Ви напевно чули про віртуальні приватні мережі (VPN). Багато урядів у всьому світі хотіли б контролювати їх або взагалі заборонити, і якби не той факт, що VPN є важливим інструментом для бізнесу, багато законодавців уже досягли б успіху.

Але що саме в VPN викликає такі гострі політичні дискусії? Все зводиться до використання шифрування для захисту вашої онлайн-комунікації, можливості приховати вашу IP-адресу та зберегти ваші дії приватними й безпечними.

Якщо це нагадує вам часи, коли деякі уряди намагалися заборонити зашифровані месенджери на кшталт WhatsApp і Telegram, але зазнали невдачі, — ви маєте рацію. Подобається їм це чи ні, ми все ще маємо право на приватність. І від нас залежить, чи будемо ми його використовувати.

Але що робити, якщо ви не можете дозволити собі платний VPN? Багато користувачів звертаються до безкоштовних сервісів, які обіцяють захист без оплати. Якщо ви шукаєте безкоштовний VPN, будьте обережні — є недоліки й ризики, про які ви повинні знати.

Що таке безкоштовний VPN?

Безкоштовний VPN — це сервіс, який не вимагає грошової оплати. Принаймні не грошової.

Безкоштовні VPN зазвичай сумісні з комп’ютерами, Android і iOS-пристроями та доступні в магазинах додатків і онлайн-репозиторіях програмного забезпечення. Ви завантажуєте програму, надаєте необхідні дозволи та зазвичай реєструєтесь за допомогою електронної адреси.

Після запуску програми та входу в систему ви зможете підключитися до VPN-мережі.

Чому безкоштовні VPN популярні?

Дослідження NordVPN показує, що приблизно 13% користувачів VPN покладаються на безкоштовні сервіси. Але якщо ви не платите грошима, ви платите своїми даними.

Підписки стають дедалі дорожчими, і додавати ще один платіж до свого бюджету — це те, чого мало хто з нас хоче, особливо зараз, в умовах економічної нестабільності.

Конфлікти змусили іранців використовувати VPN для обходу інтернет-блокувань. Крім того, слідом за жителями Великої Британії, австралійські громадяни масово встановлюють VPN у відповідь на нові закони, які вимагають верифікації віку перед доступом до онлайн-контенту. Зрештою, хто захоче передавати персональні дані, скани обличчя або фото документів третім сторонам?

Фінансовий тиск, конфлікти, непотрібні вимоги щодо даних — і якщо у вас є вибір між чимось безкоштовним або платою за те, що виглядає як той самий сервіс, вибір очевидний: я залишу свій гаманець закритим і скористаюся безкоштовним VPN.

«Люди завантажують безкоштовні VPN для захисту своєї приватності, не розуміючи, що можуть віддати її повністю», — каже Марійус Брідіс, технічний директор NordVPN. «Практично не існує такої речі, як справді безкоштовний VPN-сервіс».

Справжня ціна безкоштовного VPN

Хоча вам не потрібно платити за ці сервіси долари, ціна завжди є. Однак це залежить від того, чи підтримується сервіс платними передплатниками.

Якщо безкоштовний сервіс фінансують платні клієнти, ви матимете доступ до тієї самої VPN-мережі серверів, але з обмеженнями. Зазвичай у вас буде захист лише для одного пристрою — наприклад, ноутбука або смартфона — і ви будете обмежені у виборі серверів.

Наприклад, у вас може бути лише один або два сервери на вибір, і оскільки вони обробляють навантаження від усіх власників безкоштовних облікових записів, вам доведеться змиритися з низькою швидкістю.

Проте ці компроміси набагато кращі за альтернативу: безкоштовний VPN, який не розкриває, як фінансується мережа. У таких випадках ось чим ви платите:

Ваші дані

Ваші дані — це цінна валюта. Безкоштовний VPN може збирати, передавати та продавати ваші дані третім сторонам для фінансування своєї роботи.

Шкідливе ПЗ

Безкоштовні VPN можуть містити приховане, вбудоване небажане програмне забезпечення, таке як spyware, або взагалі бути malware під маскуванням, який краде ваші дані, шпигує за вами або навіть шифрує вашу систему за допомогою ransomware.

«Ми спостерігаємо зростання кількості зловмисних додатків, які видають себе за легітимні VPN», — пояснює Брідіс.

«Власне антишахрайське попередження Google позначило VPN-додатки, які поширюють infostealer, троянські програми віддаленого доступу та банківські трояни — все створене для викрадення історії перегляду, фінансових облікових даних і навіть криптовалютних гаманців. Користувачі встановлюють ці додатки саме для того, щоб почуватися безпечніше онлайн, а натомість відкривають двері саме тим загрозам, яких намагалися уникнути».

Проблеми з безпекою

Без фінансування безкоштовні VPN часто є ризикованими варіантами, які не виправляють уразливості.

Відсутність захисту

Нещодавнє дослідження виявило, що близько 800 безкоштовних VPN взагалі не забезпечували приватності, включно з такими проблемами, як відсутність або слабке шифрування, незвичайні запити дозволів, невиправлені помилки та оманливі заяви.

У розмові зі ZDNET Аарон Енгель, головний директор з інформаційної безпеки ExpressVPN, сказав, що були також випадки, коли провайдери безкоштовних VPN реєстрували активність користувачів, незважаючи на рекламу політики «без логів», включно з одним витоком даних, який розкрив понад 1,2 терабайти користувацьких даних, таких як IP-адреси, історія перегляду та паролі.

«Дослідники також виявили безкоштовні VPN-додатки, які містять нав’язливе програмне забезпечення для відстеження або працюють зі слабким шифруванням, що може наражати користувачів на додаткові ризики безпеки замість того, щоб їх захищати», — додає Енгель.

«Ці знахідки підкреслюють важливість прозорості та перевірки. Самої лише політики конфіденційності недостатньо — користувачі повинні шукати провайдерів, чиї заяви підтверджені незалежними, сторонніми аудитами безпеки, які підтверджують їхню практику відсутності логів та інфраструктуру».

Найкращі безкоштовні (та дешеві) VPN, яким можна довіряти

Не так багато безкоштовних VPN-сервісів, які ми можемо рекомендувати, але якщо ви готові прийняти обмеження облікового запису, зверніть увагу на:

• Proton VPN: Це наш улюблений безкоштовний варіант. Підтримується платними передплатниками, ваш безкоштовний обліковий запис не обмежений за обсягом трафіку, але ви можете зареєструвати лише один пристрій і отримати доступ до 10 країн при виборі серверів.
• Windscribe: Windscribe також підтримується платними клієнтами та пропонує власникам безкоштовних облікових записів доступ до серверів у 10 країнах. Є необмежені підключення пристроїв, але недоліком є обмеження даних від 2 ГБ до 10 ГБ.
• Hotspot Shield: Hotspot Shield швидкий, і ви можете використовувати до 15 ГБ на місяць, але вибір серверів обмежений, і цей сервіс підтримується рекламою.

Що робити користувачам:

Якщо вам потрібні повні списки серверів, найкращі швидкості та більше одночасних підключень, деякі з найдоступніших VPN на ринку — це Surfshark ($1.99 на місяць), Privado VPN ($1.11 на місяць) та Private Internet Access ($2.03 на місяць).

Пам’ятайте: безкоштовний сир буває тільки в мишоловці. Якщо ви користуєтесь безкоштовним VPN, переконайтеся, що розумієте, як сервіс заробляє гроші та які компроміси ви приймаєте заради безкоштовного доступу.

Ця стаття Чи безпечні безкоштовні VPN: експерти пояснили реальну ціну раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Ще кілька років тому диференційна приватність була технологією, про яку знали переважно дослідники та інженери Google. Сьогодні вона охоплює майже три мільярди пристроїв, захищає навчання моделей штучного інтелекту і стає обов’язковою вимогою у регуляторних рамках ЄС. Компанії, які ще вчора збирали дані «про всяк випадок», тепер перед вибором: вбудувати математичний захист приватності в свою інфраструктуру — або зіткнутися з мільйонними штрафами й репутаційними кризами.

Що таке диференційна приватність

Диференційна приватність — це математичний підхід до захисту даних, що полягає у стратегічному додаванні контрольованого «шуму» до статистичних запитів або наборів даних. Ідея полягає в тому, щоб компанії та дослідники могли аналізувати великі масиви інформації й отримувати з них корисні закономірності — але без можливості ідентифікувати конкретну людину.

Найпростіше пояснити механізм на прикладі. Уявіть, що служба кікшерингу хоче дізнатися, в яких районах міста попит на самокати найбільший у ранкові години. Маючи диференційну приватність, аналітики компанії побачать загальну картину попиту — але не зможуть відстежити маршрути конкретного користувача, його домашню адресу чи розклад. Навіть якщо зловмисник отримає доступ до бази даних, зашумлені записи не дозволять деанонімізувати людей.

Ключовий параметр системи — так зване «епсилон» (ε), що визначає баланс між точністю аналізу та рівнем приватності. Чим менше ε, тим вищий захист і тим менш точні результати; чим більше — тим кориснішими є дані, але й більшим є ризик витоку особистої інформації. Знайти правильний баланс — одне з головних завдань, над якими працюють дослідники та регулятори.

Google: від відкритого коду до трьох мільярдів пристроїв

У 2019 році Google вперше відкрила свої бібліотеки диференційної приватності для розробників — щоб дати їм готовий, перевірений інструмент замість того, щоб кожен «винаходив колесо» з нуля і помилявся в реалізації. Тоді це сприйняли як жест доброї волі та PR-хід від великої рекламної компанії.

За шість років картина кардинально змінилася. У жовтні 2024 року Google оголосила, що досягла найбільшого у світі масштабного розгортання диференційної приватності — технологія вже охоплює близько трьох мільярдів пристроїв і застосовується в Google Home, Google Search на Android та застосунку Messages. Завдяки цьому Google, зокрема, змогла виявляти причини збоїв у розумних будинках та налагоджувати підключення нових типів пристроїв формату Matter — не збираючи при цьому персональних даних користувачів.

Крім того, компанія розширила свої відкриті бібліотеки на нові мови програмування. До Python, Go та C++ додалася підтримка Java (через PipelineDP4j), що дозволяє охопити понад половину розробників у світі. Диференційна приватність тепер також живить Google Trends: технологія дозволяє показувати аналітику навіть для регіонів з невеликою кількістю запитів, не розкриваючи інформацію про конкретних людей.

Apple: приватність, вбудована в пристрій

Apple розпочала впровадження диференційної приватності ще у 2016 році, із виходом iOS 10 та macOS Sierra, і відтоді поступово розширювала застосування цієї технології. Сьогодні вона використовується для вивчення нових слів, якими користувачі набирають текст (QuickType), для визначення найпопулярніших емодзі, для аналізу доменів, що спричиняють збої в Safari, а також для покращення відбору фотографій у розділі «Спогади».

У 2024–2025 роках Apple зробила наступний крок, запустивши Private Cloud Compute — хмарну інфраструктуру для обробки запитів ШІ з повним збереженням конфіденційності. Система побудована на власних процесорах Apple і спеціально загартованій операційній системі: навіть самі інженери компанії не мають доступу до змісту запитів користувачів. За словами Apple, це «найпросунутіша архітектура безпеки, будь-коли розгорнута для хмарних обчислень ШІ».

Диференційна приватність та штучний інтелект

Зв’язок між диференційною приватністю і ШІ став одним із центральних питань технологічної індустрії. Великі мовні моделі навчаються на колосальних масивах даних, що неминуче породжує ризик: модель може «запам’ятати» конфіденційну інформацію й відтворити її у відповідях. Диференційна приватність дозволяє навчати моделі на реальних даних, математично гарантуючи, що жодна особиста інформація не просочиться через готовий продукт.

Google використовує федеративне навчання в поєднанні з диференційною приватністю для розробки моделей передбачення наступного слова у клавіатурі Gboard. Модель навчається на пристроях користувачів, а не на центральному сервері, — і при цьому ε-гарантії забезпечують математичний рівень захисту приватності для кожного учасника. Microsoft запустила платформу Confidential AI у 2024 році, а ринок технологій підвищення приватності (Privacy-Enhancing Technologies, PETs) у цілому зростає: у 2024 році він оцінювався приблизно у 3,1 млрд доларів, а до 2030 прогнозується зростання до 12 млрд.

Регуляторний тиск: закон ЄС про ШІ і GDPR

Якщо технологічні компанії впроваджували диференційну приватність переважно добровільно, то з лютого 2025 року ситуація змінилася: почав діяти Закон ЄС про штучний інтелект (EU AI Act). Документ містить конкретні вимоги до приватності в системах ШІ, особливо тих, що обробляють персональні дані. Диференційна приватність, федеративне навчання та гомоморфне шифрування набули статусу рекомендованих технологій відповідності.

Паралельно GDPR продовжує каратися за порушення приватності: лише у 2023–2024 роках регулятори ЄС наклали штрафи на сотні мільйонів євро. Для компаній, що обробляють дані в Україні або з українськими користувачами, ці тенденції також є релевантними — чинний Закон України «Про захист персональних даних» гармонізується з европейськими стандартами, і цей процес прискорюється в контексті євроінтеграції.

Не лише Google й Apple: широке коло застосувань

Диференційна приватність давно вийшла за межі великих технологічних корпорацій. У 2020 році Бюро перепису населення США вперше застосувало цю технологію для захисту даних перепису — щоб запобігти деанонімізації, яка була продемонстрована дослідниками на матеріалах перепису 2010 року. Uber ще у 2017 році відкрив власний інструмент диференційної приватності, розроблений разом із Каліфорнійським університетом у Берклі. Microsoft використовує її у Workplace Analytics — системі аналізу продуктивності команди.

Відкриті фреймворки — TensorFlow Privacy, OpenDP, PySyft, diffprivlib від IBM — зробили цю технологію доступною для стартапів і наукових установ. Це важливо, адже, за оцінками дослідників Cisco, 60% компаній, що інвестували у захист приватності, звітують про відчутні бізнес-переваги: зростання лояльності клієнтів і вища операційна ефективність.

Обмеження, про які варто знати

Диференційна приватність не є панацеєю. Як і криптографія, вона вимагає правильної реалізації: навіть невелика помилка у виборі параметрів або в архітектурі системи може звести захист нанівець. Незалежні дослідники неодноразово вказували, що деякі реалізації, зокрема ранні версії Apple, використовували надто великі значення ε, що ставило під сумнів реальний рівень захисту.

Ще одне принципове обмеження — це так званий «бюджет приватності»: кожен новий запит до захищеної бази даних «витрачає» частину бюджету й трохи збільшує ризик витоку. Коли бюджет вичерпується, подальші запити стають небезпечними. Це означає, що системи з диференційною приватністю не можна використовувати для необмеженого аналізу одного й того самого набору даних.

Нарешті, існує фундаментальний компроміс між точністю і приватністю: чим суворіший захист, тим менш точними є статистичні результати. Для невеликих вибірок це може бути критичною проблемою — саме тому Google Trends до недавнього часу просто не показував дані для регіонів із малою кількістю пошукових запитів.

Висновок

Диференційна приватність пройшла шлях від академічної концепції до промислового стандарту захисту даних. Вона дозволяє компаніям отримувати цінні аналітичні дані, не перетворюючи користувачів на об’єкт стеження, — і саме тому її роль у добу масового розгортання ШІ лише зростатиме. Для організацій, що опрацьовують персональні дані, питання більше не в тому, чи впроваджувати диференційну приватність, а в тому, коли й як це зробити правильно.

Ця стаття Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Більшість VPN-додатків за замовчуванням налаштовані на оптимальну швидкість та зручність, щоб користувачі могли швидко розпочати роботу без зайвих складнощів. Однак коли йдеться про критично важливу приватність, стандартних налаштувань може бути недостатньо. Якщо ви юрист, лікар, активіст, журналіст чи користуєтесь публічним Wi-Fi для конфіденційних справ, вам варто налаштувати VPN для максимального захисту.

Ці налаштування особливо важливі для тих, хто працює в регіонах з обмеженнями на використання VPN, займається torrenting або потребує підвищеного рівня конфіденційності. Деякі з цих функцій можуть бути увімкнені за замовчуванням, але обов’язково перевірте їх перед використанням VPN для будь-яких критичних задач.

Kill switch — найважливіша функція VPN

Kill switch зазвичай увімкнений за замовчуванням, а деякі VPN, як-от Mullvad, навіть не дозволяють його вимкнути. І це правильно: kill switch — це найкритичніша функція конфіденційності VPN. Вона автоматично розриває інтернет-з’єднання, якщо VPN несподівано відключається, запобігаючи витоку вашої онлайн-активності до інтернет-провайдера чи адміністратора мережі.

Якщо ваш VPN не має kill switch, вам варто негайно шукати інший VPN-сервіс.

DNS leak protection — захист від витоку DNS-запитів

Не кожен сервіс має окреме налаштування для DNS leak protection, але якщо ваш VPN його пропонує, переконайтеся, що воно завжди увімкнене. Захист від витоку DNS гарантує, що ваші DNS-запити — спроби доступу до веб-сайтів — обробляються через зашифровані DNS-сервери провайдера VPN, а не через ваш інтернет-провайдер.

Якщо ваш пристрій обходить VPN-тунель і надсилає DNS-запити до інтернет-провайдера, відбувається витік DNS, і ваша онлайн-активність може бути розкрита. Легко перевірити наявність витоків DNS, підключившись до VPN-сервера та відвідавши сайт ipleak.net або dnsleaktest.com.

Безпечний VPN-протокол: OpenVPN, WireGuard або еквівалент

Не всі VPN-протоколи однакові. Для оптимальної конфіденційності рекомендується використовувати OpenVPN, WireGuard або еквівалентний власний VPN-протокол, якщо він доступний. OpenVPN — це безпечний, перевірений часом протокол, який забезпечує пристойну швидкість у поєднанні з надійною конфіденційністю. WireGuard — новіший протокол, який зазвичай дає швидшу швидкість при порівнянному рівні захисту.

Деякі VPN, як-от ExpressVPN і NordVPN, розробили власні протоколи, які також пропонують високу швидкість та першокласну конфіденційність. NordVPN та інші, як-от Proton VPN і Windscribe, також пропонують спеціальні протоколи обфускації, що приховують ваш VPN-трафік під звичайний інтернет-трафік, щоб допомогти обійти фаєрволи.

Застарілі VPN-протоколи, такі як PPTP або L2TP/IPSec, слід уникати.

Obfuscation — приховування використання VPN

Якщо ви перебуваєте в регіоні, який обмежує або забороняє використання VPN (або якщо ви в обмеженій мережі в школі чи на роботі), вам потрібно приховати факт використання VPN. Obfuscation — це інструмент, який надають багато VPN для цієї мети.

Деякі провайдери VPN, як-от Windscribe, NordVPN і Proton VPN, мають спеціальні протоколи обфускації. Surfshark має вбудовану обфускацію в реалізацію OpenVPN, а ExpressVPN автоматично активує технологію обфускації при виявленні втручання в мережу. Інші VPN мають спеціалізовані сервери, призначені для приховування VPN-трафіку.

Obfuscation є ключовою для обходу обмежувальних фаєрволів і боротьби з цензурою, але якщо ви живете в країні, де VPN заборонені, майте на увазі, що obfuscation може не мати 100% успішності.

Post-quantum encryption — захист від квантових комп’ютерів

Дедалі більше топових VPN починають впроваджувати пост-квантове шифрування, яке розроблене для захисту користувачів від потенційних майбутніх загроз з боку квантових комп’ютерів. Залежно від провайдера VPN, пост-квантове шифрування може бути окремим налаштуванням, яке можна увімкнути або вимкнути, або воно може автоматично активуватися при використанні конкретного VPN-протоколу.

Навіть попри те, що ми все ще за роки від того, щоб квантові обчислення стали загрозою для сучасного шифрування, пост-квантове шифрування важливо мати зараз, щоб захиститися від зловмисників, які можуть спробувати перехопити зашифрований трафік зараз у надії розшифрувати його пізніше за допомогою квантових комп’ютерів.

Multi-hop — подвійний VPN для додаткового шару шифрування

Multi-hop, іноді званий double-hop або double VPN, маршрутизує ваше з’єднання через два VPN-сервери замість одного. Ця функція надає додатковий рівень шифрування і може ускладнити відстеження вас онлайн.

Хоча multi-hop може бути надлишковим для більшості користувачів VPN, він може додати трохи додаткового спокою для тих, хто має критичні потреби в конфіденційності. Окрім multi-hop, деякі провайдери VPN, як-от NordVPN і Proton VPN, також включають функцію Tor over VPN, яка маршрутизує ваше VPN-з’єднання через мережу Tor і є ще одним способом додати рівень шифрування та підвищити конфіденційність.

IPv6 leak protection — захист від витоку IPv6

Витік IPv6 може статися, коли ваш пристрій або веб-сайт, який ви відвідуєте, використовує IPv6, а ваш VPN не налаштований на обробку IPv6-трафіку, через що цей трафік маршрутизується за межами зашифрованого VPN-тунелю. Це може розкрити вашу онлайн-активність інтернет-провайдеру.

Хоча деякі провайдери VPN впроваджують повну підтримку IPv6, багато все ще не підтримують IPv6-трафік і натомість налаштовані або повністю блокувати IPv6-трафік, або мають налаштування захисту від витоку IPv6, яке можна увімкнути або вимкнути.

Auto-connect — автоматичне підключення до VPN

Особливо якщо ви подорожуєте та підключаєтеся до різних публічних Wi-Fi мереж, функція автоматичного підключення VPN може стати в нагоді. Таким чином ви можете налаштувати VPN на автоматичне підключення при завантаженні комп’ютера або запуску VPN-додатка, щоб не ризикувати забути підключитися до VPN у певних мережах.

Залежно від VPN, ви можете налаштувати функцію автоматичного підключення на автоматичне підключення у всіх мережах, невідомих мережах або конкретних мережах, які ви вказуєте.

Threat protection та інші додаткові функції

Багато VPN пропонують додаткові функції, як-от threat protection, які можуть допомогти блокувати рекламу та трекери, що стежать за вами в інтернеті та створюють ваш профіль. Threat protection також може допомогти заблокувати підключення до відомих шкідливих сайтів, захищаючи вас від потенційної передачі конфіденційної інформації кіберзлочинцям.

Інші додаткові функції, як-от DAITA від Mullvad, яка може захистити від атак на основі AI, та функція anti-fingerprinting від Windscribe, можуть ще більше підвищити вашу конфіденційність. Перевірте налаштування вашого провайдера VPN, щоб знайти бонусні функції, які можуть покращити вашу онлайн-конфіденційність у новий спосіб.

Висновок

Хоча стандартні налаштування VPN зазвичай забезпечують достатній захист для повсякденного використання, активація цих дев’яти налаштувань може значно підвищити рівень вашої конфіденційності. Незалежно від того, чи ви професіонал, який працює з конфіденційними даними, чи звичайний користувач, який хоче максимального захисту, ці налаштування допоможуть вам отримати максимум від вашого VPN-сервісу.

Ця стаття 9 налаштувань VPN для максимального захисту приватності раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Близько третини всіх інтернет-користувачів у світі використовують VPN — про це свідчать дослідження компанії Surfshark. VPN може посилити цифрову приватність, приховуючи публічну IP-адресу, допомагає боротися з обмеженнями свободи в інтернеті та заощаджувати на стрімінгових сервісах, розблоковуючи контент з різних країн.

Проте зростання популярності VPN призвело до появи на ринку сумнівних і фейкових застосунків, які виглядають легітимно, але не захищають приватність. Деякі з них навіть шкідливі — спеціально розроблені для збору даних користувачів або завантаження шкідливого ПЗ на пристрій.

Хоча використання VPN зазвичай дуже просте, виявлення підозрілого сервісу вимагає певної експертизи. Потрібно розбиратися в політиках конфіденційності, технічних функціях і розуміти, як конкретний VPN-сервіс виглядає порівняно з іншими на ринку. Ось дев’ять червоних прапорців, на які варто звернути увагу при виборі VPN.

1. Незрозуміла або відсутня політика no-logs

VPN теоретично може отримати доступ до особистої інформації, зокрема публічної IP-адреси користувача. Він також може вести записи про відвідувані сайти та використовувані застосунки, включно з email-провайдером і банківською компанією. Тому надзвичайно важливо, щоб VPN-сервіс був етичним і заслуговував на довіру.

Один із способів, яким VPN-компанії запевняють користувачів, що не збирають чутливу інформацію — політика no-logs. По суті, така політика означає, що інтернет-активність із увімкненим VPN не записується та не зберігається. Однак може бути складно вивчити весь дрібний шрифт у політиці конфіденційності, де зазвичай обговорюються практики зберігання даних.

Варто переконатися, що політика no-logs VPN не є надто короткою, не пропускає ключових деталей і не є надмірно технічною — останнє може бути спробою заплутати користувача. VPN також не має збирати дані про використання bandwidth або логи інтернет-активності.

Водночас VPN, який стверджує, що взагалі нічого не логує — це теж червоний прапорець. VPN-компанії можуть логувати невеликі фрагменти інформації, які можуть бути анонімізовані, наприклад, час підключення та відключення від VPN і сервер, до якого відбувається підключення. Це допомагає оптимізувати продуктивність, але сама по собі така інформація не повинна ідентифікувати користувача або компрометувати приватність.

2. Відсутність незалежних аудитів

Хоча наявність політики no-logs є обов’язковою, так само важливо, щоб VPN підтверджував свої заяви про приватність, підпорядковуючись регулярним незалежним аудитам. Аудит приватності VPN — це коли VPN-компанія запрошує авторитетну сторонню фірму з кібербезпеки для перевірки своїх заяв.

Хоча VPN-аудити є золотим стандартом для підтвердження приватності, вони не дають повної картини. Вони лише свідчать, що VPN не логував дані користувачів протягом тривалості аудиту, а не до чи після нього. Аудити — хоча й є критично важливими сигналами довіри — можуть лише констатувати, що не було знайдено доказів логування, а не те, що його взагалі не відбувалося.

Незважаючи на це, експерти рекомендують вибирати VPN, які регулярно проходять незалежні сторонні аудити, бажано щорічно.

3. Погана або відсутня підтримка клієнтів

Попри те, наскільки зручними стали VPN, завжди є ймовірність зіткнутися з проблемою та потребувати професійної допомоги. Тому практично всі топові VPN надають спеціалізовану підтримку клієнтів через live chat або email — часто обидва варіанти — разом із детальною базою знань на сайті з докладними інструкціями з налаштування, FAQ з усунення несправностей і часто навіть блогом із новинами компанії та індустрії.

З іншого боку, сумнівні VPN-застосунки можуть взагалі не надавати можливості зв’язатися. Навіть якщо надають, це може бути нелегітимно — наприклад, спілкування переважно через AI-чатбот, який видає автоматичні відповіді. Це тому, що такі сервіси ймовірно ніколи не вкладуть ресурси, необхідні для підтримки живого сайту або команди справжніх людей, готових допомогти. Їхня місія виконана в момент, коли користувач попадається на фальшиві обіцянки та оплачує підписку.

Варто зазначити, що наявність хорошої підтримки клієнтів не є гарантованим способом визначити легітимність VPN. Деякі виробники фейкових VPN можуть навмисно залишати недоліки у своїх застосунках, щоб користувачі відчували потребу зв’язатися з ними. Тоді зловмисники можуть видавати себе за легітимних агентів підтримки, щоб змусити натиснути на фішингове посилання або поділитися особистою інформацією.

4. Базування в небезпечній юрисдикції

Юрисдикція VPN має величезний вплив на те, чи може він справді посилити цифрову приватність, оскільки різні організації, як-от національні розвідувальні агентства, можуть наказати компаніям передати чутливу інформацію користувачів. Вони навіть можуть видавати gag orders, які роблять незаконним для VPN інформувати своїх користувачів про те, що їх змушують логувати або ділитися даними.

Деякі юрисдикції, як-от Індія, роблять обов’язковим для VPN-компаній логування та передачу даних користувачів. Тому не рекомендується вибирати VPN у таких небезпечних для приватності локаціях. Найбезпечніші VPN йдуть ще далі та виводять свої фізичні сервери з таких країн, вибираючи натомість віртуальні сервери.

Країни в межах міжнародних альянсів обміну даними Five Eyes, Nine Eyes та 14 Eyes можуть ділитися даними між собою, тому юрисдикція VPN-компанії в одному з цих регіонів може викликати занепокоєння. Але, як пояснює Mullvad, має значення не лише те, чи входить країна базування VPN до альянсу обміну даними, оскільки закони конкретної країни щодо VPN-компаній також відіграють роль.

Наприклад, хоча Mullvad базується у Швеції, яка є країною 14 Eyes, у Швеції діють сильні закони про приватність, тобто Mullvad не зобов’язаний логувати дані користувачів. Тому навіть якщо влада прийде за чутливою інформацією, VPN не матиме що передавати. Це знову підкреслює важливість вибору VPN із сильною, перевіреною аудитом політикою приватності no-logs.

5. Відсутність сильного шифрування або основних функцій приватності

VPN без сильного шифрування — це як двері без замків. Майже всі високоякісні VPN використовують один із двох методів шифрування: AES-256 або ChaCha20. Обидва достатньо потужні, щоб захистити дані під час їх передачі через VPN-тунель, роблячи їх нечитабельними для сторонніх очей.

На додаток до протоколу шифрування, VPN також використовує мережевий (або інтернет) протокол. Хоча існує кілька VPN-протоколів, варто шукати VPN, який пропонує принаймні один із основних сучасних протоколів: WireGuard, OpenVPN або IKEv2/IPSec. Хоча кожен має свої переваги та недоліки — наприклад, OpenVPN трохи повільніший за WireGuard, але може пропонувати кращу безпеку — всі вони достатньо захищені, щоб забезпечити безпеку користувача.

Варто зазначити, що деякі VPN-компанії надають власні VPN-протоколи. Наприклад, NordVPN пропонує свої NordLynx і NordWhisper, Proton VPN має Stealth, а ExpressVPN включає Lightway. Доки VPN-протокол використовує сучасне шифрування та компанія пройшла аудит, все має бути в порядку.

Якщо VPN покладається на застарілі протоколи, такі як L2TP, SSTP або PPTP, які більше не вважаються безпечними, або якщо VPN прямо не вказує, які протоколи використовує, краще викреслити його зі списку розгляду.

Крім того, важливо переконатися, що VPN-провайдер має основні функції приватності, такі як kill switch і захист від DNS-витоків. Kill switch миттєво відключає від інтернету, якщо VPN-з’єднання випадково обривається, запобігаючи витоку інтернет-трафіку за межі VPN-тунелю. Захист від витоків, з іншого боку, допомагає приховати публічну IP-адресу, DNS-запити або IPv6-трафік від витоку за межі зашифрованого тунелю.

6. Нереалістичні обіцянки

VPN, безперечно, є інструментом для посилення приватності, але важливо розуміти його обмеження та не піддаватися на перебільшений маркетинг.

Наприклад, хоча VPN може захистити від окремих загроз, як-от атаки людина посередині (man-in-the-middle), він реалістично не може зупинити користувача від натискання на фішинг-посилання та введення чутливої інформації або захистити від шкідливого ПЗ. Деякі VPN-компанії пропонують пакети, які включають інші застосунки для кібербезпеки, як-от антивірус, менеджер паролів і захист від крадіжки особистих даних, але сам VPN — це інструмент приватності, а не безпековий застосунок.

Аналогічно, якщо VPN стверджує, що забезпечує повну анонімність у публічному Wi-Fi — або взагалі — це червоний прапорець. Хоча VPN у публічному Wi-Fi може приховати онлайн-активність і допомогти уникнути певних атак, він не повністю анонімізує користувача в інтернеті. Зловмисник у скомпрометованій точці доступу публічного Wi-Fi все ще може бачити, які сайти або застосунки використовуються. Крім того, використання VPN мало допомагає приховати ідентичність, якщо входити в сервіси як Google, Meta або банк, використовуючи справжні облікові дані — ці компанії все одно можуть відстежувати ідентичність на основі інших цифрових відбитків, навіть якщо публічна IP-адреса замаскована VPN.

Інші приклади надмірних, нереалістичних заяв включають гарантії розблокувати будь-яку стрімінгову платформу у світі, покращити швидкість інтернету в чотири рази або виявляти і захищати від будь-якого шкідливого ПЗ та трекерів. Якщо VPN спеціально не пропонує антивірусне програмне забезпечення та блокувальник трекерів, його заяви досягти цих результатів можуть бути червоним прапорцем.

7. Остерігайтеся безкоштовних VPN

Не всі безкоштовні VPN є сумнівними, але багато з них такі. Згідно з дослідженням, майже дві третини безкоштовних VPN ставлять дані користувачів під ризик. У 2025 році популярне безкоштовне VPN-розширення для Chrome було спіймане на шпигуванні за онлайн-активністю своїх користувачів.

Як і з будь-яким VPN, який розглядається, варто вивчити політику конфіденційності провайдера, щоб зрозуміти, як він стверджує, що обробляє дані. Загалом, якщо не платити гроші, можна платити, жертвуючи своїми даними, приватністю, безпекою або отримуючи бомбардування рекламою.

Також рекомендується ставити під сумнів наміри компанії щодо пропозиції безкоштовного продукту. Авторитетні провайдери розробляють свої безкоштовні VPN, щоб дати новим користувачам спробувати легітимний сервіс і справити на них достатнє враження для оновлення до платного плану — де вони фактично заробляють гроші. Саме тому навіть найкращі безкоштовні VPN часто не мають функцій, як-от одночасні підключення, можливість використовувати певні сервери та місячний bandwidth.

З іншого боку, якщо VPN не має платного плану для продажу, імовірно він логуватиме чутливу інформацію та онлайн-активність і продаватиме її третім сторонам, як-от брокери даних або рекламодавці. Зрештою, він має якось отримувати прибуток, і якщо немає плати за підписку — продуктом можете бути ви.

8. Погана продуктивність

Основна робота VPN — захищати приватність, але це не повинно відбуватися за рахунок онлайн-досвіду. Якщо VPN сповільнює роботу, навіть попри інвестиції в швидке домашнє інтернет-з’єднання, це може бути червоним прапорцем. Адже хороші VPN фактично здатні покращувати онлайн-швидкості. Вони маскують публічну IP-адресу і приховують онлайн-активність від інтернет-провайдерів, які іноді обмежують швидкість, особливо під час високобандвідтних активностей, як-от стрімінг або гейміng.

Окрім слабких можливостей маскування IP, погана продуктивність сумнівного VPN також може вказувати на низьку кількість серверів. На відміну від найшвидших VPN, фейкові VPN можуть не інвестувати в глобальну мережу серверів. Як результат, може не бути великого вибору IP-адрес, а також доведеться мати справу з перевантаженими серверами. У пікові години можна взагалі не змогти підключитися до сервера.

Проте деякі легітимні VPN є повільними і пропонують посередню продуктивність. Тому якщо VPN має погану продуктивність, потрібно провести додаткове дослідження та шукати інші ознаки, щоб визначити, чи він легітимний.

9. Підозрілі дозволи застосунку

Надмірні дозволи застосунку — це серйозний червоний прапорець, на який варто звернути увагу перед завантаженням. VPN-застосунок, який запитує доступ до інтернет-з’єднання, є цілком розумним, оскільки це абсолютно необхідно для його функціонування. Однак якщо він запитує доступ до фотографій або медіатеки, контактів, мікрофона, камери або інших чутливих даних — це може бути тривожним сигналом. Окрім логування онлайн-активності, фейкові VPN також можуть шпигувати за пристроєм, щоб вкрасти і продати кожен фрагмент особистої інформації, який тільки можуть.

Як захистити себе від сумнівних VPN

Вибір надійного VPN-сервісу вимагає ретельного підходу та критичного мислення. Експерти з кібербезпеки радять не покладатися виключно на відгуки в магазинах застосунків, оскільки багато з них можуть бути фальшивими або оплаченими. Натомість варто провести власне дослідження, перевіривши кілька незалежних джерел інформації про провайдера.

Перед встановленням VPN важливо з’ясувати, як довго компанія працює на ринку, де вона зареєстрована і хто стоїть за нею. Легітимні провайдери зазвичай прозоро діляться цією інформацією, оскільки часто базуються в країнах із сильними законами про захист даних. Відсутність таких відомостей має насторожити.

Також корисно перевірити, чи використовує VPN сучасні протоколи шифрування та чи проходив він незалежні аудити безпеки. Авторитетні компанії охоче публікують результати таких перевірок. Якщо провайдер обіцяє “військовий рівень шифрування” або “повну анонімність”, але не надає жодних доказів — це привід замислитися.Особливу обережність варто проявляти з безкоштовними VPN, особливо тими, що не мають чіткого платного плану або бізнес-моделі.

Пам’ятайте: якщо ви не платите за продукт, ймовірно продуктом є ваші дані. У сучасному цифровому світі, де приватність стає дедалі цінніша, інвестиція в надійний VPN-сервіс може бути розумним рішенням для захисту особистої інформації.

Ця стаття Як розпізнати шахрайський VPN: 9 тривожних сигналів раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Google оголосила масштабне оновлення системи захисту Android-пристроїв від крадіжки. Компанія представила нові інструменти та налаштування, які ускладнюють доступ злодіїв до викрадених смартфонів та їхніх даних. Оновлення, детально описане в офіційному блозі безпеки Google, доповнює існуючі механізми захисту Android більш потужними функціями та гнучкими опціями керування.

Що нового в Theft Protection

Інструменти захисту від крадіжки не завжди потрапляють до списків найбільш популярних функцій Android, але вони точно входять до найважливіших. Ось що змінилося.

Збільшення часу блокування в Failed Authentication Lock. Android тепер блокує пристрій на дедалі довший час, якщо ви кілька разів поспіль вводите неправильний PIN, пароль або графічний ключ. Мета функції — унеможливити підбір пароля методом грубої сили (brute-force). Google також додав захист від випадкових помилок: якщо ви кілька разів введете той самий пароль, це не заблокує пристрій.

Перемикач для Failed Authentication Lock. Оскільки збільшення часу блокування може дратувати в повсякденному використанні, Google додав перемикач, який дозволяє вимкнути цю функцію. Проте рекомендується залишити її увімкненою для максимального захисту.

Identity Check тепер працює з усіма додатками. Identity Check — це функція, яка вимагає біометричну автентифікацію (розблокування обличчям або відбитком пальця) при виконанні певних дій поза довіреними місцями. Раніше це стосувалося в основному налаштувань безпеки, але тепер Google розширив функцію на всі додатки, які використовують біометрію, включно з банківськими. Це додає захист, якщо до ваших додатків хтось отримає доступ у незвичному місці.

Додаткова перевірка безпеки в Remote Lock. Remote Lock дозволяє віддалено заблокувати пристрій через веб-браузер. Google додав опційне контрольне запитання, яке допоможе переконатися, що саме ви використовуєте цю функцію.

Нові стандартні налаштування. Google змінив, які функції Theft Protection увімкнені за замовчуванням. На нових пристроях, активованих у Бразилії, Theft Detection Lock і Remote Lock тепер працюють одразу після розпакування. Поки що ці зміни обмежені лише Бразилією — ймовірно, як тестування перед ширшим впровадженням.

Інші можливості Theft Protection

Окрім згаданих вище функцій, Theft Protection пропонує такі інструменти:

• Find Hub — центр, де ви можете побачити місцезнаходження пристрою на карті, відтворити звук, віддалено заблокувати або навіть скинути налаштування до заводських. Може знаходити пристрої навіть офлайн.
• Theft Detection Lock — використовує AI для виявлення, чи вихопив хтось телефон з вашої руки, і автоматично блокує його.
• Factory Reset Protection — вимагає облікові дані Google для налаштування телефону, якщо його скинули “неофіційними методами” (наприклад, через recovery mode). Це гарантує, що вкрадені пристрої не зможе використати ніхто інший.

Чому це важливо

Разом функції Theft Protection формують комплексний набір інструментів для захисту даних і відновлення доступу до викраденого пристрою. З останніми оновленнями цей захист став ще ефективнішим. Identity Check особливо корисний — він додає додатковий рівень безпеки саме там, де це найбільш критично: у банківських додатках та налаштуваннях безпеки.

Якщо ви ще не налаштували ці функції на своєму Android-пристрої, зараз найкращий час це зробити. Навіть якщо ви ніколи не втрачали телефон, превентивний захист коштує кількох хвилин налаштування.

Ця стаття Google посилює захист Android від крадіжки раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У світі, де кібератаки стають дедалі витонченішими, традиційні паролі вже не забезпечують достатнього захисту. Google пропонує апаратне рішення — Titan Security Key, фізичний ключ безпеки, який перетворює вхід до облікових записів на процес, що вимагає не лише знання пароля, а й фізичного володіння пристроєм.

Що таке Titan Security Key

Titan Security Key — це апаратний ключ безпеки, розроблений Google для захисту онлайн-облікових записів від фішингу та несанкціонованого доступу. На відміну від традиційних методів двофакторної автентифікації (SMS-коди або додатки-автентифікатори), фізичний ключ забезпечує криптографічний захист, який практично неможливо обійти дистанційно.

Ключ виготовлений з білого полікарбонату зі срібними акцентами, компактний і достатньо міцний, щоб носити його на звʼязці з іншими ключами. Пристрій не має рухомих частин, не потребує батарей чи підключення до мережі — це суто апаратний інструмент захисту.

Доступні моделі та ціноутворення

Google пропонує дві моделі Titan Security Key:

USB-A + NFC — $30
Підключається до стандартних USB-портів, підтримує NFC для безконтактного зʼєднання з мобільними пристроями. У комплекті йде перехідник USB-A на USB-C.

USB-C + NFC — $35
Призначений для сучасних пристроїв з портами USB-C, також підтримує NFC для мобільних пристроїв.

Обидві моделі функціонально ідентичні — різниця лише в типі роз’єму. Вибір залежить від того, які порти є на ваших пристроях.

Як працює захист

Технологія FIDO2

Titan Security Key підтримує стандарти FIDO2/WebAuthn та FIDO U2F — відкриті протоколи автентифікації, які забезпечують криптографічний захист. Коли ви намагаєтеся увійти до облікового запису, ключ перевіряє два параметри:

1. URL веб-сайту — підтверджує, що ви входите саме на легітимний сайт, а не на фішингову копію
2. Вашу ідентичність — через криптографічний підпис, який генерується безпосередньо на апаратному чіпі

Навіть якщо зловмисник вкраде ваш пароль або створить ідеальну копію сайту, без фізичного доступу до ключа вхід неможливий.

Апаратний чіп з мікропрограмою Google

Кожен Titan Security Key оснащений захищеним апаратним чіпом з мікропрограмою, розробленою Google. Цей чіп виконує критичні криптографічні операції та перевіряє цілісність ключа — підтверджує, що пристрій не піддавався фізичному втручанню. Мікропрограма вбудована в чіп ще на заводі та не може бути змінена після виробництва.

Підтримка технології passkey

Одна з ключових особливостей сучасних моделей Titan — можливість зберігати понад 250 унікальних passkey. Passkey — це наступний крок у безпеці автентифікації, технологія, яка дозволяє повністю відмовитися від паролів.

Замість того, щоб запам’ятовувати складні паролі для десятків сервісів, ви створюєте passkey, який зберігається на апаратному ключі. При вході до облікового запису ви вводите PIN-код, встановлений на ключі, і торкаєтесь золотого кружечка на пристрої. Ніяких паролів, ніяких SMS-кодів — лише фізичний ключ та простий PIN.

За оцінками експертів з безпеки, passkey представляють найбільш захищений метод автентифікації на ринку, оскільки поєднують криптографічну надійність з простотою використання.

Налаштування та використання

Реєстрація ключа

Процес налаштування Titan Security Key займає близько 10 хвилин:

1. Відвідайте сторінку налаштування на сайті Google
2. Увійдіть до свого облікового запису Google
3. Підключіть ключ до USB-порту
4. Дотримуйтесь покрокових інструкцій на екрані
5. Торкніться золотого кружечка на ключі для підтвердження

Після реєстрації ключ можна використовувати не лише для облікових записів Google, а й для будь-яких сервісів, що підтримують стандарти FIDO.

Робота з комп’ютером

При вході до облікового запису з нового пристрою або після очищення історії браузера система запитує пароль. Потім зʼявляється другий рівень захисту — запит вставити ключ у USB-порт і торкнутися сенсорного кружечка. Процес верифікації займає 5-10 секунд.

Важливо розуміти: ключ не є зчитувачем відбитків пальців. Будь-хто, хто має фізичний доступ до ключа, може натиснути кружечок. Тому критично важливо тримати ключ у безпечному місці та виймати його з комп’ютера після використання.

Робота з мобільними пристроями

Titan Security Key підтримує NFC, що дозволяє використовувати його з Android та iOS пристроями. Просто поставте ключ до задньої панелі смартфона для безконтактної автентифікації.

Сумісність:

• Android 9.0 і вище
• iOS 13.3 і вище
• Браузери Chrome, Firefox, Safari 14+

Для кого призначений Titan Security Key

Користувачі з високим ризиком

Google визначає кілька категорій користувачів, яким апаратні ключі безпеки особливо потрібні:

Журналісти — особливо ті, хто працює з чутливими матеріалами або розслідує теми, що можуть привернути увагу зловмисників

Активісти та правозахисники — люди, чиї облікові записи можуть стати мішенню для цілеспрямованих атак

Політичні діячі та працівники виборчих штабів — особи з доступом до конфіденційної політичної інформації

ІТ-адміністратори та бізнес-лідери — фахівці з доступом до критичної корпоративної інфраструктури

Google пропонує 100,000 ключів Titan безкоштовно щороку для користувачів з високим ризиком через партнерські програми з організаціями Access Now, Defending Digital Campaigns, Freedom House та іншими.

Звичайні користувачі

Навіть якщо ви не належите до категорії високого ризику, Titan Security Key може бути корисним, якщо:

• Ви інтенсивно користуєтесь Gmail, Google Docs, Google Sheets для роботи
• У вас є облікові записи з конфіденційною інформацією
• Ви хочете максимального захисту від фішингу
• Ви працюєте з клієнтськими даними або комерційною таємницею

Сумісність з сервісами

Titan Security Key працює з будь-якими сервісами, що підтримують стандарти FIDO. До них належать:

Сервіси Google: Gmail, Google Drive, Google Docs, Google Workspace, YouTube

Соціальні мережі: Twitter (X), Facebook, Instagram

Бізнес-платформи: Salesforce, GitHub, Stripe, Slack

Хмарні сховища: Dropbox, OneDrive

Фінансові сервіси: PayPal, Coinbase

Microsoft: облікові записи Microsoft (хоча є певні обмеження з MS Entra Passwordless)

Список сервісів постійно розширюється, оскільки все більше компаній впроваджують підтримку FIDO2.

Програма Advanced Protection Program

Google пропонує програму розширеного захисту (Advanced Protection Program) — найвищий рівень безпеки для облікових записів Google. Titan Security Key є ключовим компонентом цієї програми.

Що дає участь у Advanced Protection Program:

• Обов’язкове використання апаратних ключів безпеки
• Посилена перевірка додатків, що отримують доступ до даних
• Додаткові етапи верифікації при відновленні доступу до облікового запису
• Захист від завантаження шкідливих файлів через Gmail та Drive

Програма призначена для користувачів, які є потенційними цілями для цілеспрямованих кібератак.

Обмеження та недоліки

Відсутність управління passkey

Titan Security Key може зберігати понад 250 passkey, але не має вбудованого інструменту для управління ними. Після створення passkey його неможливо видалити з ключа. Незважаючи на великий обсяг памʼяті (250 passkey), це може стати проблемою для користувачів, які активно експериментують з різними сервісами.

Сумісність з браузерами

Для роботи з Google-сервісами Titan Security Key потребує браузера Google Chrome. Спроби використання в інших браузерах можуть призвести до обмеженої функціональності або помилок автентифікації.

Обмеження з Microsoft

Titan Security Key сертифікований FIDO 2.0, але може мати проблеми з деякими сервісами Microsoft, зокрема MS Entra Passwordless. Microsoft використовує власний процес верифікації FIDO2-ключів і не включає Titan до списку схвалених пристроїв. Адміністратори можуть обійти це обмеження, вимкнувши опцію “Enforce Attestation”.

Відсутність біометрії та OpenPGP

На відміну від деяких конкурентів (наприклад, YubiKey Bio), Titan Security Key не підтримує біометричну автентифікацію. Також ключ не працює з OpenPGP, що може бути важливим для користувачів, які потребують шифрування електронної пошти або підпису коду.

Залежність від фізичного ключа

Якщо ви втратите Titan Security Key, доступ до облікових записів може бути заблокований. Google рекомендує реєструвати два ключі (основний і резервний) та зберігати резервний ключ у безпечному місці.

Порівняння з конкурентами: Titan vs YubiKey

YubiKey від компанії Yubico — головний конкурент Titan Security Key. Нижче наведено детальне порівняння характеристик:

Рекомендації щодо вибору

Обирайте Google Titan Security Key, якщо:

• Ви активно користуєтесь сервісами Google (Gmail, Drive, Workspace)
• Вам потрібно зберігати багато passkey (понад 25)
• Ви хочете простий у використанні ключ за доступною ціною
• Вам не потрібні OpenPGP та розширені протоколи
• Ви шукаєте найкраще співвідношення ціна/функціональність для базового захисту

Обирайте YubiKey Security Key, якщо:

• Вам потрібен найдешевший варіант базового захисту
• Вам важлива водостійкість
• Ви працюєте переважно з Microsoft екосистемою
• Вам достатньо 25 passkey

Обирайте YubiKey 5 Series, якщо:

• Вам потрібна підтримка OpenPGP для шифрування пошти
• Ви працюєте з корпоративними системами з особливими вимогами
• Вам потрібні розширені можливості управління ключами
• Ви використовуєте Yubico Authenticator App
• Ви готові платити більше за додаткову функціональність та універсальність

Статистика та ефективність

Згідно зі звітом Verizon про безпеку, 41,6% витоків даних відбуваються через викрадені паролі, фішинг та видавання себе за інших осіб. Апаратні ключі безпеки ефективно усувають ці ризики.

Google повідомляє, що після впровадження апаратних ключів безпеки для своїх понад 70,000 співробітників:

• Не зафіксовано жодної успішної фішингової атаки на корпоративні облікові записи
• Значно скоротилася кількість спроб несанкціонованого доступу
• Підвищився загальний рівень кібербезпеки компанії

Практичні поради щодо використання

Купуйте два ключі

Завжди реєструйте два Titan Security Key — основний для щоденного використання та резервний на випадок втрати чи пошкодження основного. Зберігайте резервний ключ у безпечному місці вдома або в банківській скриньці.

Не залишайте ключ у комп’ютері

Після автентифікації виймайте ключ з USB-порту. Якщо ключ постійно підключений до комп’ютера, це нівелює переваги апаратного захисту — зловмисник з фізичним доступом до вашого робочого місця зможе використати ключ.

Комбінуйте з надійними паролями

Titan Security Key не замінює паролі повністю (хоча passkey рухаються в цьому напрямку). Продовжуйте використовувати унікальні, складні паролі для кожного сервісу, зберігаючи їх у менеджері паролів.

Тестуйте перед повним впровадженням

Перед тим, як зробити Titan Security Key єдиним методом автентифікації, протестуйте його на менш критичних облікових записах. Переконайтеся, що розумієте процес відновлення доступу у разі втрати ключа.

Висновок: чи варто купувати

Google Titan Security Key — надійний апаратний інструмент захисту для тих, хто серйозно ставиться до кібербезпеки. За ціною $30-35 ви отримуєте військового рівня захист від фішингу, можливість зберігати 250+ passkey та впевненість, що навіть викрадення пароля не призведе до компрометації облікових записів.

Продукт ідеально підходить для журналістів, активістів, політичних діячів, ІТ-адміністраторів та всіх, хто працює з конфіденційною інформацією. Але навіть звичайні користувачі, які цінують безпеку, знайдуть Titan Security Key корисним інструментом.

Головні недоліки — відсутність управління passkey, обмежена сумісність з деякими корпоративними системами та необхідність мати резервний ключ — це порівняно невеликі компроміси за такий рівень захисту.

Якщо ви інтенсивно користуєтесь Gmail, Google Docs та іншими сервісами Google, Titan Security Key стане природним вибором. Для користувачів з більш різноманітною екосистемою сервісів або потребою в розширених протоколах, таких як OpenPGP, варто розглянути альтернативи, зокрема YubiKey 5 Series.

Підсумкова оцінка:

Для користувачів Google екосистеми: 9/10
Для універсального використання: 7/10
Співвідношення ціна/якість: 9/10

Titan Security Key доступний для покупки через Google Store у США, Канаді, країнах ЄС, Великій Британії, Японії та Швейцарії. Оптові замовлення доступні через дистриб’ютора SYNNEX.

Ця стаття Titan Security Key: як працює апаратний ключ безпеки від Google раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Менеджер паролів 1Password представила нову функцію захисту від фішингових атак, які стали більш небезпечними завдяки штучному інтелекту. Згідно з дослідженням компанії, 89% користувачів зіткнулися з фішингом, а 61% вже стали жертвами шахраїв.

Компанія 1Password — 22 січня 2026 року розпочала впровадження функції попередження про фішинг, яка діє як “друга пара очей” і зупиняє користувачів до того, як вони передадуть свої паролі шахраям.

Як працює новий захист

Раніше 1Password не заповнював автоматично облікові дані, якщо URL-адреса не відповідала збереженому входу. Однак користувачі могли вручну скопіювати та вставити паролі на підроблені сайти, не розуміючи, чому автозаповнення не спрацювало.

Нова функція додає додатковий рівень захисту. Коли користувач намагається вставити свої облікові дані на підозрілий сайт, розширення 1Password для браузера показує спливаюче попередження з текстом: “Цей вебсайт, на якому ви перебуваєте, не пов’язаний із записом входу в 1Password. Перш ніж продовжити, переконайтеся, що ви довіряєте цьому сайту.”.

Це змушує зупинитися та перевірити ознаки підозрілого сайту: дивний URL (наприклад, paypa1.com замість paypal.com), зображення низької якості, помилки в назві компанії або незвичні способи оплати.

ШІ робить фішинг більш переконливим

Фішинг існує десятиліттями, але штучний інтелект допомагає зловмисникам проводити більш правдоподібні атаки у великих обсягах. Раніше люди розпізнавали фішингові спроби за друкарськими помилками та неякісним дизайном, але завдяки ШІ шахраю потрібно лише кілька хвилин, щоб створити бездоганний фішинговий email або вебсайт.

За даними опитування 1Password, 62% користувачів стикалися з ШІ-шахрайством, а 66% помітили збільшення кількості шахрайств з моменту зростання ШІ. При цьому лише 25% користувачів наводять курсор на посилання перед кліком, щоб перевірити URL-адресу.

Як користувачі стають жертвами фішингу

Дослідження 1Password виявило найпоширеніші канали фішингових атак:

• Персональна електронна пошта — 45%
• SMS-повідомлення — 41%
• Соціальні мережі — 38%
• Телефонні дзвінки — 28%
• Онлайн-реклама або результати пошуку — 26%

Цікаво, що існує розрив між тим, де люди повідомляють про підозрілі спроби фішингу, і де вони реально стають жертвами. Наприклад, 49% отримували підозрілі телефонні дзвінки, але лише 28% повелися на них. Натомість у соціальних мережах ситуація протилежна: лише 37% помічають спроби атак, але 38% жертв були обмануті саме там.

Найефективніші фішингові приманки створюють емоційну та фінансову терміновість: спеціальні знижки (41%), відстеження доставки (31%), пропозиції роботи (25%), фінансові питання (23%) та юридичні проблеми (17%).

Як увімкнути захист від фішингу

Для індивідуальних та сімейних користувачів функція буде активована автоматично після розгортання. Якщо потрібно увімкнути її вручну, перейдіть у розділ Settings > Notifications в розширенні 1Password для браузера та активуйте опцію “Warn about pasted logins on non-linked websites”.

Адміністратори 1Password зможуть увімкнути функцію для співробітників через політики автентифікації в адміністративній консолі.

Відповідальність за безпеку — справа кожного

Працівники, які вважають, що зупинити фішинг — це виключно робота IT-відділу, на 58% частіше стають жертвами атак. При цьому 78% співробітників знають, що повинні повідомляти про фішинг IT-відділу, але більше половини (56%) замість цього просто видаляють підозрілі повідомлення.

Дейв Льюїс, глобальний дорадчий CISO 1Password, підкреслює: “Випередження фішингових атак — це питання комунікації, саме вона руйнує план шахрая. Найважливіше, що може зробити співробітник, отримавши підозріле повідомлення — розповісти комусь. Багато атак можна було б запобігти, просто звернувшись до колеги з питанням: ‘Це виглядає нормально?'”

Комплексний підхід до кібербезпеки

Хоча функція 1Password не є універсальним рішенням для автоматичного блокування фішингових спроб, вона корисна там, де соціальну інженерію складно блокувати автоматично. На відміну від антивірусного ПЗ, яке можна оновити для виявлення нового шкідливого ПЗ, виявлення шахрайських сайтів складніше — створити фішинговий сайт набагато швидше, ніж розробити нове шкідливе ПЗ.

Експерти радять використовувати багаторівневий підхід до кібербезпеки: антивірусне ПЗ, менеджер паролів та VPN. Також варто розглянути перехід з паролів на passkeys для додаткового рівня захисту.

Ця стаття 1Password додав захист від фишингу: як працює нова функція раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Reddit запровадив нові інструменти контролю приватності, які дозволяють користувачам обирати, яка інформація з їхнього профілю буде доступна стороннім. Тепер ви можете приховати історію публікацій, коментарів та активність у певних спільнотах від тих, хто переглядає ваш публічний профіль.

Профіль Reddit за замовчуванням показує багато інформації: час перебування на платформі, активні subreddit’и, всі ваші пости та коментарі в зворотному хронологічному порядку. З новими параметрами кастомізації ви отримуєте контроль над тим, що саме бачитимуть інші користувачі.

Де знайти налаштування приватності

У веб-версії Reddit клацніть на аватар профілю у верхньому правому куті, потім оберіть Переглянути профіль. Ви побачите зверху розділи Дописи, Коментарі, Історія тощо, які відображають вашу активність. Щоб внести зміни у видимість профілю, натисніть одну з кнопок Оновити праворуч.

Розділи Профіль та Аватар дозволяють налаштувати відображуване ім’я, зображення профілю, соціальні посилання та параметри сповіщень. Натисніть на вкладку Конфіденційність, щоб контролювати видимість профілю: ви можете приховати профіль із результатів пошуку, обрати, чи можуть люди відстежувати вашу активність, та контролювати, хто надсилає вам запити на чат.

Щоб отримати доступ до нових налаштувань, натисніть Оновити поруч із Оформте свій профіль на сторінці профілю або перейдіть на вкладку Профіль у головному меню налаштувань і прокрутіть до розділу Оформте свій профіль. Зверніть увагу: ці параметри впливають лише на видимість у профілі, а не на самі пости та коментарі.

У мобільному застосунку Reddit для Android або iOS натисніть аватар профілю у верхньому правому куті, потім оберіть Оформте свій профіль для доступу до нових опцій або Налаштування для всіх аспектів вашого акаунта.

Як налаштувати свій профіль

У налаштуваннях кастомізації є два перемикачі. Перший — 18+: якщо увімкнено, приховує весь контент для дорослих з вашого профілю, включаючи ваші пости та коментарі у subreddit’ах, позначених як NSFW (not suitable for work). Це не стосується переглянутих вами NSFW-спільнот — така інформація не відображається у профілі.

Другий перемикач — Читачі: визначає, чи бачитимуть відвідувачі вашого профілю кількість ваших підписників та їхні імена. Хоча це не найчутливіша інформація, ви можете не хотіти демонструвати свою популярність або її відсутність.

Поруч із Контент й активність є випадаюче меню Показати всі з трьома опціями: “Показати всі” (поточне за замовчуванням — вся активність видима), “Приховати всі” (жодна активність не відображається у профілі) та “Налаштувати” (детальний контроль над тим, що показано).

Опції “Показати всі” та “Приховати всі” не потребують додаткового налаштування. Якщо оберете “Налаштувати”, відкриється діалогове вікно зі списком усіх subreddit’ів, де ви були активні. За допомогою прапорців праворуч можна показати або приховати активність з цих спільнот у вашому профілі. Це працює по принципу «все або нічого» для кожної спільноти — ви не можете контролювати окремі пости чи коментарі.

Ви бачитимете лише subreddit’и, де публікували пости або залишали коментарі. Пости та спільноти, які ви лише переглядали, не відображаються у профілі. Ви можете повертатися та змінювати ці налаштування будь-коли, залежно від того, чи хочете, щоб інші бачили вашу активність у певних спільнотах.

Ця стаття Як налаштувати приватність публічного профілю Reddit раніше була опублікована на сайті CyberCalm, її автор — ai_publisher

Перевірте свій чат “Збережене”, якщо ви зберігаєте там конфіденційні дані (паролі, особисті нотатки, фото), можливо час очистити всю його історію, поки нею не заволоділи кіберзлочинці.

Що таке функція “Збережене” в Telegram?

“Збережене” — це ваша особиста папка хмарного сховища в Telegram, де ви можете створювати закладки, зберігати та додавати цікавий вміст чи ідеї.

Наприклад, ви можете зробити наступне:

• Зберігати будь-які текстові повідомлення, смайли, зображення, відео чи аудіо з розмов у чаті Telegram.
• Написати будь-які особисті нотатки або списки справ.
• Зберігати файли для майбутнього використання (наприклад, для надсилання іншим), завантажуючи з максимальним обмеженням у 2 ГБ.
• Зберігати URL-посилання або контактну інформацію.

Ви також можете розглядати “Збережене” як форму хмарної синхронізованої закладки для зберігання файлів, встановлення нагадувань і написання нотаток.

Усі повідомлення, які пересилаються сюди, завжди посилаються безпосередньо на їхні оригінальні чати для легшого використання.

Читайте також

Понад 100 шкідливих розширень Chrome крадуть акаунти Google та Telegram

Росія звинуватила колишнього журналіста Радіо Свобода у сприянні кібератакам на користь України

ФБР: іранські хакери використовують Telegram для атак на журналістів і дисидентів

Чи безпечні безкоштовні VPN: експерти пояснили реальну ціну

Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ

Чому треба слідкувати за тим, що саме ви зберігаєте?

Цим чатом люди часто користуються як для листування з самим собою, так і для зберігання там важливих і конфіденційних відомостей, зокрема паролів, особистих фото тощо. Саме тому “Збережене” є найпершою мішенню при зломі вашого акаунту в Telegram. Також, часто “Збережене” у Telegram використовується в шахрайських схемах. Тож, треба бути дуже обережним, якщо ви відправляєте в цей чат щось, що зовсім не треба бачити будь-кому окрім вас.

Як видалити повідомлення зі “Збереженого”?

Ви можете видали будь-яке окреме повідомлення таким самим способом, як ви видаляєте повідомлення в інших чатах. А саме: натиснути та утримувати повідомлення доки не з’явиться меню, в якому є  опція “Видалити”.

Якщо ж ви бажаєте повністю очистити “Збережене”, вам треба зробити наступні кроки:

1. Свайпніть вліво на “”Збережене” у списку всіх чатів.
2. Натисніть у меню, що відкрилося “Очистити історію”.
3. Підтвердіть видалення всіх повіломлень в цьому чаті.

Перегляньте інструкцію на відео:

Це все! Ваш чат “Збережене” очищено. Не забудьте перед очищенням перенести в надійне сховище вашу конфіденційну інформацію, якщо вам треба її зберегти.

Ця стаття Як очистити “Збережене” у Telegram раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Протягом останнього десятиліття десятки журналістів та правозахисників у всьому світі стали жертвами урядового кібершпигунства. Спецслужби Ефіопії, Греції, Угорщини, Індії, Мексики, Польщі, Саудівської Аравії та ОАЕ використовували шпигунське програмне забезпечення для компрометації телефонів активістів, деякі з яких згодом зазнали насильства, залякування, а в екстремальних випадках навіть вбивства.

Технологічні компанії дедалі активніше попереджають користувачів про те, що вони стали мішенями державних хакерів, особливо тих, хто використовує spyware від компаній Intellexa, NSO Group та Paragon Solutions. Але після відправки сповіщення ці компанії усувають руки, лише направляючи користувачів до тих, хто може допомогти.

Сприймайте попередження серйозно

Якщо ви отримали сповіщення про те, що стали мішенню державних хакерів, не ігноруйте його. Apple, Google та WhatsApp мають величезні обсяги телеметричних даних про своїх користувачів, їхні пристрої та онлайн-акаунти. Команди безпеки цих компаній роками полюють, вивчають та аналізують подібні зловмисні дії.

Важливо розуміти: у випадку Apple та WhatsApp отримання сповіщення не обов’язково означає успішний злом. Можливо, спроба провалилася, але компанії все одно повідомляють про неї. У випадку Google найімовірніше компанія заблокувала атаку і рекомендує увімкнути багатофакторну автентифікацію, в ідеалі фізичний ключ безпеки або passkey, а також активувати Advanced Protection Program для додаткових рівнів захисту облікового запису.

Для користувачів Apple критично важливо увімкнути Режим карантину, який активує низку функцій безпеки, що значно ускладнюють атаки. Apple стверджує, що жодного разу не зафіксувала успішного злому користувача з увімкненим Режимом карантину, хоча жодна система не є ідеальною.

П’ять базових правил захисту

Мохаммед Аль-Маскаті, директор Digital Security Helpline від Access Now, глобальної команди експертів безпеки, що працює цілодобово та розслідує випадки використання шпигунського ПЗ проти представників громадянського суспільства, рекомендує:

Тримати операційні системи та додатки на пристроях постійно оновленими. Увімкнути Режим карантину від Apple та Advanced Protection для облікових записів Google і пристроїв Android. Бути обережними з підозрілими посиланнями та вкладеннями. Регулярно перезавантажувати телефон. Звертати увагу на зміни в роботі пристрою.

Цілодобова служба допомоги для жертв кібершпигунства

У боротьбі за захист високоризикових спільнот ключову роль відіграє команда з дюжини експертів із цифрової безпеки. Вони працюють у Digital Security Helpline, підрозділі некомерційної організації Access Now, розташованої в Нью-Йорку. Їхня місія полягає в тому, щоб бути командою, до якої можуть звернутися журналісти, правозахисники та дисиденти, якщо підозрюють компрометацію за допомогою комерційного spyware.

За словами Білла Марчака, старшого дослідника Citizen Lab Університету Торонто, який досліджує шпигунське ПЗ протягом майже 15 років, Digital Security Helpline від Access Now є ресурсом першої лінії для журналістів та інших осіб, які могли стати мішенню або жертвою такого програмного забезпечення.

Коли Apple надсилає користувачам сповіщення про загрозу, попереджаючи про атаку комерційного spyware, технологічний гігант направляє жертв саме до слідчих Access Now.

Тисяча випадків на рік

Хассен Сельмі, керівник команди реагування на інциденти в Helpline, та його колеги зараз розглядають близько тисячі випадків підозрюваних урядових атак spyware на рік. Приблизно половина з них переростає в справжні розслідування, і лише близько 5 відсотків, приблизно 25 випадків, завершуються підтвердженням зараження шпигунським ПЗ.

Коли Сельмі почав цю роботу в 2014 році, Access Now розслідувала лише близько 20 випадків підозрюваних атак на місяць. Тоді в кожному часовому поясі працювало три-чотири людини в Коста-Ріці, Манілі та Тунісі, локаціях, які дозволяли мати когось онлайн протягом усього дня. Команда не набагато більша зараз: у Helpline працює менше 15 людей.

Зростання кількості випадків пов’язане з кількома обставинами. По-перше, Helpline стала більш відомою. По-друге, урядове шпигунське ПЗ стало глобальним і доступнішим, що потенційно призводить до більшої кількості випадків зловживань. Нарешті, команда провела більше інформаційної роботи серед потенційних цільових груп.

Як працює розслідування

Коли хтось зв’язується з Helpline, слідчі спочатку підтверджують отримання звернення, потім перевіряють, чи відповідає особа мандату організації, тобто чи є вона частиною громадянського суспільства, а не, наприклад, бізнес-керівником чи законодавцем.

Після початкової оцінки слідчі ставлять запитання: чому людина вважає, що стала мішенню, який пристрій вона використовує. Зазвичай спочатку проводиться первинна перевірка через діагностичний звіт, який можна створити на пристрої та надіслати розслідувачам віддалено. На цьому етапі не потрібно передавати пристрій комусь. Ця перевірка може виявити ознаки атаки або навіть зараження, але може й нічого не показати.

Після обмеженої віддаленої перевірки пристрою через інтернет слідчі можуть попросити надіслати більше даних, наприклад, повну резервну копію пристрою або навіть сам пристрій для ретельнішого аналізу.

Для кожного відомого типу експлойту, який використовувався протягом останніх п’яти років, у команди є процес перевірки. Фахівці Helpline, які управляють комунікацією і часто розмовляють мовою жертви, також дають поради щодо дій: чи варто отримати інший пристрій або вжити інших запобіжних заходів.

Розслідування може зайняти час, оскільки сучасне державне шпигунське ПЗ намагається приховати та видалити свої сліди. Сельмі пояснює: сучасна стратегія spyware полягає в тому, щоб швидко вкрасти дані і зникнути. Після зараження пристрою програмне забезпечення краде якомога більше інформації, після чого намагається видалити всі сліди та деінсталюватися. На жаль, це означає, що сучасне шпигунське ПЗ може не залишити жодних слідів.

Інструменти для самостійної перевірки

Існують opensource інструменти, які будь-хто може використовувати для виявлення підозрілих атак spyware на своїх пристроях, хоча це вимагає певних технічних знань. Наприклад, Mobile Verification Toolkit (MVT) дозволяє шукати forensic сліди атаки самостійно.

Куди ще можна звернутися по допомогу

Якщо ви журналіст, дисидент, науковець або правозахисник, є організації, які можуть допомогти. Крім Digital Security Helpline від Access Now, можна звернутися до Amnesty International, яка має власну команду розслідувачів, або до The Citizen Lab, групи цифрових прав при Університеті Торонто, що розслідує зловживання spyware майже 15 років. Для журналістів також доступна допомога від Reporters Without Borders, яка має власну лабораторію цифрової безпеки.

Політики та бізнес-керівники, які не входять до цих категорій, матимуть звернутися до приватних компаній, що спеціалізуються на розслідуванні таких випадків: iVerify створює додаток для Android та iOS з опцією глибокого forensic розслідування; Safety Sync Group, стартап відомого експерта з безпеки Метта Мітчелла, допомагає вразливим групам захищатися від спостереження; Hexordia, стартап forensic дослідниці Джессіки Гайд; Lookout, компанія з мобільної кібербезпеки з досвідом аналізу державного spyware з усього світу.

Глобальна мережа підтримки CiviCERT

Кожен випадок, який розглядає організація, унікальний. Helpline також підтримує подібні команди розслідувачів у деяких регіонах світу, ділячись документацією, знаннями та інструментами в рамках коаліції CiviCERT, глобальної мережі організацій, які можуть допомогти членам громадянського суспільства, що підозрюють атаку шпигунського ПЗ.

Незалежно від того, де знаходяться жертви, вони мають людей, з якими можуть поговорити та до яких можуть звертатися. Те, що ці люди розмовляють їхньою мовою та знають їхній контекст, дуже допомагає.

Ця стаття Що робити, якщо вас атакували державні хакери: повний гайд із захисту від урядового кібершпигунства раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Зловмисне програмне забезпечення атакує файли користувачів. Шахраї полюють на особисті дані. Експерти з кібербезпеки пояснюють, який із цих інструментів захисту варто придбати першим.

Еволюція загроз: від вірусів до крадіжки даних

Колись типовий комп’ютерний вірус міг призвести до збою системи або знищити кілька файлів — на цьому його можливості вичерпувалися. Ті часи безповоротно минули: ландшафт кібератак еволюціонував від простого пошкодження комп’ютерів до збору особистих даних. Справжня мета зловмисників сьогодні — змусити користувачів добровільно передати доступ до свого цифрового життя.

Комп’ютерний вірус являє собою специфічний тип зловмисного програмного забезпечення, здатний до саморепродукції та поширення між пристроями. Наслідки зараження вірусом варіюються від пошкодження даних та програмного забезпечення до блокування особистої інформації з метою викупу.

Зловмисники усвідомили, що люди є легшими цілями порівняно з технічними системами. Тому, хоча віруси все ще існують, зловмисне програмне забезпечення та атаки соціальної інженерії становлять значно серйознішу загрозу. Вчасно надісланий фішинговий електронний лист або підроблена сторінка входу принесуть зловмисникам набагато більше, ніж будь-який традиційний вірус.

Завдяки безперервній хвилі витоків даних кіберзлочинцям навіть не потрібно докладати значних зусиль — номери телефонів, паролі, фінансові дані та інша особиста інформація потенційно циркулюють у базах даних, про які користувачі навіть не здогадуються, купуючись та продаючись як масовий товар у даркнеті. Штучний інтелект лише полегшив експлуатацію цієї проблеми. Шахраї тепер можуть генерувати переконливі повідомлення, що імітують стиль письма конкретної людини, та навіть підробляти голос.

Особиста інформація не залишається лише на комп’ютері користувача — вона збирається та продається рекламодавцями, брокерами даних та будь-ким іншим, хто може на цьому заробити. Рекламодавці та брокери даних не є злочинцями за замовчуванням, але вони збільшують поверхню атаки, оскільки самі стають цінними мішенями для витоків та зломів. І коли особисті дані потрапляють у відкритий доступ, вони можуть опинитися де завгодно, включно з руками зловмисників.

Антивірус: захист пристрою від зловмисного ПЗ

Антивірусне програмне забезпечення захищає пристрій від зловмисного програмного забезпечення, зокрема вірусів, яким не місце у системі. Зазвичай користувачі отримують захист у режимі реального часу, а також можливість запускати ручне та автоматизоване сканування.

Хоча безкоштовний антивірусний захист у Windows — Microsoft Defender — здебільшого зосереджений на протидії зловмисному програмному забезпеченню, багато безкоштовних та платних сторонніх рішень включають ширший спектр функцій безпеки. Більшість якісного антивірусного програмного забезпечення намагається утримати користувачів від очевидних пасток. Часто наявні детектори шахрайства, блокувальники реклами та блокувальники шкідливих сайтів. Інструменти захисту від фішингу також ефективно уберігають від потенційних загроз.

Однак існує чітке обмеження можливостей антивірусу: він не має уявлення про те, що відбувається з кредитною історією або банківським рахунком користувача. Також він не знає, що трапляється з особистою інформацією після того, як вона покидає пристрій. Якщо хтось відкриває кредитну картку на чуже ім’я або дані з’являються у даркнеті, антивірусне рішення цього не побачить. Завдання антивірусу — захищати машину, а не людину, яка нею користується.

Захист особистих даних: моніторинг витоків та шахрайства

Захист від крадіжки особистих даних не переймається станом ноутбука користувача. Ці сервіси стежать за фрагментами інформації, які супроводжують людину всюди: номером соціального страхування, адресами електронної пошти, номером телефону та обліковими записами, пов’язаними з фінансовим життям. Якщо щось з’являється там, де не повинно, сервіс надсилає попередження.

Сервіси захисту від крадіжки особистих даних також можуть відстежувати кредитні звіти на предмет підозрілої активності. Якщо з’являється ретельна перевірка кредитоспроможності, новий обліковий запис, який користувач ніколи не відкривав, або раптове зниження кредитного рейтингу, якісний сервіс захисту надішле сповіщення. Це корисно, оскільки такі події є ранніми попереджувальними ознаками крадіжки особистих даних — і швидке виявлення має критичне значення.

Дані можуть опинитися у даркнеті або у довгому списку на сайті брокера даних, тому значна частина роботи відбувається у місцях, невидимих для звичайного користувача. Більшість сервісів захисту від крадіжки особистих даних сканують ці куточки інтернету, щоб перевірити, чи не потрапила інформація користувача до останніх витоків.

Коли щось виглядає підозріло, користувач отримує сповіщення та чіткі інструкції щодо подальших дій. Якщо ситуація стає критичною, найкращі плани захисту залучають спеціалістів, які допомагають усунути наслідки — так зване “біле” відновлення (white glove restoration). Це може включати розплутування шахрайських облікових записів, відновлення кредитної історії та подолання наслідків використання чужого імені іншою особою.

Деякі антивірусні рішення також пропонують функції захисту особистих даних — зокрема McAfee, Bitdefender, Norton та Malwarebytes. Це може бути зручним варіантом для комплексного захисту.

Як обрати першочергову покупку

Багато користувачів помилково вважають цифрову безпеку однорідною категорією та припускають, що антивірусне програмне забезпечення та захист особистих даних виконують однакові функції. Насправді ці інструменти вирішують принципово різні проблеми, і визначення пріоритетних витрат вимагає чесної оцінки того, яка саме загроза найімовірніша у конкретній ситуації.

Правильна відправна точка справді залежить від того, з яким типом проблем користувач найімовірніше зіткнеться. Антивірус — це охоронець біля апаратного забезпечення, тоді як безпека особистих даних працює на більш широкому полі. Антивірус функціонує всередині пристрою, а інструменти захисту від крадіжки особистих даних оперують у ширшому світі — відстежують витоки, кредитні звіти та даркнет.

Антивірус є пріоритетом, якщо ви:

• Активно завантажуєте файли з інтернету
• Використовуєте пристрої на Windows (які традиційно є основною мішенню для malware)
• Відкриваєте вкладення електронної пошти від невідомих відправників
• Працюєте або навчаєтесь онлайн і зберігаєте важливі файли локально
• Не завжди розрізняєте легітимні та фішингові веб-сайти

Захист від крадіжки особистих даних важливіший, якщо ви:

• Маєте значну кредитну історію та фінансові активи
• Регулярно здійснюєте онлайн-покупки на різних платформах
• Ваші дані вже потрапляли у витоки (можна перевірити на сайтах моніторингу витоків)
• Використовуєте соціальні мережі з реальними особистими даними
• Підозрюєте, що хтось може мати доступ до вашої особистої інформації

Для більшості користувачів антивірусний захист повинен бути першим пріоритетом. Причина проста: він захищає точку входу. Якщо malware потрапить на пристрій, воно може викрасти паролі, фінансову інформацію та особисті дані безпосередньо — і жоден сервіс моніторингу особистих даних не зупинить цю атаку в реальному часі.

Хороша новина: базовий антивірусний захист часто є безкоштовним або недорогим. Windows має вбудований Microsoft Defender, який забезпечує солідний базовий захист. Для Mac загроза malware менша, але не нульова, особливо з ростом популярності платформи.

Захист від крадіжки особистих даних варто розглядати як другий рівень безпеки, особливо якщо ви вже маєте надійний антивірусний захист, активно користуєтесь онлайн-банкінгом та електронною комерцією, або можете дозволити собі додаткові витрати на безпеку.

Якщо користувач вже став жертвою крадіжки особистих даних, вибір простіший: захист особистих даних має пріоритет. Він надає сповіщення, рекомендації та підтримку відновлення, які антивірус ніколи не зможе забезпечити.

Ідеальний підхід — це багаторівнева стратегія безпеки, яка включає обидва типи захисту. Обидва інструменти важливі, але працюють у різних площинах.

Безкоштовні заходи безпеки без підписки

Якщо бюджет обмежений, не потрібна платна підписка, щоб ускладнити завдання зловмисникам. Існує багато безкоштовних кроків, які підвищують планку для будь-кого, хто шукає легку ціль, і більшість із них зводяться до посилення існуючих звичок.

Базові заходи захисту:

• Використовувати надійні унікальні паролі для кожного облікового запису
• Вмикати двофакторну автентифікацію, коли вона доступна
• Підтримувати операційну систему, браузер та програми оновленими
• Активувати сповіщення банку та карток про незвичайну активність
• Ділитися меншою кількістю особистої інформації онлайн
• Періодично перевіряти кредитні звіти на наявність невідомих облікових записів
• Переглядати програми на телефоні та видаляти ті, які більше не використовуються
• Уникати входу до конфіденційних облікових записів через публічний Wi-Fi
• Не дозволяти браузеру запам’ятовувати інформацію про кредитну картку
• Створювати резервні копії важливих файлів для відновлення у разі проблем

Жоден із цих заходів не виглядає ефектно, але вони змінюють шанси на користь користувача. Зловмисники шукають легкі цілі, тому чим більше перешкод створено, тим вища ймовірність, що вони перейдуть до іншої жертви.

Пам’ятайте: Найкраща стратегія кібербезпеки поєднує технологічні рішення з усвідомленістю загроз та здоровим скептицизмом щодо цифрових взаємодій.

Ця стаття Захист від крадіжки особистих даних чи антивірус: на що витратити гроші в першу чергу раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Наприкінці року варто знайти час, щоб модернізувати спосіб входу в ваші найважливіші облікові записи. Ключі допуску (passkeys) тихо впроваджуються в банках, технологічних платформах та повсякденних додатках — і вони вирішують базову проблему безпеки, яка існувала у паролів десятиліттями. Їх неможливо вгадати, викрасти через фішинг або отримати під час витоку даних, оскільки вони взагалі не залишають ваш пристрій.

Що таке ключі допуску простими словами

Ключі допуску звучать як черговий технічний термін, який ви начебто маєте розуміти, але ідея досить проста, коли прибрати жаргон. Замість того, щоб вводити пароль, у вас є пара цифрових ключів, які мають збігатися для входу: публічний ключ сервісу та ваш секретний ключ. Ваш пристрій — телефон або ноутбук — використовує вбудований криптографічний ключ, щоб підтвердити вашу особу. Ви розблокуєте його обличчям, відбитком пальця або ПІН-кодом. Більше не потрібно нічого вводити чи згадувати.

Ваш приватний ключ залишається на пристрої і нікуди не передається. Сервіс зберігає тільки публічний ключ, який не можна перетворити на вхід у систему. Якщо сайт зламають, зловмисники отримають купу публічних ключів, які нічого не відкривають. Звична паніка через викрадені паролі тут просто не працює.

Ключі допуску вже працюють на iOS, Android, Windows, macOS та у всіх основних браузерах. Вони також синхронізуються через програму «Паролі» Apple, менеджер паролів Google, облікові записи Microsoft та сторонні менеджери паролів на кшталт 1Password  чи Bitwarden, тож ви можете використовувати їх на всіх своїх пристроях без додаткового налаштування. Вони також за замовчуванням блокують фішингові атаки. Ключ допуску працює лише на легітимному сайті чи в додатку, для якого його створено. Якщо ви потрапите на фейкову сторінку входу, пристрій взагалі не запропонує ключ допуску.

Почніть з акаунтів, що захищають ваші гроші

Ваші фінансові облікові записи мають бути першими в черзі на оновлення ключами допуску до Нового року. Ці входи переміщують гроші, схвалюють перекази і відкривають доступ до акаунтів, до яких ви точно не хочете, щоб хтось інший мав доступ. Якщо ви нічого більше не оновите до Нового року — оновіть принаймні це.

Багато фінансових установ вже переходять на ключі допуску або автентифікацію FIDO, навіть якщо особливо про це не рекламують. Mastercard та системи на кшталт BankID показали, що фінансові сервіси можуть перейти на сильнішу, стійку до фішингу автентифікацію у фоновому режимі, не вимагаючи від користувачів нічого нового вчити.

Банківські та інвестиційні додатки, що підтримують ключі допуску, зазвичай розміщують цю опцію в налаштуваннях безпеки або входу. Шукайте пункти з позначками «ключі допуску», «вхід через пристрій», «ключ безпеки FIDO» тощо. Коли додаток запропонує створити ключ допуску, виконайте кроки і підтвердіть через розпізнавання обличчя, відбиток пальця або ПІН-код. Зауважте, що ще не всі надають цю послугу — але більшість вже так.

Основна різниця полягає в тому, що ключ допуску використовує пару криптографічних ключів, а біометричні дані використовуються для верифікації особи. Хоча ви можете розблокувати ключ допуску за допомогою біометричних даних.

Захистіть основний email та платформні акаунти

Ваш основний email та облікові записи Apple, Google і Microsoft також заслуговують уваги якнайшвидше. Хто отримає доступ до них, зможе скинути половину вашого цифрового життя без особливих зусиль. Якщо ви формуєте першу хвилю акаунтів для захисту після фінансових — це саме ті, з яких потрібно почати.

Google вже розглядає ключі допуску як стандартний шлях для персональних акаунтів. Відкрийте налаштування облікового запису Google, виберіть розділ «Безпека й вхід», потім «Ключі доступу й ключі безпеки» для налаштування. Microsoft рухається в тому ж напрямку. Компанія поступово відмовляється від зберігання паролів в Authenticator і підштовхує людей до надійніших методів входу. Перейдіть на сторінку облікового запису Microsoft, виберіть «Безпека», потім «Керування способами входу» і «Використовувати ключ доступу» для розширення списку опцій.

Для Apple ключі допуску, схоже, створюються автоматично. Також, коли ви заходите на сайт, що підтримує ключі допуску, ви можете активувати їх під час входу, або якщо у вас вже є акаунт — змінити налаштування через сторінку облікового запису. Ключі допуску зберігатимуться в програмі «Паролі».

Ваш пріоритет має починатися з email-акаунтів, прив’язаних до банківських рахунків, податкової звітності та покупок. Коли їх захищено ключами допуску, решту ваших акаунтів набагато важче викрасти.

Захистіть файли, хмарне сховище, фото та резервні копії

Хмарне сховище та фотобібліотеки належать до наступного раунду оновлень. Ці акаунти зазвичай містять чутливу інформацію — скани ID-карток, податкові форми, контракти, особисті фото — що може стати великою проблемою, якщо трапиться витік. Це все матеріал, який можна використати для шахрайства або шантажу, якщо хтось отримає доступ. Ставтеся до них як до чутливих сховищ.

Google Диск та OneDrive спираються на налаштування вашого основного облікового запису Google або Microsoft, тож це виправлення просте. Відкрийте розділ безпеки на сторінці вашого акаунта і активуйте ключі допуску, якщо ще не зробили. Apple обробляє iCloud так само.

Пам’ятайте, що ключі допуску найсильніші, коли сам пристрій захищений. Увімкніть шифрування пристрою, встановіть блокування екрана і уникайте залишати ці пристрої розблокованими.

Захистіть сховище, яке захищає все інше

Менеджери паролів більше не просто зберігають ваші 50 логінів. Більшість з них тепер подвійно працюють як менеджери ключів допуску, і багато дозволяють заблокувати саме сховище за допомогою ключа допуску. Блокування сховища через ключ допуску — одне з найрозумніших оновлень, які ви можете зробити. Якщо хтось не може потрапити в менеджер паролів, він не може потрапити в жоден з акаунтів, що зберігаються там.

Менеджери паролів на кшталт 1Password та Bitwarden вже зберігають ключі допуску на базі FIDO і беруть участь у новішій роботі з обміну облікових даних, що дозволяє людям переміщувати ключі допуску між сервісами без початку з нуля. Індустрія повільно дає людям більше контролю замість того, щоб тримати все в одній екосистемі.

Де б ваші додатки безпеки не пропонували ключ допуску або вхід з апаратним захистом — вмикайте. Це стосується вашого менеджера паролів, VPN, антивірусного додатка та сервісу моніторингу особистості. Ці акаунти — захисні бар’єри, і вони не повинні залежати від вгадуваного пароля.

Поки ви в сховищі, зробіть невелике новорічне прибирання. Очистіть шар старих записів, які більше не використовуєте, і подумайте про закриття акаунтів, які досі не підтримують сучасну автентифікацію. Кожен мертвий акаунт — це ще одна мотузка, яка чекає, коли ї потягнуть.

Шопінг, замовлення поїздок та підписки

Ключі допуску вже використовуються у масштабі на сервісах, якими більшість людей користується щотижня. eBay повідомляє про вищі показники успішних входів та нижчий ризик фішингу після розширення підтримки ключів допуску. Uber направляє людей до ключів допуску з тієї ж причини. Коли компанії з мільйонами входів на день кажуть, що це працює — варто звернути увагу.

Це момент, коли ви починаєте захищати акаунти, що обробляють ваші гроші та звички. Шопінг-акаунти на кшталт Amazon, eBay та великих роздрібних додатків зберігають номери карток, збережені адреси та історію замовлень. Платіжні додатки містять ще більше. Їх не варто залишати зі слабкою автентифікацією, коли сильніша опція сидить у меню налаштувань.

Додатки для поїздок та доставки їжі мають власні ризики. Вони зберігають історію локацій, місця посадки, домашні та робочі адреси і платіжні дані. Багато з цих сервісів впроваджують входи на базі ключів допуску, тож перевірте їхні сторінки безпеки чи акаунта і ввімкніть, якщо є.

Простий спосіб залишатися організованим на початку — подивитися на п’ять додатків, які ви найчастіше використовуєте на телефоні. Відкрийте кожен, перевірте налаштування безпеки і активуйте ключі допуску, якщо вони доступні.

Ця стаття Чому варто перейти на ключі допуску до кінця року раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня