Старший брат следит за тобой. Как защитить себя в цифровом мире
Шрифт:
Не следует использовать русские слова в английской раскладке. У злоумышленников есть специальные словари с такими комбинациями, поэтому этот метод не сработает. Кроме того, такие пароли очень трудно вводить на устройствах, где кириллица не отображается на клавишах одновременно с латиницей.
Примечание. В 2019 г. компания DeviceLock проанализировала 4 млрд утекших учетных записей на предмет наличия наиболее популярных паролей, в том числе кириллических. «Безумную десятку» составляют пароли (в порядке убывания популярности): я; пароль; йцукен; любовь; привет; люблю; наташа; максим; андрей; солнышко [45] .
45
https://www.devicelock.com/ru/blog/analiz-4-mlrd-parolej-chast-vtoraya.html.
Разумеется, никому не
Также не стоит составлять пароли по схеме типа ключ + название сайта и использовать для разных сайтов/систем одинаковые пароли, отличающиеся одной или двумя цифрами или буквами. Выяснив пароль к одному вашему аккаунту, злоумышленник легко подберет пароли и ко всем остальным.
КЕЙС В 2013 г. с серверов всем известной корпорации Adobe были похищены данные около 150 млн учетных записей [46] (кстати, это повод сменить пароль к учетной записи Adobe, если она у вас есть). Благодаря этой утечке у вас есть прекрасная возможность посмотреть, какие пароли не стоит использовать: на сайтеможно найти множество кроссвордов, составленных из похищенных паролей.
46
https://www.theverge.com/2013/11/7/5078560/over-150-million-breached-records-from-adobe-hack-surface-online.
Вряд ли кто-то вывесит на видном месте ключ от своей квартиры, чтобы любой мог в нее войти. Но большинство пользователей пренебрегают правилами безопасности, открыто набирая пароли, записывая их на стикерах и прилепляя эти стикеры на монитор, сообщая свои пароли кому ни попадя и авторизуясь на сомнительных сайтах.
КЕЙС В апреле 2015 г. в результате деятельности хакеров на несколько часов была парализована работа французского телеканала TV5Monde. Были выведены из строя служебные серверы, отвечающие за обработку электронной почты, видеомонтаж, трансляцию сигнала. Вещание канала было прервано, а на страницах компании в социальных сетях были опубликованы экстремистские материалы. Причиной произошедшего стала беспечность сотрудников телекомпании: во время съемки интервью с одним из репортеров в кадр за его спиной попал стол одного из сотрудников, заклеенный стикерами с паролями к учетным записям канала в популярных соцсетях. В кадр попали логины и пароли для официальных аккаунтов YouTube, Twitter и Instagram компании, причем пароль к аккаунту на сайте YouTube был lemotdepassedeyoutube, что можно перевести с французского как «пароль от YouTube» [47] .
47
https://www.theguardian.com/world/2015/apr/09/french-tv-network-tv5monde-hijacked-by-pro-isis-hackers.
Чтобы защитить себя и своих близких, свои данные, нужно не только максимально серьезно подходить к составлению паролей, следя за тем, чтобы они были достаточно сложными, но также при их вводе и хранении соблюдать правила безопасности.
Находясь в общественном месте, нужно помнить о том, что пароль могут увидеть посторонние, и при его вводе прикрывать рукой экран смартфона или клавиатуру ноутбука; примерно так же вы поступаете при наборе ПИН-кода в банкомате. И очень важно, чтобы при вводе пароля вместо его символов на экране отображались кружочки или звездочки. Если система не скрывает пароль при вводе, к ней нет доверия. В некоторых системах, защищающих пароль от подсматривания, по мере ввода каждый символ все же на мгновение отображается в открытом виде, что снижает уровень безопасности и позволяет злоумышленникам подсмотреть пароль, записав изображение на экране с помощью скрытых грабберов [48] экрана или камеры. Иногда настройки позволяют избавиться от этой уязвимости.
48
Граббер – программа для сбора информации.
Нельзя вводить пароли и передавать любые другие персональные (особенно банковские) данные в открытых сетях (например, MT_FREE, действующей в московском общественном транспорте). Вводить пароли можно только в доверенных сетях, доступ к которым защищен соответствующим образом (должна быть защищена и сама точка доступа). Следует учитывать, что даже в закрытых недомашних сетях (общественных и корпоративных) введенные данные могут
Вводить пароли рекомендуется только на сайтах, использующих протокол HTTPS (а не HTTP) с подтвержденными сертификатами, о чем сообщит адресная строка в браузере (обычно в ней появляется зеленый замочек). Это не панацея (сертификаты специально выпускаются для мошеннических сайтов в центрах, где нет проверки отправителя и используются на поддельных сайтах злоумышленниками), но риск перехвата вводимых данных все же снижается. Кроме того, не рекомендуется вводить учетные данные и указывать свою персональную информацию на сайтах, не хеширующих пароли. В некоторых случаях подобные сайты можно распознать так: после запроса по поводу восстановления пароля с сайта поступает электронное письмо, в котором старый пароль указан в открытом виде. Надежные ресурсы вместо учетных данных обычно присылают ссылку, перейдя по которой можно создать новый пароль.
Также следует внимательно проверять адрес сайта, на котором вы планируете ввести учетные данные, так как злоумышленники зачастую имитируют оригинальные сайты, меняя 1–2 буквы в URL-адресе (например,иливместо либо используют вовсе посторонний адрес, хотя интерфейс такой же, как у настоящего ресурса. Это сейчас вы видите разницу, а при открытии страницы в браузере, особенно на мобильном устройстве, вряд ли вы читаете адрес, тем более если он целиком не помещается в строке.
Примечание. Не стоит доверять свои пароли родственникам. В плане информационной безопасности они могут быть еще более неосторожны, чем вы.
В реальной жизни вы используете разные ключи для доступа в подъезд, квартиру, дачный дом, офис, автомобиль, к почтовому ящику, банковской ячейке или персональному сейфу и даже для открытия замка на велосипедном тросике. Глупо, если ко всем замкам будет подходить единый ключ (злоумышленник запросто сделает слепок ключа от домофона или почтового ящика и попадет к вам в жилище или угонит велосипед). И тем более глупо, если вы сделаете этот ключ доступным абсолютно для всех (хотя многие так и поступают, только в цифровой среде). Вот и для защиты персональных данных на каждом сайте или в приложении должен использоваться уникальный пароль. Ведь если, к примеру, вы используете один и тот же пароль для доступа к сайту платежной системы PayPal с записями о ваших банковских картах/счетах и к социальной сети «ВКонтакте», то в случае утечки базы данных «ВКонтакте» (либо угона пароля методами социальной инженерии и т. п.) под угрозой оказываются и ваши финансовые средства. Для аутентификации/авторизации на сайте платежной системы злоумышленнику нужен только адрес электронной почты и пароль, который он уже знает. Адрес электронной почты он тоже знает, если вы используете один и тот же почтовый аккаунт для регистрации на разных сайтах, в том числе и на сайтах социальных сетей.
О безопасности баз данных
Компания DeviceLock, разрабатывающая системы защиты данных от утечек, провела исследование уровня безопасности облачных баз данных, расположенных в российском сегменте интернета. Проанализировав свыше 1900 серверов, специалисты компании выяснили, что 52 % серверов предоставляли возможность неавторизованного доступа, а 10 % при этом содержали персональные данные пользователей или коммерческую информацию компаний, еще 4 % ранее были взломаны хакерами, которые оставили требования о выкупе. Среди крупнейших уязвимых баз данных оказались: БД финансовой компании «Финсервис» (https://finservice.pro) объемом 157 Гб, содержащая имена, адреса, контактные и паспортные данные, кредитные истории и информацию о выданных займах; база сервиса автообзвона «Звонок» (https://zvonok.com) объемом 21 Гб, содержащая телефонные номера и записи звонков; данные подмосковных станций скорой медицинской помощи объемом более 18 Гб, содержащие всю информацию о вызовах бригад, включая имена, адреса и телефоны пациентов [49] ; база российского телемедицинского сервиса DOC+ объемом более 3 Гб, содержащая данные сотрудников и некоторых пользователей (включая диагнозы); базы данных информационной системы «Сетевой Город. Образование», содержащая персональные данные учеников и учителей школ Екатеринбурга, Ингушетии, Свердловской области и Якутии, а также большое число клиентских баз различных проектов электронной коммерции [50] .
49
https://threatpost.ru/moscow-region-ambulance-service-database-leaked-due-to-bad-mongodb-settings/32197/.
50
https://www.devicelock.com/ru/press/v-runete-obnaruzheno-okolo-tysyachi-otkrytyh-baz-dannyh.html.