нами в Threads, Facebook або Telegram, щоб читати більше ексклюзивного контенту.

Ця стаття Чек-лист кібербезпеки для студентів: 12 порад для захисту в університеті раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Соціальна мережа X попереджає користувачів, що вони повинні перереєструвати свої ключі безпеки або passkeys (ключі допуску) для двофакторної автентифікації (2FA) до 10 листопада, інакше їх заблокують до виконання цієї вимоги.

У серії повідомлень на платформі X оголосила про необхідність оновлення налаштувань безпеки для всіх користувачів, які використовують фізичні ключі безпеки (YubiKey, Google Titan Security Key та інших FIDO2-сумісних ключів безпеки) або passkeys (ключі допуску) як метод двофакторної автентифікації.

Компанія надіслала повідомлення користувачам електронною поштою та через додаток, попереджаючи про необхідність оновити налаштування безпеки. Якщо ви пропустили це повідомлення, перевірте папку спам або зайдіть безпосередньо в налаштування безпеки свого акаунта X.

Чому X проводить це оновлення

Компанія пояснює це оновлення необхідністю покращення безпеки та переходом на нові стандарти автентифікації. Після придбання платформи Ілоном Маском, X активно модернізує свою технічну інфраструктуру, включаючи системи безпеки.

Ключі безпеки залишаються одним з найнадійніших методів захисту акаунтів від фішингу та інших кібератак. На відміну від SMS або електронної пошти, фізичні ключі безпеки практично неможливо перехопити або підробити.

Якщо ви ще не використовуєте ключ безпеки для свого акаунта X, це може бути гарним моментом для його налаштування. Популярні моделі як YubiKey 5 NFC або Google Titan Security Key коштують від $25 до $50 та значно підвищують безпеку вашого цифрового життя.

Не забувайте, що дедлайн 10 листопада швидко наближається, тому краще не відкладати перереєстрацію ключа безпеки. Кілька хвилин зараз можуть заощадити вам години проблем з відновленням доступу до акаунта пізніше.

Як перереєструвати ключі безпеки

Для перереєстрації ключів безпеки користувачам потрібно виконати наступні кроки:

1. Увійти в налаштування облікового запису X
2. Перейти до розділу Безпека й доступ до профілю > Безпека
3. Вибрати Двофакторна автентифікація
4. Знайти розділ з ключами безпеки або passkeys
5. Видалити існуючі ключі
6. Додати їх знову, слідуючи інструкціям на екрані

Важливі моменти при роботі з ключами безпеки

Під час перереєстрації ключа безпеки в X варто пам’ятати кілька критично важливих речей. По-перше, переконайтеся, що у вас є альтернативний метод входу в акаунт – наприклад, SMS або додаток для автентифікації. Це убезпечить вас від блокування, якщо щось піде не так з ключем безпеки.

По-друге, якщо ви використовуєте кілька ключів безпеки (що є рекомендованою практикою), вам потрібно буде перереєструвати кожен з них окремо. X дозволяє додавати до 10 ключів безпеки на один акаунт.

Також важливо зазначити, що процес перереєстрації працює тільки в десктопних браузерах. Мобільні додатки X не підтримують повний функціонал управління ключами безпеки, тому вам знадобиться комп’ютер або ноутбук. Рекомендується виконувати цю процедуру з надійного пристрою та інтернет-з’єднання.

Альтернативні методи автентифікації

Користувачі, які не використовують ключі безпеки або passkeys, не потребують жодних дій. Інші методи двофакторної автентифікації, такі як SMS-коди або додатки-автентифікатори, залишаються незмінними та не потребують оновлення.

Однак експерти з кібербезпеки рекомендують розглянути можливість використання ключів безпеки як найбільш захищеного методу двофакторної автентифікації. Вони забезпечують кращий захист від фішингових атак та інших видів кіберзагроз порівняно з традиційними методами.

Наслідки ігнорування вимоги

Користувачі, які проігнорують це попередження, зіткнуться з повним блокуванням доступу до своїх облікових записів після 10 листопада. Це означає, що вони не зможуть:

• Увійти в свій обліковий запис
• Публікувати контент
• Переглядати стрічку новин
• Взаємодіяти з іншими користувачами
• Отримувати доступ до повідомлень

Відновлення доступу потребуватиме проходження процедури верифікації через альтернативні методи, що може зайняти додатковий час та створити незручності.

Що робити, якщо ви пропустили дедлайн

Якщо ви не встигли перереєструвати ключ безпеки до 10 листопада, не панікуйте. У вас все ще є варіанти для відновлення доступу до акаунта:

• Використайте резервний код – якщо ви зберегли резервні коди при налаштуванні двофакторної автентифікації
• Скористайтеся SMS-верифікацією – якщо у вас активована ця опція
• Використайте додаток для автентифікації – Google Authenticator, Authy або подібні
• Зверніться до служби підтримки X – як останній варіант, хоча це може зайняти значний час

Рекомендації експертів

Фахівці з кібербезпеки радять не відкладати перереєстрацію на останній момент. Краще виконати цю процедуру якомога швидше, щоб уникнути можливих технічних проблем, які можуть виникнути через велике навантаження на сервери в останні дні перед дедлайном.

Також рекомендується мати резервні методи автентифікації, щоб у разі втрати або несправності основного ключа безпеки користувач міг отримати доступ до свого облікового запису через альтернативні способи.

Це оновлення підкреслює важливість регулярного перегляду та оновлення налаштувань безпеки в усіх онлайн-сервісах, якими ви користуєтеся.

Ця стаття X вимагає перереєстрації ключів безпеки до 10 листопада раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Творці Proton VPN випустили 2FA  додаток, який доступний для всіх основних платформ. Proton Authenticator простий у використанні, елегантний і безкоштовний.

Якщо ви не використовуєте ключі допуску (passkeys), двофакторну автентифікацію (2FA) слід вважати обов’язковою для безпеки та конфіденційності. Коли ваш основний доступ до інтернету — це телефон, ви, ймовірно, користуєтесь такими інструментами як Authy або Google Authenticator.

Але що робити, коли ви працюєте на комп’ютері? Чим користуватися тоді?

Існують варіанти, які з’явилися давно (наприклад, Bitwarden, Authy або Authenticator), а також є новий варіант від творців Proton VPN. Це рішення має назву Proton Authenticator і швидко стало одним з моїх улюблених додатків 2FA для настільних комп’ютерів.

Ви можете запитати: “Чому б просто не взяти телефон, коли потрібен код 2FA?” По-перше, коли я працюю на комп’ютері, ефективніше відкрити додаток безпосередньо на ньому. По-друге, іноді телефон може бути не під рукою, і я не хочу його шукати заради коду 2FA.

Новий Proton Authenticator доступний для Linux, macOS, Windows, Android, iOS та iPadOS.

Чому Proton Authenticator став моїм вибором

Що можна сказати про додаток 2FA? Він дозволяє створювати облікові записи, для яких ви матимете коди з обмеженим часом дії для додаткового рівня безпеки. Але що робить Proton Authenticator моїм новим основним інструментом для 2FA?

По-перше, я можу використовувати його не тільки на комп’ютері, але й на телефоні, і всі облікові записи, які я додав до додатку, синхронізуються між пристроями. Це важливо, коли я переходжу з комп’ютера на телефон (або навпаки) і не хочу перемикатися між різними додатками 2FA.

Ще одна причина — інтерфейс Proton Authenticator один з найкращих, які я використовував для 2FA. Він простий, елегантний і дуже зручний. Що ще краще, інтерфейс схожий як для настільної, так і для мобільної версії, тож освоївши одну, ви знатимете іншу.

Proton Authenticator дуже простий у використанні. Натисніть “Додати”, щоб створити новий запис, заповніть необхідні поля (Назва, Секретний ключ та Видавець), натисніть “Зберегти код” — і готово. Єдина різниця між використанням настільної та мобільної версії полягає в тому, що в настільному додатку потрібно вручну вводити секретний ключ (зазвичай показаний під QR-кодом для вашого облікового запису), а мобільний додаток дозволяє сканувати QR-код камерою телефона.

Розширені можливості налаштування

Під час створення нового запису ви також знайдете розділ “Розширені параметри” (Advanced options), який дозволяє налаштувати кількість цифр для коду (зазвичай 6), часовий інтервал дії кожного коду (за замовчуванням 30 секунд), алгоритм та тип (TOTP або STEAM — TOTP використовується найчастіше).

Параметри конфігурації

Proton Authenticator має кілька корисних опцій у налаштуваннях (натисніть значок шестерні в головному вікні).

У налаштуваннях можна увімкнути “Синхронізацію між пристроями” (за замовчуванням вимкнена), блокування додатку, приховування кодів (ви не бачитимете коди, але якщо натиснете на один з них, він скопіюється в буфер обміну), резервне копіювання, тему, стиль цифр, анімацію зміни коду, імпорт/експорт та параметри підтримки.

На мобільному пристрої також можна увімкнути біометричне розблокування, що є плюсом для безпеки.

Обліковий запис не обов’язковий

Ви можете користуватися Proton Authenticator безкоштовно (як на комп’ютері, так і на мобільному). Обліковий запис потрібен лише для синхронізації між пристроями. Навіть якщо ви використовуєте Proton Authenticator безкоштовно, в ньому немає реклами, додаток не відстежує вас і не ділиться телеметрією з компанією.

Якщо ви втомилися від поточного додатку 2FA, можете імпортувати всі записи в Proton Authenticator. Підтримуються такі додатки 2FA: Google Authenticator, Aegis Authenticator, Bitwarden Authenticator та LastPass Authenticator. На жаль, Authy та Microsoft Authenticator не підтримуються для цієї функції.

Встановлення

Встановлення Proton Authenticator просте:

• Linux: завантажте .deb або .rpm з офіційної сторінки завантаження та виконайте команду встановлення (наприклад, sudo dpkg -i ProtonAuthenticator*.deb)
• macOS та Windows: завантажте інсталятор, двічі клацніть на ньому та пройдіть простий майстер встановлення
• Android/iOS/iPadOS: знайдіть Proton Authenticator в магазині додатків вашого телефона та встановіть його

Після встановлення відкрийте додаток і почніть додавати облікові записи.

Я користуюся Proton Authenticator з моменту випуску версії 1.0 і поступово мігрую з Authy та Google Authenticator до свого нового улюбленого рішення за замовчуванням.

Ця стаття Чи варто переходити на новий 2FA додаток від Proton? ОГЛЯД раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанія, відома своїм захищеним поштовим сервісом, запускає Proton Authenticator — перший повністю кросплатформний 2FA-додаток з відкритим кодом, який працює навіть на комп’ютерах. Експерти вже називають це проривом у галузі кібербезпеки для звичайних користувачів.

Proton Authenticator — додаток для двофакторної автентифікації, який, на відміну від популярних Google Authenticator чи Microsoft Authenticator, працює не лише на смартфонах, але й на комп’ютерах під управлінням Windows, macOS та Linux.

Чому це важливо саме зараз

Статистика вражає: за даними індустрії кібербезпеки, щорічні збитки від злому облікових записів перевищують десятки мільярдів доларів. І це лише задокументовані випадки. Кожен четвертий користувач інтернету хоча б раз стикався зі спробою несанкціонованого доступу до своїх акаунтів.

“Ми побачили парадоксальну ситуацію”, — пояснюють представники Proton. “З одного боку, експерти з безпеки постійно радять використовувати двофакторну автентифікацію. З іншого — існуючі рішення настільки незручні або обмежені, що люди просто відмовляються від додаткового захисту”.

Дійсно, більшість популярних 2FA-додатків мають серйозні недоліки. Google Authenticator довгий час не мав синхронізації між пристроями. Microsoft Authenticator збирає телеметрію. Authy належить компанії Twilio, яка нещодавно постраждала від масштабного витоку даних. А багато менш відомих додатків взагалі не дозволяють експортувати ваші коди — фактично тримаючи користувачів у заручниках.

Що пропонує Proton

Новий додаток вирішує відразу кілька болючих проблем:

• Робота на всіх платформах. Це перший масовий 2FA-додаток, який офіційно підтримує не лише iOS та Android, але й настільні операційні системи. Тепер ви можете згенерувати код доступу прямо на робочому комп’ютері, не шукаючи телефон.
• Повний контроль над даними. На відміну від конкурентів, Proton Authenticator дозволяє як імпортувати коди з інших додатків (включно з Google Authenticator, Authy, та іншими), так і експортувати їх у стандартному форматі. Ваші дані — дійсно ваші.
• Справжня приватність. Додаток має повністю відкритий вихідний код, що дозволяє незалежним експертам перевірити відсутність “закладок” або прихованого збору даних. Усі резервні копії та синхронізація використовують наскрізне шифрування — навіть сама Proton не може побачити ваші коди.
• Гнучкість використання. Користувач сам обирає, як працювати з додатком: зберігати коди лише локально на одному пристрої (максимальна безпека), синхронізувати через захищений обліковий запис Proton або навіть через iCloud для власників техніки Apple.

Технічні деталі, які мають значення

Для тих, хто розуміється на технологіях, важливо знати: Proton Authenticator генерує стандартні TOTP (Time-based One-Time Password) коди, сумісні з усіма сервісами, що підтримують 2FA. Додаток працює повністю офлайн — для генерації кодів не потрібне підключення до інтернету.

Захист самого додатка реалізований через біометричну автентифікацію (відбиток пальця або Face ID на мобільних пристроях) або PIN-код. Це означає, що навіть якщо хтось отримає фізичний доступ до вашого пристрою, він не зможе побачити ваші коди без додаткової автентифікації.

Вибір для різних сценаріїв

Цікаво, що Proton пропонує два різні підходи до двофакторної автентифікації. Для тих, хто цінує зручність, компанія інтегрувала 2FA прямо в свій менеджер паролів Proton Pass — коди автоматично заповнюються разом з паролями.

Але для користувачів з підвищеними вимогами до безпеки (журналісти, активісти, бізнесмени) рекомендується використовувати окремий Proton Authenticator. Це створює додатковий рівень захисту: навіть якщо зловмисник якимось чином отримає доступ до вашого менеджера паролів, коди двофакторної автентифікації залишаться недоступними.

Що це означає для ринку

Поява безкоштовного, повністю функціонального 2FA-додатка від авторитетної компанії може серйозно змінити розклад сил на ринку. До цього моменту користувачам доводилося вибирати між зручністю (Google Authenticator), функціональністю (Authy) або приватністю (різні опенсорсні проєкти з обмеженими можливостями).

Proton Authenticator пропонує все одразу, і це безкоштовно. Компанія підкреслює, що додаток залишатиметься безкоштовним назавжди — це частина їхньої місії зробити інструменти приватності доступними для всіх.

Завантажити Proton Authenticator можна вже сьогодні з офіційних магазинів додатків для iOS та Android, а також з сайту Proton для настільних платформ. Враховуючи репутацію компанії та якість їхніх попередніх продуктів, є всі підстави вважати, що цей додаток стане новим стандартом у галузі двофакторної автентифікації.

Ця стаття Proton випустив безкоштовний 2FA-додаток, який працює навіть на комп’ютерах раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Ми всі, напевно, отримували коди підтвердження через SMS під час спроби увійти в обліковий запис. Ці коди мають служити як двофакторна автентифікація для підтвердження нашої особи та запобігання доступу шахраїв до наших облікових записів лише за допомогою пароля. Але хто насправді обробляє ці SMS-коди, і чи можна довіряти цим людям?

Чому двофакторна автентифікація через SMS небезпечна?

Нові звіти від Bloomberg та спільної слідчої редакції Lighthouse Reports проливають світло на те, як і чому текстові коди можуть поставити людей під загрозу. У своїх звітах обидві організації розкрили, що вони отримали щонайменше мільйон пакетів даних від інформатора телефонної індустрії. Пакети містили SMS-повідомлення з кодами двофакторної автентифікації, які отримували окремі користувачі.

Ви можете думати, що такі повідомлення обробляються безпосередньо компаніями та веб-сайтами, де у вас є обліковий запис. Але на основі аналізу, проведеного Bloomberg та Lighthouse, це не обов’язково так. У цьому випадку повідомлення проходили через суперечливу швейцарську компанію під назвою Fink Telecom Services. І Bloomberg недарма використав термін “суперечлива” для опису Fink.

“Компанія та її засновник працювали з урядовими шпигунськими агентствами та підрядниками індустрії спостереження для стеження за мобільними телефонами та відстеження місцезнаходження користувачів”, – повідомив Bloomberg. “Дослідники кібербезпеки та журналісти-розслідувачі опублікували звіти, в яких стверджується про причетність Fink до численних випадків проникнення в приватні онлайн-облікові записи.”

Аналізуючи дані, Bloomberg та Lighthouse виявили, що серед відправників були такі великі технологічні гравці, як Google, Meta та Amazon. Також у списку були кілька європейських банків, додатки, такі як Tinder та Snapchat, криптовалютна біржа Binance та навіть зашифровані чат-додатки, як Signal та WhatsApp.

Чому компанії довіряють коди двофакторної автентифікації зовнішньому провайдеру, особливо тому, що має суперечливу репутацію? Зручність та гроші. Зовнішні підрядники часто можуть обробляти такі типи текстових повідомлень дешевше та легше, ніж самі компанії. Це особливо актуально, якщо бізнес має справу з клієнтами по всьому світу, що є складним та дорогим процесом.

Натомість компанії звертаються до провайдерів, таких як Fink Telecom, через їхній доступ до “Global Titles“. Global Title (GT) – це мережева адреса, яка дозволяє операторам спілкуватися між різними країнами. Це створює враження, що компанія базується в тій же країні, що і будь-хто з її клієнтів. У своєму аналізі Lighthouse повідомив, що виявив використання Fink глобальних титулів у Намібії, Чечні, Великобританії та рідній Швейцарії.

Хоча практика аутсорсингу таких повідомлень може бути доцільною, вона несе ризики. У квітні минулого року британський телефонний регулятор Ofcom заборонив оренду глобальних титулів для британських операторів, посилаючись на загрозу для користувачів мобільних телефонів.

Ключове питання тут полягає в тому, чи були дані в записах, які досліджували Bloomberg та Lighthouse, коли-небудь під загрозою. В обміні думками з Bloomberg генеральний директор Fink Telecom Андреас Фінк сказав:

“Наша компанія надає інфраструктурні та технічні послуги, включаючи можливості сигналізації та маршрутизації. Ми не аналізуємо і не втручаємося в трафік, що передається нашими клієнтами або їхніми партнерами.”

Що стосується компаній, які займаються аутсорсингом, Google, Meta, Signal та Binance повідомили Bloomberg, що вони не працювали безпосередньо з Fink Telecom. Google додав, що відходить від SMS як способу автентифікації облікових записів, тоді як Signal сказав, що пропонує способи запобігання вразливостям SMS. Представник Meta повідомив Bloomberg, що компанія попередила своїх партнерів не співпрацювати з Fink Telecom.

Альтернативи SMS

Незалежно від того, чи були дані під загрозою, проблема залишається тією ж. Оскільки SMS не має належного шифрування, він ніколи не був безпечним та надійним способом обміну кодами автентифікації або іншою приватною інформацією. З цієї причини всі компанії повинні припинити його використання та перейти на більш надійні методи. Звичайно, це легше сказати, ніж зробити. Тим не менше, є кроки, які ви можете зробити, щоб уникнути цієї пастки.

Рекомендовані альтернативи:

1. Фізичні ключі безпеки

• YubiKey, Titan Security Key від Google
• Підтримують стандарти FIDO2/WebAuthn
• Найвищий рівень захисту від фішингу

2. Додатки-автентифікатори

• Google Authenticator
• Microsoft Authenticator
• Authy (з резервним копіюванням у хмарі)
• 1Password (інтегрований з менеджером паролів)
• Bitwarden Authenticator

3. Вбудовані системи автентифікації

• Face ID/Touch ID на iOS
• Windows Hello
• Біометричні дані Android

Додаткові поради безпеки:

Налаштування двофакторної автентифікації:

• Завжди вмикайте 2FA для всіх важливих облікових записів (email, банки, соцмережі)
• Використовуйте кілька методів 2FA, якщо це можливо
• Зберігайте резервні коди в безпечному місці

Уникнення вразливостей:

• Не діліться кодами автентифікації ні з ким
• Будьте обережні з підозрілими сайтами
• Регулярно оновлюйте додатки автентифікації
• Використовуйте унікальні паролі для кожного сервісу

Для українських користувачів:

• Такі банки як ПриватБанк, Моnobank вже пропонують власні додатки з надійною автентифікацією
• Державні сервіси поступово впроваджують BankID та Дія.Підпис
• При роботі з криптовалютними біржами завжди використовуйте Google Authenticator або подібні додатки

Коли налаштовуєте двофакторну автентифікацію для облікового запису, не вибирайте опцію SMS. Натомість використовуйте або фізичний ключ безпеки, або, що простіше, додаток-автентифікатор. Такі додатки відображають код, який ви повинні ввести на веб-сайті або в додатку для підтвердження входу. Оскільки коди змінюються кожні 30 секунд і генеруються на вашому пристрої, цей метод набагато надійніший і стійкіший до крадіжки, ніж SMS.

Ця стаття Чи врятує від хакерів двофакторна автентифікація з використанням SMS? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Раніше цей вид кібератак траплявся лише як одиничні випадки. Однак розповсюдження двофакторної аутентифікації та прив’язка різних сервісів до SIM-картки зробили їх значно частішими та небезпечнішими в 2025 році.

Що таке атака підміни SIM-картки?

Це надзвичайно небезпечна атака, за допомогою якої зловмисники отримують доступ до всієї вашої цифрової інформації і можуть вкрасти вашу “цифрову ідентичність“, не кажучи вже про гроші на банківських рахунках чи криптовалютних гаманцях.

Ви можете думати, що робите все правильно і дотримуєтесь основних правил безпеки приватних даних. У вас увімкнено двофакторну аутентифікацію на всіх облікових записах. Але у хакерів є спосіб обійти це, і називається він “атака підміни SIM-картки” (SIM swapping attack).

Це руйнівний метод атаки з тяжкими наслідками для жертв, але, на щастя, існують ефективні способи захиститися.

В ідеї “заміни SIM-картки” як такої немає нічого поганого. Якщо ви втратите телефон, ваш оператор здійснить заміну SIM-карти та перемістить ваш номер мобільного телефону на нову SIM-карту. Це звичайна послуга, яку надають у сервісних центрах.

Проблема полягає в тому, що хакери та організовані злочинці придумали, як обманути телефонні компанії. Після успішної підміни вони отримують доступ до облікових записів, захищених двофакторною аутентифікацією на основі SMS (2FA).

Суть атаки в тому, що в якийсь момент ваш номер телефону асоціюється з чужим пристроєм. Потім злочинець отримує всі призначені для вас текстові повідомлення та телефонні дзвінки. Двофакторна аутентифікація була впроваджена у відповідь на проблему витоку паролів. Багато сайтів не захищають належним чином паролі користувачів, використовуючи недостатньо надійні методи хешування.

Ще гірше – багато людей використовують однакові паролі на різних сайтах. Коли один сайт скомпрометовано і паролі з нього стають доступними, зловмисник отримує все необхідне для атаки на облікові записи на інших платформах, створюючи ефект снігової кулі.

Для підвищення безпеки багато сервісів вимагають, щоб користувачі надавали спеціальний одноразовий пароль (OTP) кожного разу, коли вони входять в обліковий запис. Ці OTP генеруються “на льоту” і дійсні лише один раз, а також стають недійсними через короткий час.

Для зручності багато сайтів надсилають ці OTP на ваш телефон у текстовому повідомленні. І саме тут криється ризик. Що станеться, якщо зловмисник отримає ваш номер телефону шляхом підміни SIM-картки? Це надає йому майже безперешкодний доступ до вашого цифрового життя, включаючи банківські та фінансові рахунки.

Як працює атака підміни SIM-карти?

Атака підміни SIM-карти починається з того, що зловмисник обманює співробітника телефонної компанії, змушуючи перемістити ваш номер телефону на SIM-карту, яку він контролює. Це може статися або через телефонний дзвінок до служби підтримки, або особисто в сервісному центрі.

Для успішної атаки зловмиснику потрібно зібрати персональні дані про жертву. На жаль, соціальні мережі часто містять багато біографічних деталей, які можуть обійти заходи безпеки. Такі дані, як ваша перша школа, домашня тварина, дівоче прізвище матері чи інші “секретні відповіді”, швидше за все, можна знайти у ваших соціальних профілях – саме їх використовують мобільні оператори як “кодові слова” під час зміни даних. Якщо інформацію неможливо отримати з відкритих джерел, злочинці часто вдаються до фішингу.

У 2025 році з’явились нові методи підміни SIM-карток з використанням штучного інтелекту для імітації голосу жертви при дзвінку до оператора та автоматизованих систем для масових атак.

Атаки підміни SIM-картки зазвичай потребують значних часових затрат та людських ресурсів, тому вони більше підходять для цілеспрямованих атак на конкретних осіб. У масовому порядку такі атаки провести складніше та менш рентабельно. Однак історія знає приклади масштабних кампаній. Наприклад, бразильське злочинне угруповання змогло клонувати SIM-картки приблизно 5000 жертв за короткий проміжок часу.

Атака типу “Порт-вихід” дуже схожа і передбачає викрадення вашого телефонного номера шляхом переходу на іншого мобільного оператора без вашого відома.

Хто найбільше ризикує бути атакованим?

Атаки підміни SIM-картки, як правило, мають вражаючу результативність, враховуючи затрати часу та зусиль. Мотив майже завжди фінансовий.

У 2025 році найпопулярнішими мішенями стали:

• Рахунки на криптовалютних біржах та цифрові гаманці
• Облікові записи банків з функцією цифрового банкінгу
• Акаунти у соціальних мережах з великою аудиторією
• Облікові записи з доступом до цінної корпоративної інформації
• Акаунти з доступом до маркетплейсів та онлайн-магазинів

Популярність криптовалютних цілей посилюється тим, що, на відміну від традиційних фінансових послуг, немає можливості повернути кошти за проведену транзакцію з біткоїном чи іншою криптовалютою. Такі операції не перевіряються посередником і їх неможливо скасувати. Крім того, кожен може створити криптовалютний гаманець без реєстрації в банку, що забезпечує високий рівень анонімності.

Однією з відомих жертв, яка постраждала від крадіжки даних та криптовалюти, був інвестор Bitcoin Майкл Тарпін, який втратив 1500 біткоїнів під час атаки підміни SIM-картки. Це сталося за кілька тижнів до того, як біткоїн досяг історичного максимуму. На той час активи Тарпіна коштували понад 24 мільйони доларів.

Інший гучний випадок стався з журналістом ZDNet Меттью Міллером, який став жертвою атаки підміни SIM-картки – хакер спробував придбати біткоїни на суму 25 000 доларів через банк, яким користувався Міллер. На щастя, банк зупинив транзакцію та повернув кошти. Однак, зловмисник все-таки зміг нашкодити Міллеру, захопивши та знищивши його особисті дані, включаючи облікові записи в Google і Twitter.

Іноді метою атаки підміни SIM-картки є шантаж жертви або здійснення інформаційних кампаній. Наприклад, 30 серпня 2019 року хакери захопили акаунт засновника Twitter і Square Джека Дорсі та розмістили з його профілю неприйнятні повідомлення, які прочитали мільйони людей.

Як розпізнати атаку?

Перша ознака підміни SIM-картки – це те, що ваша SIM-карта раптово втрачає доступ до мережі (хоча на екрані телефону вона може все ще відображатися як підключена). Ви не зможете отримувати або надсилати повідомлення, здійснювати дзвінки або використовувати мобільний інтернет.

У деяких випадках телефонний оператор може надіслати вам SMS-повідомлення про переміщення вашого номера на нову SIM-карту.

Якщо ви все ще маєте доступ до свого облікового запису електронної пошти, ви можете помітити підозрілу активність, зокрема сповіщення про зміни в облікових записах та онлайн-покупки, яких ви не робили.

Інші ознаки включають:

• Спроби входу в облікові записи з незнайомих місць
• Повідомлення про скидання паролів, які ви не запитували
• Несподівані виходи з ваших сеансів у різних сервісах

Як слід реагувати?

Коли відбувається атака підміни SIM-картки, важливо діяти негайно та рішуче:

1. Негайно зв’яжіться з мобільним оператором для блокування скомпрометованої SIM-картки та відновлення контролю над вашим номером.
2. Зателефонуйте до банків та фінансових установ і попросіть заморозити рахунки. Це не дасть зловмиснику використовувати ваші кошти для власних цілей. Оскільки ви також стали жертвою крадіжки особистих даних, доцільно звернутися до кредитних бюро із запитом на блокування нових кредитів на ваше ім’я.
3. Змініть паролі до важливих сервісів, починаючи з електронної пошти та акаунтів у соціальних мережах. Використовуйте новий, не скомпрометований обліковий запис електронної пошти. Від’єднайте свій старий номер телефону та використовуйте складні, унікальні паролі.
4. Зверніться до служб підтримки сервісів, до яких ви не можете вчасно отримати доступ, та поясніть ситуацію.
5. Подайте заяву до кіберполіції про скоєний злочин. Усвідомте, що ви стали жертвою кримінального правопорушення. У багатьох країнах страхові поліси власників нерухомості включають захист від крадіжок особистих даних, тому офіційна заява може допомогти отримати компенсацію.
6. Документуйте всі дії та комунікацію, пов’язану з інцидентом. Це може знадобитися для розслідування та страхових вимог.

Як захистити себе від нападу?

Найкращий спосіб захиститися від атаки підміни SIM-картки – це відмовитися від використання SMS-повідомлень для двофакторної аутентифікації. На щастя, існують надійніші альтернативи:

1. Використовуйте додатки-аутентифікатори замість SMS. Застосунки на кшталт Google Authenticator, Microsoft Authenticator або Authy генерують коди локально на вашому пристрої без необхідності надсилати SMS.
2. Придбайте фізичний ключ безпеки, наприклад YubiKey, Google Titan Key або Solo Key. Ці пристрої забезпечують найвищий рівень захисту від віддалених атак.
3. Використовуйте окрему SIM-картку для аутентифікації. Якщо ви зобов’язані використовувати двофакторну аутентифікацію за номером телефону (через SMS або дзвінки), розгляньте можливість придбати спеціальну SIM-карту, яку використовуватимете виключно для авторизації в критично важливих сервісах.
4. Налаштуйте додаткові методи відновлення для важливих облікових записів, не пов’язані з телефонним номером.
5. Використовуйте сервіси розширеного захисту для особливо важливих акаунтів. Наприклад, Google Advanced Protection пропонує підвищений рівень безпеки для людей, які потенційно можуть стати мішенню цілеспрямованих атак – журналістів, активістів, бізнес-лідерів та політичних діячів.
6. Встановіть PIN-код для операцій із SIM-картою у вашого мобільного оператора, якщо така опція доступна.
7. Використовуйте eSim замість фізичної картки, якщо ваш телефон підтримує цю технологію.
8. Обмежте обсяг особистої інформації в соціальних мережах, особливо деталей, які можуть використовуватися для відповідей на секретні запитання.

Як прив’язати SIM-картку до паспорта

Зауважимо, що насправді до паспорта прив’язується не сама SIM-картка, а номер телефону. При реєстрації вам потрібно підтвердити, що саме ви є власником картки, тобто необхідно пред’явити її співробітнику фірмового магазину мобільного оператора. Цей метод ефективно захищає від атаки підміни SIM, адже для перевипуску картки знадобиться особисто відвідати магазин оператора та пред’явити документи.

Зверніть увагу: експерти з кібербезпеки рекомендують показувати фізичні документи, а не цифрові версії в додатку “Дія”, і проводити процедуру реєстрації SIM-карти особисто, а не дистанційно.

Для абонентів “Київстар”

Мобільний оператор дає можливість провести процес реєстрації SIM-картки або у фірмовому салоні-магазині, або онлайн. У першому випадку потрібно прийти в салон, заповнити відповідну заяву, пред’явити оригінальний паспорт і оригінальний ІПН.

У разі онлайн-реєстрації:

1. Зайдіть у особистий кабінет “Мій Київстар”
2. Виберіть номер свого мобільного
3. Перейдіть на вкладку “Користувач”
4. Виберіть спосіб реєстрації “за допомогою КЕП” (кваліфікований електронний підпис)
5. Завантажте ключ КЕП та введіть пароль
6. Перевірте правильність ваших даних і підтвердіть реєстрацію

Для абонентів “Vodafone Україна”

При реєстрації онлайн:

1. Перейдіть на сайт registration.vodafone.ua
2. Введіть свій номер
3. Підтвердіть введені дані, використовуючи код із SMS
4. Підтвердіть особу за допомогою КЕП
5. Заповніть анкету
6. Підтвердіть дані

Також ви можете відвідати магазин мобільного оператора, пред’явити SIM-картку та свій фізичний паспорт і пройти процедуру реєстрації.

Для абонентів lifecell

В онлайн-режимі:

1. Зайдіть на my.lifecell.ua Я хочу щоб бачити це таке або в додаток “Мій lifecell”
2. Увійдіть до свого кабінету
3. Перейдіть до розділу “Основна інформація” — “Персональні дані” — “Реєстрація”

В офлайн-режимі:

1. Відвідайте салон мобільного оператора
2. Оформіть заяву для фізичної особи
3. Пред’явіть оригінальний паспорт
4. Підтвердіть, що ви володієте SIM-карткою

Якщо ви хочете максимально захистити свій BankID та фінансові операції, придбайте нову SIM-картку, прив’яжіть її до паспорта, а отриманий новий номер використовуйте виключно для взаємодії з фінансовими установами. Бажано також тримати цю SIM-картку в окремому телефоні, який використовується лише для банківських операцій.

Новітні методи захисту у 2025 році

За останні роки з’явилися нові методи захисту від атак підміни SIM-карток:

1. Біометрична перевірка при зміні SIM-картки — провідні мобільні оператори впровадили обов’язкову біометричну верифікацію для операцій із заміни SIM-карт.
2. Блокчейн-ідентифікація — деякі сервіси почали використовувати блокчейн-технології для верифікації ідентичності користувачів без прив’язки до телефонного номера.
3. Розширені алгоритми виявлення шахрайства — оператори мобільного зв’язку впровадили системи виявлення аномальної активності, що можуть сигналізувати про потенційну атаку підміни SIM.
4. Апаратні токени з інтеграцією eSIM — нові покоління пристроїв аутентифікації поєднують функції фізичних ключів безпеки та технологію eSIM.
5. Розподілена аутентифікація — використання декількох незалежних каналів для підтвердження особи та операцій підвищує безпеку навіть у випадку компрометації одного з каналів.

Атаки підміни SIM-картки залишаються серйозною загрозою у 2025 році, але розуміння механізмів їх функціонування та застосування рекомендованих заходів безпеки може суттєво знизити ризики. Регулярне оновлення методів захисту та слідкування за новинками у сфері кібербезпеки допоможе вам зберегти свої цифрові активи в безпеці.

Ця стаття Атака підміни SIM-картки: що це таке і як її уникнути? раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Всесвітній день паролів – ідеальний час, щоб подумати про паролі, які ви використовуєте, і про те, чи варто їх оновлювати.

Може здатися, що для всього існує випадкове свято, але це свято насправді має більше значення, ніж будь-яке інше. Згідно з Національним календарем, дослідник безпеки Марк Бернетт запропонував ідею «дня паролів» у своїй книзі Perfect Password у 2005 році, щоб люди приділили час оновленню своїх облікових даних для входу в систему. Надихнувшись цією пропозицією, компанія Intel Security започаткувала перший Всесвітній день паролів у 2013 році. Він відзначається в перший четвер травня – цього року це 1 травня.

Майте на увазі, що витоки даних і цілеспрямовані атаки майже щодня потрапляють у заголовки новин. Присвячення певного дня в році гігієні паролів – це саме те щорічне нагадування, якого потребують люди. Подумайте про це як про весняне прибирання у вашому цифровому житті: шанс перевірити, оновити та посилити свій захист в Інтернеті. Тож, на честь цього дня, давайте розглянемо деякі основні поради – від вибору надійних паролів до використання ключів нового покоління.

1. Переосмисліть свої складні паролі

Сучасні експерти з кібербезпеки роблять акцент на довжині пароля, а не на його складності. Надійний пароль повинен мати довжину щонайменше 15 символів, в ідеалі – використовувати парольну фразу з непов’язаних між собою слів, символів або цифр. Експерти Національного інституту стандартів і технологій (NIST) кажуть, що нещодавній аналіз зламаних баз даних паролів доводить, що довжина важливіша за складність. У цій статті, ми розказали, чому кілька випадкових слів – це найкращий пароль.

2. Використовуйте менеджер паролів

Будь ласка, перестаньте записувати свої паролі в Google Doc або на стікерах. На дворі 2025 рік – вам дійсно варто використовувати надійний менеджер паролів. Їх неймовірно легко вивчити та налаштувати. Вони зберігають всі ваші унікальні облікові дані під одним надійним головним паролем – і можуть впоратися з генерацією та автоматичним заповненням паролів за вас. Що тут може не сподобатися?

Одними з найпопулярніших менеджерів паролів є 1Password, Dashlane і Bitwarden.

3. Увімкніть багатофакторну автентифікацію вже зараз

На жаль, одного пароля вже недостатньо. Вам слід увімкнути багатофакторну автентифікацію (MFA) скрізь, де це можливо, починаючи з електронної пошти, банківських та соціальних акаунтів, месенджерів. Додавання другого фактору до вашого паролю – наприклад, додатку-автентифікатора або апаратного ключа – зменшує ймовірність успішного злому.

4. Використовуйте пароль замість біометрії

Законодавство щодо розблокування телефонів залишається нечітким, але юристи кажуть, що паролі можуть забезпечити сильніший захист, ніж біометричні дані. Наприклад, американські суди часто вважають, що паролі захищені П’ятою поправкою до Конституції США, тоді як біометричні дані, такі як відбитки пальців або розпізнавання обличчя, можуть бути не захищені. Якщо ви стурбовані тим, що вас можуть змусити розблокувати телефон за допомогою біометричних даних, і задаєтесь питанням, чи є пароль кращим варіантом, експерти, припускають, що на сьогоднішній день пароль, швидше за все, є більш безпечним вибором.

5. Експериментуйте з ключами допуску

Паролі ще нікуди не зникли, але зараз саме час ознайомитися з ключами допуску і почати експериментувати з ними.

Ці криптографічні облікові дані зберігаються на вашому пристрої, а не на сервері, що забезпечує кращу безпеку, захист від фішингу та більш плавний вхід в систему. Шлях до широкого впровадження паролів був довгим і вибоїстим – частково тому, що користувачі все ще використовують паролі за замовчуванням, а також тому, що вони нервують через них і бояться, що їх заблокують. Вони стикаються з незнайомими процесами, непослідовною підтримкою в різних додатках і пристроях, а також з нерозумінням того, як працюють паролі.

Незважаючи на всі ці перешкоди, багато хто вірить, що майбутнє без паролів настане – і що воно того варте.

Остання, повчальна історія

Нещодавно ZDNET повідомляв про інженера-програміста, який став жертвою атаки шкідливого програмного забезпечення після того, як несвідомо завантажив скомпрометований інструмент штучного інтелекту, надавши хакерам повний доступ до свого персонального комп’ютера на кілька місяців. Зловмисники викрали його розблоковане сховище 1Password разом з іншими особистими даними – не тому, що менеджер паролів вийшов з ладу, а тому, що шкідливе програмне забезпечення повністю контролювало його пристрій.

Ключовий висновок: Жоден інструмент не може захистити вас повністю. Ось чому використання багатофакторної автентифікації є вкрай важливим, а дотримання інших порад у цьому посібнику може лише допомогти. Це також гарне нагадування про необхідність бути обережними з ненадійним програмним забезпеченням. Отже, у цей Всесвітній день паролів приділіть кілька хвилин, щоб переглянути свої паролі – і своє програмне забезпечення – і посилити свій захист в Інтернеті.

Ця стаття 5 речей, які потрібно зробити у Всесвітній день паролів, щоб захистити свої акаунти раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Двофакторна автентифікація у Facebook – це додатковий рівень захисту вашого облікового запису, який може запобігти несанкціонованому доступу, якщо хтось дізнається ваш пароль. Окрім пароля, для входу у систему з нового пристрою або браузера потрібно буде ввести спеціальний код підтвердження.

Що таке двофакторна автентифікація?

Двофакторна автентифікація – це функція безпеки, яка забезпечує додатковий захист вашого облікового запису. Для входу у ваш обліковий запис, окрім логіна та пароля, необхідно буде ввести код підтвердження або електронний ключ, який буде надіслано на ваш смартфон, електронну пошту або у відповідний додаток. Facebook пропонує декілька способів підтвердження вашої особистості:

• SMS з одноразовим кодом;
• Застосунок для смартфона (iOS або Android), який автоматично генерує такі коди;
• Набір з 10 одноразових резервних кодів, які можна роздрукувати або переписати;
• Фізичний ключ безпеки, який потрібно вставити в USB-порт.

Як увімкнути двофакторну автентифікацію у Facebook?

Щоб налаштувати двофакторну автентифікацію у Facebook, виконайте такі дії:

1. Увійдіть у свій обліковий запис Facebook.
2. У правому верхньому куті натисніть на свою аватарку, а потім у меню виберіть Налаштування та конфіденційність > Налаштування.
3. У лівій частині екрана виберіть Центр облікових записів.
4. У лівій частині виберіть Пароль і безпека, а потім у правій частині – Двоетапна перевірка.
5. Виберіть свій профіль у Facebook.
6. Ознайомтеся з інформацією про двофакторну автентифікацію та оберіть спосіб захисту: додаток, SMS-повідомлення або захисний ключ.
7. Дотримуйтесь інструкцій на екрані, щоб завершити налаштування. Можливо, вам буде запропоновано ввести пароль для підтвердження вашої особи.

Вибір способу автентифікації

• SMS-повідомлення: Оберіть опцію SMS, якщо хочете отримувати коди підтвердження через SMS[1]. Якщо у вас вже є прив’язаний номер телефону, виберіть його або додайте інший номер. Введіть код підтвердження, який ви отримаєте, і натисніть “Далі”.
• Додаток для автентифікації: Використовуйте такі додатки, як Google Authenticator або Authy, щоб генерувати коди підтвердження.
• Додаткові способи: Використовуйте коди відновлення, якщо у вас немає доступу до телефону.

Резервні способи

• Ключ безпеки: Використовуйте фізичний ключ безпеки, сумісний з Facebook, для підтвердження входу.

Довірені пристрої

Пристрій вважається довіреним, якщо під час першого входу в обліковий запис з браузера ви обрали опцію не запитувати надалі другий фактор. Facebook розпізнає такі пристрої, якщо ви обрали опцію “Зберегти браузер“. Не робіть загальні пристрої довіреними. Видалити всі довірені пристрої можна у вікні “Двоетапна перевірка” в розділі “Надійні пристрої“.

Вирішення проблем з двоетапною перевіркою

Якщо у вас виникли проблеми зі входом за допомогою двоетапної перевірки, переконайтеся, що ви вводите правильний код. Якщо ви не отримуєте SMS-коди, перевірте свій телефон пізніше або скористайтеся іншим способом підтвердження, наприклад, кодом відновлення. Якщо ви не можете отримати доступ до коду підтвердження, Facebook запропонує вам підтвердити свою особу іншим способом.

Чому варто використовувати двофакторну автентифікацію?

• Захист від хакерів — навіть якщо пароль буде зламаний, без коду доступу акаунт залишиться недоступним.
• Запобігання шахрайству — зменшується ризик викрадення особистої інформації.
• Контроль доступу — ви отримуватимете сповіщення про спроби входу з нових пристроїв.

Висновок

Двофакторна автентифікація — один із найефективніших способів захисту вашого акаунта Facebook. Увімкнення цієї функції займає лише кілька хвилин, але значно підвищує рівень безпеки вашої особистої інформації. Не відкладайте — захистіть свій акаунт вже зараз!

Ця стаття Двофакторна автентифікація у Facebook: як налаштувати? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Сучасний цифровий світ наповнений термінами, які часто використовуються разом, але мають суттєві відмінності. Два таких терміни — автентифікація та авторизація. Ці процеси є ключовими для забезпечення безпеки даних у мережі, але виконують різні функції. У цій статті ми розберемося, що вони означають і в чому полягає їхня відмінність.

Що таке автентифікація?

Аутентифікація (authentication) — це процес, який перевіряє ідентичність особи або пристрою. Основна мета – підтвердити, що особа, яка надає облікові дані, дійсно є тією, за кого себе видає. Користувачі надають необхідний маркер безпеки для підтвердження своєї особи, який перевіряється за базою даних автентифікованих користувачів.

Автентифікація користувачів має вирішальне значення, оскільки часто є першим захистом від витоку даних і кібератак. Системи автентифікації мають кілька способів підтвердження особи користувача, зазвичай реалізуючи такі підходи, як багатофакторна автентифікація (MFA) або двофакторна автентифікація (2FA).

Користувач може надати три типи токенів безпеки для автентифікації:

• Те, що вони знають. Токени доступу, такі як ім’я користувача або пароль, які знає тільки користувач. Також може використовуватися персональна ідентифікаційна інформація (PII), особливо на таких платформах, як соціальні мережі.
• Те, що вони мають. Фізичний маркер доступу, такий як ключ-карта, бейдж безпеки або USB-ключ, також може використовуватися для підтвердження особи користувача. Ці токени зазвичай використовуються в середовищах, що вимагають високого рівня безпеки.
• Те, ким вони є. Більш суворі методи автентифікації можуть використовувати розпізнавання обличчя, біометричну автентифікацію та інші унікальні ідентифікатори, прив’язані до фізичних характеристик користувача. Цей метод зазвичай використовується для захисту високочутливих систем або місць з обмеженим доступом.

Як це працює?

1. Введення даних: Користувач вводить свої облікові дані, наприклад, логін і пароль.
2. Перевірка: Система порівнює введені дані із збереженою інформацією.
3. Доступ: Якщо дані збігаються, користувач проходить автентифікацію.

Приклади автентифікації

• Введення пароля або PIN-коду.
• Використання біометричних даних (відбиток пальця, скан обличчя).
• Одноразові коди (OTP), отримані через SMS або електронну пошту.
• Автентифікація за допомогою токенів або сертифікатів.

Читайте також: Що таке ключі допуску? Як відмова від пароля може спростити ваше життя у 2025 році

Що таке авторизація?

Авторизація (authorization) — це процес, який визначає дозволи автентифікованого користувача, коли він отримує доступ до системи. Авторизація необхідна, оскільки системи зазвичай вимагають декількох рівнів доступу. Різні користувачі потребують різних рівнів привілеїв для ефективного виконання своїх ролей або доступу до певних ресурсів і місць.

Основна мета авторизації – обмежити доступ користувачів на основі їхніх дозволів. Наприклад, кадрова система компанії може використовувати дозволи на основі ролей. Вона може надавати працівникам доступ лише до їхніх особистих справ, а менеджерам дозволяти переглядати дані про результати роботи їхньої команди.

Контроль доступу в системах авторизації зазвичай контролюється постачальниками автентифікації (наприклад, ІТ-відділом або службою безпеки компанії), які надають дозволи в рамках загальної стратегії безпеки організації.

Окрім контролю доступу, системи авторизації допомагають системним адміністраторам або адміністраторам сайтів підтримувати більш точний огляд того, як користувачі використовують свої привілеї доступу. Ця можливість необхідна для створення додаткових протоколів безпеки, таких як журнали доступу, щоб відстежувати, які користувачі отримують доступ до конфіденційних даних.

Як це працює?

1. Після автентифікації система перевіряє, до яких ресурсів чи функцій користувач має доступ.
2. Встановлюються обмеження або дозволи залежно від ролі чи статусу користувача.

Приклади авторизації

• Доступ до файлів лише для адміністраторів.
• Різні рівні доступу до програмного забезпечення (наприклад, перегляд документів, але без можливості редагування).
• Обмеження доступу до конфіденційної інформації залежно від посади.

Ключова різниця між автентифікацією та авторизацією

Основна відмінність між автентифікацією та авторизацією полягає в тому, що автентифікація перевіряє особу користувача для надання доступу, тоді як авторизація визначає рівні доступу користувача. Автентифікація визначає, чи може користувач увійти в систему, тоді як авторизація контролює, що користувач може робити в системі.

Автентифікація та авторизація завжди взаємопов’язані. Ніколи не варто обмежуватися лише автентифікацією користувача, оскільки різні користувачі потребують різних рівнів дозволів, особливо для областей або систем, що містять конфіденційну інформацію.

Як вони взаємопов’язані?

Автентифікація завжди передує авторизації. Без підтвердження особи (автентифікації) система не зможе визначити права доступу (авторизацію).

Наприклад:

• Коли ви входите у свій обліковий запис електронної пошти, спочатку проходите автентифікацію (вводите логін і пароль).
• Потім система визначає, які дії вам дозволені: читання листів, написання нових чи зміна налаштувань (авторизація).

Який процес простіший?

Автентифікація простіша, оскільки кілька методів (наприклад, багатофакторна автентифікація) можуть швидко підтвердити особу користувача. Адміністратори повинні авторизувати користувачів вручну, щоб гарантувати, що вони отримують доступ лише до того, що їм дозволено бачити.

Яким протоколам вони слідують?

Протоколи автентифікації відповідають стандарту OpenID Connect (OIDC), який дозволяє проводити однократні сеанси входу і стандартизує спосіб отримання користувачами доступу до систем.

Протоколи авторизації зазвичай використовують протокол OAuth 2.0, який підтримує OIDC, щоб надати користувачам доступ до декількох систем і додатків за допомогою одного автентифікованого запиту.

Чому важливо розуміти різницю?

Розуміння різниці між цими двома поняттями є важливим, оскільки кожна система вразлива до різних типів загроз. Усвідомлення їх відмінностей є одним з найефективніших способів зменшити ризики безпеки.

Знання відмінностей між автентифікацією та авторизацією допомагає:

• Забезпечити безпеку: Використання багатофакторної автентифікації знижує ризик несанкціонованого доступу.
• Керувати доступом: Розуміння прав доступу дозволяє налаштувати ефективну політику безпеки у системах.
• Розробляти надійні системи: Для розробників це знання є ключовим у створенні додатків, які відповідають вимогам безпеки.

Автентифікація та авторизація є важливими елементами безпеки в цифровому світі. Автентифікація відповідає на питання “хто ви?”, а авторизація — “що вам дозволено робити?”. Разом ці процеси забезпечують безпеку даних і контроль доступу у сучасних системах.

Забезпечте свої облікові записи надійними методами аутентифікації та авторизації, щоб захистити важливу інформацію!

Ця стаття Автентифікація та авторизація: у чому різниця? раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

У сучасному цифровому світі, де кожен день ми стикаємося з великою кількістю онлайн-сервісів, захист особистих даних стає все більш важливим. Один із найефективніших способів підвищення безпеки облікових записів — це двоетапна перевірка або двохфакторна аутентифікація (2FA). Вона забезпечує додатковий рівень захисту, навіть якщо ваш пароль був викрадений.

Що таке двоетапна перевірка?

Двоетапна перевірка — це процес, коли для доступу до облікового запису недостатньо лише пароля. Вам також необхідно підтвердити свою особу за допомогою додаткового коду або пристрою. Це може бути код, надісланий на ваш телефон через SMS або в додаток для аутентифікації, або навіть біометричні дані, такі як відбиток пальця або розпізнавання обличчя.

Чому двоетапна перевірка важлива?

• Захист від злому. Якщо ваш пароль стане відомий хакеру, він все одно не зможе увійти до вашого облікового запису без другого фактора.
• Захист особистої інформації. Месенджери часто містять чутливі особисті повідомлення, фото, документи, тому додатковий рівень безпеки є важливим для захисту ваших даних.
• Запобігання несанкціонованому доступу. Навіть якщо хтось має доступ до вашого пристрою або вашого пароля, 2FA захистить ваш обліковий запис від сторонніх очей.

Як налаштувати двоетапну перевірку у популярних месенджерах?

WhatsApp

WhatsApp підтримує двоетапну перевірку у вигляді додаткового PIN-коду, який потрібно вводити під час входу в обліковий запис.

Кроки:

1. Відкрийте WhatsApp.
2. Перейдіть до Параметри (на смартфоні Android у верхньому правому куті або у нижньому правому для iPhone).
3. Виберіть Обліковий запис.
4. Виберіть Двоетапна перевірка.
5. Натисніть Увімкнути.
6. Встановіть шестизначний PIN-код, який ви будете використовувати під час входу.
7. Введіть свою електронну пошту (опціонально), щоб у разі забуття PIN-коду можна було його скинути.

Наявність пов’язаної електронної пошти з обліковим записом WhatsApp є важливою, оскільки ця служба не дозволить вам при повторній реєстрації увійти в свій акаунт протягом 7 днів, якщо ви забули PIN-код. Отже, якщо ви не можете чекати тиждень, щоб повторювати перевірку з будь-якої причини, корисно ввести адресу електронної пошти, щоб увійти або вимкнути функцію двофакторної аутентифікації.

Telegram

У Telegram також можна увімкнути двоетапну перевірку, додавши пароль, який буде використовуватись разом із кодом, надісланим на телефон.

Кроки:

1. Відкрийте Telegram.
2. Перейдіть до Налаштування (в меню з трьома лініями вгорі зліва на Android, в нижньому правому куті на iPhone).
3. Виберіть Приватність і безпека.
4. Знайдіть розділ Двоетапна перевірка та натисніть Увімкнути пароль.
5. Створіть пароль і введіть його.
6. Введіть свою електронну пошту для відновлення (опціонально).
7. Telegram надішле підтвердження на вашу пошту. Підтвердіть налаштування.

Viber

Viber використовує двоетапну перевірку за допомогою SMS, коли вам потрібно підтвердити вхід кодом із повідомлення.

Кроки:

1. Відкрийте Viber.
2. Перейдіть до Додатково (три лінії або три крапки внизу екрана).
3. Виберіть Параметри > Конфіденційність.
4. Увімкніть Двоетапну перевірку.
5. Встановіть PIN-код і введіть його при подальшому вході.
6. Введіть свою електронну пошту для відновлення (опціонально).

Signal

Signal дозволяє ввімкнути PIN-код, щоб захистити ваш обліковий запис.

Кроки:

1. Відкрийте Signal.
2. Натисніть на свій профіль (іконка у верхньому лівому куті).
3. Виберіть Налаштування > Акаунт.
4. Натисніть Створіть PIN-код.
5. Введіть PIN-код, який ви будете використовувати при вході на нових пристроях. Signal вимагає, щоб PIN-код містив принаймні чотири цифри, а максимум – 20 цифр.
6. Увімкніть перемикач Блокувати реєстрацію.

Коли ви вперше ввімкнете блокування реєстрації, Signal попросить ввести PIN-код протягом перших шести та 12 годин після включення. Компанія каже, що це призначене, щоб допомогти вам запам’ятати його через випадкове повторення. Отже, після першого дня, він попросить вас ввести його на наступний день, потім через три дні, і, нарешті, останній раз після повного тижня.

Якщо ви забули свій PIN-код і не можете увійти в Signal, вам доведеться почекати 7 днів бездіяльності для закінчення терміну дії блокування реєстрації, після чого можна знову увійти до програми, щоб налаштувати новий PIN-код. Ті, хто вже активно використовує Signal, не повинні турбуватися про скидання блокування реєстрації, оскільки цей відлік починається лише тоді, коли програма не відкривається.

Facebook Messenger

Facebook Messenger використовує двоетапну перевірку через головний обліковий запис Facebook.

Кроки:

1. Відкрийте Facebook.
2. Натисніть на Меню (в нижньому правому куті) і перейдіть до Налаштування та конфіденційність > Налаштування.
3. Виберіть Пароль і безпека.
4. У розділі Двоетапна перевірка натисніть Редагувати.
5. Оберіть метод отримання коду: через SMS або за допомогою додатка для аутентифікації (наприклад, Google Authenticator).
6. Підтвердіть налаштування, увівши код, отриманий через вибраний метод.

Slack

Щоб увімкнути функцію двофакторної аутентифікації, спочатку потрібно знайти сторінку “Налаштування облікового запису”. Є три способи доступу до цього:

1. Натисніть на своє ім’я користувача у верхньому лівому куті програми Slack, щоб відкрити випадаюче меню та виберіть “Профіль і обліковий запис“. Під своїм аватаром і поруч із кнопкою “Редагувати профіль” клацніть на піктограми з трьома пунктами для додаткових дій і знайдіть “Відкрити налаштування облікового запису“.
2. Натисніть на своє власне ім’я з вікна чату та виберіть “Відкрити налаштування облікового запису“.
3. Зверніться прямо до my.slack.com/account/settings.

Після того, як на сторінці “Параметри облікового запису” відобразиться параметр увімкнення двофакторної аутентифікації під паролем. Якщо ви не бачите цього, перевірте, чи ваш обліковий запис Slack призначений для роботи. Деякі роботодавці можуть використовувати послуги єдиного входу, які виключають необхідність двофакторної аутентифікації, що виключає це зі сторінки налаштувань облікового запису Slack.

Якщо це персональний Slack, тоді натисніть “Розгорнути” в розділі двофакторної аутентифікації, щоб перевірити вашу інформацію за допомогою програми SMS або аутентифікатора.

Якщо у вас є декілька адрес електронної пошти, вам, можливо, знадобиться вибрати одну за замовчуванням, перш ніж Ви зможете визначити бажаний метод двофакторної аутентифікації.

Snapchat

На екрані головної камери програми торкніться піктограми профілю та знайдіть значок шестерні, щоб отримати доступ до своїх налаштувань. Виберіть “Підтвердження входу” та виберіть, чи потрібно отримувати перевірку текстового повідомлення або підключати його до програми аутентифікації. Після ввімкнення двофакторної аутентифікації у вашому обліковому записі Snapchat можна додати довірені пристрої або запросити код відновлення, коли ви плануєте перебувати без мобільного зв’язку. На відміну від інших сервісів у цьому посібнику, Snapchat наразі не підтримує вхід за допомогою ключів безпеки.

Додаткові поради для безпеки

• Використовуйте унікальні паролі. Якщо у вас один і той самий пароль для кількох облікових записів, зловмисник, який отримає доступ до одного з них, зможе легко увійти до інших.
• Оновлюйте ваші паролі регулярно. Це знижує ризик злому в разі, якщо ваш пароль стане відомий стороннім особам. Ви також можете використовувати менеджер паролів для автоматичного контролю за безпекою.
• Захистіть свою електронну пошту. Часто саме через електронну пошту можна відновити доступ до акаунтів, тому важливо, щоб ваша електронна пошта також була захищена двоетапною перевіркою.

Двоетапна перевірка — це ефективний спосіб захисту ваших облікових записів у месенджерах від несанкціонованого доступу. Налаштування двоетапної перевірки не займе багато часу, але значно підвищить безпеку ваших особистих даних. Використовуйте цей захист у всіх ваших онлайн-сервісах, де це можливо, і будьте спокійні за свої облікові записи!

Читайте також: Експерт для Cybercalm: Як налаштувати приватність в екаунтах та безпеку пристроїв?

Ця стаття Двоетапна перевірка у месенджерах: як налаштувати? раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Стратегія компанії щодо увімкнення двофакторної аутентифікації за замовчуванням працює.

У 2021 році Google почав автоматично вмикати двоетапну перевірку (2SV) для облікових записів Google, посилаючись на значно кращу безпеку для облікових записів, у яких її ввімкнено.

Тепер компанія поділилася деякими думками про те, що це дає для своїх користувачів. За даними Google, кількість скомпрометованих облікових записів зменшилася на 50% порівняно з обліковими записами, у яких не було ввімкнено 2SV. Google заявляє, що автоматично ввімкнув 2SV для понад 150 мільйонів людей. Компанія також зазначає, що почала вимагати від 2 мільйонів творців YouTube увімкнути цю функцію.

2SV (також відомий як двофакторна аутентифікація 2FA) — це додатковий біт даних, необхідний для входу у ваш обліковий запис разом із вашим паролем. Google пропонує кілька варіантів для облікових записів Google, включаючи автентифікацію на основі SMS та перевірку за допомогою Google Authenticator, але користувачі також можуть відмовитися від цієї функції та повністю вимкнути її.

Хоча 2SV корисний скрізь, він особливо корисний для облікових записів Google, які часто використовуються для доступу до інших облікових записів, навіть не Google. Іншими словами, якщо ваш Gmail буде зламано, ви можете зіткнутися з великими проблемами. Google стверджує, що продовжить автоматично вмикати 2SV для своїх користувачів у майбутньому, а також працюватиме над тим, щоб зробити вхід більш легким.

Більшість інших основних онлайн-сервісів, таких як Facebook і Twitter, пропонують для своїх користувачів певну форму 2SV. Однак ні Facebook, ні Twitter не вмикають його автоматично; вам потрібно відкрити налаштування та ввімкнути функцію самостійно.

Google також радить своїм користувачам зробити кілька додаткових кроків, щоб підвищити безпеку своїх облікових записів, зокрема пройти перевірку безпеки та використовувати Менеджер паролів Google , вбудований у Chrome, Android і програму Google.

Якщо ви хочете увімкнути двоетапну перевірку прямо зараз, ви можете перейти сюди та натиснути кнопку «Почати», щоб додати ще один рівень безпеки для свого облікового запису Google.

Ця стаття Google: двоетапна перевірка робить вас вдвічі безпечнішими раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня