Если в вашем списке важнейших новогодних обещаний есть несколько пустых полей, можем предложить несколько советов, как обеспечить кибербезопасность вашего «самосовершенствования». Вот первая порция: как вам исправить свои добрые старые пароли.
Многие из нас начали 2019 год, имея целый пакет новогодних обещаний. Делать больше физических упражнений, избавиться от вредных привычек в еде и больше экономить – все это очень благородные цели сами по себе, но не может случиться так, что вам не удастся довести их до конца в нашу эпоху бесчисленных приложений и сайтов, наперебой предлагающих вам помощь в достижении личных целей, что, по-видимому, также подразумевает – как вы уже догадались – и осуществление ваших новогодних обещаний?
Итак, не пришло ли время обзавестись несколькими более весомыми и в то же время довольно простыми привычками в дополнение к тем, которые у вас сложились уже довольно давно? Вот несколько советов для «упражнений», которые пойдут на пользу вашему кибер-здоровью.
Я не откажусь от сложных паролей
У паролей дурная репутация, и вполне заслуженно: они имеют недостатки, как в плане безопасности, так и в плане удобства, что делает их далеким от идеала методом аутентификации. Однако многое из того, что предлагается в Интернете, зависит от вашей регистрации в той или иной интернет-службе, а доступной формой аутентификации почти всегда оказывается комбинация имени пользователя и пароля.
В качестве ключей, открывающих учетные записи интернет-служб (не говоря уже о множестве устройств), пароли часто справедливо считаются, первой – но, увы, нередко и единственной – линией обороны, которая защищает ваши виртуальные и реальные активы от непрошенных гостей. Однако пароли не способны обеспечить высокую степень защиты, если они в принципе не являются ни надежными, ни уникальными для каждого устройства или учетной записи.
Но что вообще делает пароль надежным? Парольная фраза! Если все сделано правильно, обычные парольные фразы, как правило, оказываются для пользователя и более безопасными и более удобными, чем обычные пароли. Чем длиннее парольная фраза и чем больше слов в ней упаковано, тем лучше: можно уверенно начинать с семи слов. С каждым дополнительным символом (не говоря уже о словах) число возможных комбинаций возрастает экспоненциально, что значительно снижает вероятность успеха простых атак, в которых применяется взлом паролей, если не исключает его вовсе (при условии, конечно, что данная служба не накладывает ограничений на длину вводимого пароля – к сожалению, все еще слишком распространенная практика).
Я не буду помогать взломщику парольных фраз
Еще одно предостережение: лучше воздерживаться от фраз, которые вошли в повседневное употребление. Названия книг, известные цитаты или слова из песен – спойте: ‘Pleased to meet you, hope you guess my name’ («Рад вас встретить, надеюсь вы помните мое имя» – слова из песни Sympathy for the Devil британской рок-группы The Rolling Stones), несколько экстремальный пример, который не следует понимать буквально – все это может быть частью инструментария для взлома паролей. Отдельные слова должны идти в произвольном порядке и в идеале иметь в своем составе специальные символы и замену символов, при этом сохраняя для своего создателя скрытое значение и запоминаемость. В качестве практического руководства по созданию парольных фраз вы можете воспользоваться этим коротким видеоуроком или этой статьей.
Затем, безусловно, необходимо, чтобы каждая парольная фраза была индивидуальной для каждой учетной записи, чтобы утечка одной из ваших парольных фраз не отразилась на других, а возможно, и более ценных учетных записях. Увы, опасная практика повторного использования паролей широко распространена, и злоумышленники могут без труда воспользоваться ею с помощью автоматизированного метода ‘credential stuffing’ («подстановки учетных данных»).
Вполне возможно, что вы используете так много учетных записей интернет-служб, что уже не в состоянии запомнить конкретную парольную фразу для каждой из них. В этом случае стоит рассмотреть надежную систему хранения (управления) паролями, которая шифрует ваше хранилище паролей и снимает большую часть проблем, связанных с управлением паролями. И такой инструмент, конечно же, сможет сгенерировать для вас случайные и сложные пароли и парольные фразы.
И при этом вам будет нужно запомнить всего один мастер-пароль, который, в конечном счете, откроет все ваши учетные записи интернет-служб; критическое значение будет иметь надежность и уникальность этого единственного ключа к вашему цифровому царству – что возвращает нас к уже озвученным предложениям.
Я не пропущу второй шаг
Еще одна проблема, связанная с паролями/парольными фразами, может возникнуть тогда, когда они являются не только первой, но фактически и единственной линией обороны вашей учетной записи. Когда этот барьер разрушен – обычно вследствие фишинг-атаки или из-за того, что злоумышленники каким-то образом добыли ваши данные для входа в систему, – сорвать планы ваших врагов может дополнительный фактор аутентификации, который не полагается на «нечто, что вы знаете».
Двухфакторная аутентификация (2FA), или многофакторная аутентификация (MFA), представляет собой отличный способ повышения безопасности ваших учетных записей, особенно в сочетании с аппаратными ключами или выделенными приложениями, и в меньшей степени – с помощью аутенфикации 2FA по SMS. Хотя многие интернет-службы предоставляют функциональные возможности аутентификации 2FA, лишь немногие требуют ее использования. Тем не менее применение аутентификации 2FA возрастает, и нет ничего нет проще, чем быстро перейти к ее использованию на практике. Независимо от того, реализована она или нет, регистрация на аутентификацию 2FA везде, где это возможно, сторицей окупит эти дополнительные усилия, поскольку она может помочь в самых разных сценариях – и вы уж точно не станете жертвой кибератаки с целью взлома какого-либо из ваших паролей.
В реальной жизни нельзя исключить, что некоторые из ваших данных аутентификации будут или уже были украдены и размещены в Интернете или выставлены на продажу на подпольных торговых площадках. Источником этих утечек паролей являются многочисленные взломы систем безопасности, которые наносят ущерб интернет-службам, розничным торговцам, гостиничным сетям и т.п. Кроме того, объект атаки может защищать пароли пользователей с помощью слабых функций хеширования и соли или даже хранить пароли в виде простого текста. Хуже всего то, что поставщик услуг, не говоря уже о вас, может в течение длительного времени и не знать, что хакеры похитили часто плохо защищенные данные или приобрели их в «темной сети», и поэтому у вас нет никаких шансов применить какие-либо специальные меры защиты. Опять же, это пример ситуации, когда упомянутый дополнительный фактор аутентификации обычно способен помешать любым попыткам захвата учетной записи.
В самом деле, зайдите на веб-сайт Have I Been Pwned? и посмотрите, не стала ли какая-либо из ваших учетных записей интернет-служб жертвой одного из известных взломов. Помимо почти 5,7 миллиардов взломанных учетных записей, которые индексируются на этом сайте, на нем также хранится кэш, насчитывающий более полумиллиарда попавших в открытый доступ или украденных паролей в текстовом формате, которые стали достоянием гласности в предыдущих взломах, так что по этой базе данных вы можете проверить и свои пароли.
Я буду использовать меньше паролей
Вы думаете это ошибка, верно? Что ж, это может показаться нелогичным, но исправление паролей может подразумевать, прежде всего, и необходимость уменьшения их количества. Точнее, оно означает разрыв связей со службами, которыми вы больше не пользуетесь, и поэтому вам больше нет нужды «заботится» о своих учетных записях в них. У нас у всех есть учетные записи, которыми мы больше не пользуемся. Действительно, за многие годы мы могли накопить довольно много учетных записей, в том числе и такие, о которых мы едва помним. И пословица «Интернет никогда ничего не забывает» здесь вполне уместна: забвение – это то, чего и вы не должны допускать ни в коем случае.
Проблема с неиспользованными учетными записями состоит в том, что каждая из них, даже если она была сделана, когда вы были гораздо моложе, является потенциальным источником опасности. Служба может быть взломана, в результате чего ваш пароль станет известным, или может быть продана новым владельцам, чьи намерения могут быть не вполне честными. Или, если злоумышленники завладеют вашей учетной записью, они могут использовать ее для взлома одной из ваших ценных учетных записей: будь то путем сбора частной информации о вас или за счет того, что вы не используете уникальный пароль для каждой учетной записи. Или они могут использовать ее для рассылки спама.
Но тем, чего нет, завладеть невозможно, не так ли? Не мучайтесь: просто отправьте эти учетные записи в надежное место и не сомневайтесь в правильности принятого решения.
Есть даже такие службы, которые обещают уменьшить общий объем вашего интернет-присутствия; то есть, не требуют от вас припоминать или прочесывать каждую неактивную учетную запись, а затем вручную ее закрывать. Однако использование такой службы только для того, чтобы помочь уничтожить учетные записи интернет-служб, может устроить далеко не всех, так как, по сути, вы должны поверить разработчикам таких инструментов на слово.
В процессе наведения порядка рассмотрите возможность разрыва связей со сторонними приложениями и службами, которые связаны с вашими учетными записями на социальных и других известных сайтах, особенно с приложениями, которыми вы больше не пользуетесь. И эти приложения могут использоваться в качестве альтернативных точек входа для незаконного сбора данных или даже чего-то похуже. Чтобы закрыть им доступ к вашей учетной записи и данным, перейдите к настройкам конфиденциальности и/или безопасности выбранных вами интернет-служб; там от вас обычно потребуется сделать всего один или два щелчка.
Следующие шаги
Обеспечивать безопасность в Интернете в этом году легче не станет, поэтому мы вернемся через несколько дней с дополнительными советами, как вам повысить личную безопасность в Интернете. В следующий раз мы уделим основное внимание нескольким простым способам, как повысить безопасность вашей беспроводной сети.
Источник: Welivesecurity
