Снова и снова появляются сообщения о новой компании, которая подверглась взлому компьютера, в результате которого хакеры получили информацию об учетных записях пользователей. Базы данных, содержащие миллионы данных для входа в систему, открыто циркулируют в Интернете и показывают масштабы проблемы. Не имеет значения, как долго будет ваш пароль, если компания не защищает его.
Более того, большинство людей сегодня имеют не несколько, а десятки и сотни аккаунтов на разных сайтах. Некоторые, возможно, не так важны, но многие из них важны. Либо по своей природе, как электронная почта и социальные сети, либо из-за того, что они содержат, и их сентиментальной ценности для вас. Представьте, что вы потратили 20 000 часов на ролевую онлайн-игру, и вдруг хакеры вошли, изменили ваш пароль и адрес электронной почты и переименовали вашего персонажа в «Один и тот же пароль везде». Облом.
Хакеры ищут не только финансовые счета, электронную почту и социальные сети. Они также охотятся за учетными записями в различных цифровых магазинах, при этом учетные записи Steam со многими играми пользуются особым спросом, а некоторые любят блокировать доступ жертв к форумам и другим учетным записям, которые не имеют никакой ценности ни для кого, кроме жертвы.
В этом руководстве я расскажу вам, что вы можете и должны делать, чтобы максимально защитить себя от потери учетных записей хакерами.
Используйте уникальные и надежные пароли
Во-первых, то, что уже должно быть вбито в голову каждому пользователю Интернета: вам действительно нужно избегать использования одного и того же пароля для более чем одной учетной записи. Для учетных записей, которые вас, честно говоря, не волнуют, это может не иметь большого значения, но все учетные записи, которые вы не хотели бы потерять контроль над собой, должны просто иметь уникальный пароль. Нижняя граница.
Важно, чтобы пароль был не только уникальным, но и достаточно надежным, чтобы его нельзя было легко угадать. На этот счет существуют разные школы мысли. Некоторые думают, что несколько случайных слов легче запомнить, если это необходимо, и их легче напечатать. Другие предпочитают случайную строку символов и цифр. Если вам когда-нибудь понадобится ввести пароль вручную, а не через менеджер паролей (см. ниже), я рекомендую текстовую модель.
Надежные пароли предназначены не только для того, чтобы люди не могли получить доступ к вашей учетной записи. Почти столь же важно то, что хакерам, которые сталкиваются с базой данных пользователей компании, обычно приходится взломать (угадать) пароль каждой учетной записи, поскольку они хранятся не в виде обычного текста, а в виде так называемых хэш-кодов.
Литейный завод
Менеджер паролей — большая помощь
Чтобы отслеживать такое количество учетных записей, каждая из которых имеет уникальный пароль, большинству людей нужна помощь, и лучшая помощь — это менеджер паролей. Есть из чего выбирать, но их объединяет то, что они удобнее и безопаснее, чем сохранение паролей в браузере.
У всех хороших менеджеров паролей есть несколько общих черт. Они хранят все данные в зашифрованном виде и выполняют все шифрование и дешифрование на ваших устройствах, так что разработчик — или хакер, взломавший разработчика — никогда не сможет увидеть пароли. Они могут генерировать новые надежные пароли и автоматически сохранять их. Они автоматически заполняют данные, но только на нужном сайте. И, наконец, они могут синхронизировать пароли между разными устройствами, поэтому вы можете легко входить в свои учетные записи независимо от того, какое устройство вы используете.
Еще одна удобная функция некоторых менеджеров паролей — это возможность хранить не только пароли, но и другие данные — паспорта, данные банковского счета и дебетовой карты, защищенные заметки и все остальное, что вы хотите сохранить в порядке и не хотите, чтобы посторонние шпионили.
Двухфакторная аутентификация и двухэтапная верификация
Надежные пароли защищают от некоторых угроз, но не от всех. Например, вредоносное ПО, которое отслеживает все, что вы вводите на клавиатуре, может считывать пароли. Фишинговые веб-сайты могут обманом заставить вас ввести имена пользователей и пароли, а мошенникам не потребуется много секунд, чтобы войти в систему и сменить пароли.
Именно от такого рода угроз вас защищает двухфакторная аутентификация и двухэтапная верификация. Двухфакторная аутентификация означает, что для входа в систему вам потребуются два разных типа доказательств. Обычно один из них — это то, что вы знаете (пароль), а другой может быть либо что-то, что у вас есть (например, аппаратный ключ или ваш мобильный телефон), либо что-то уникальное для вашего физического лица, например, биометрическая аутентификация, например отпечатки пальцев.
Двухэтапная проверка означает, что после ввода пароля вам также необходимо ввести код, который будет отправлен на ваш номер мобильного телефона, например, в текстовом сообщении или по электронной почте.
Распространенным решением является использование так называемых «totp-кодов», кодов с привязкой ко времени, которые можно использовать с определенными приложениями (например, Google Authenticator) или в менеджерах паролей. Поскольку у вас должен быть физический доступ к компьютеру или мобильному телефону, где хранится генератор кода, это форма двухфакторной аутентификации. Кроме того, устройство обычно имеет парольную или биометрическую разблокировку, а менеджеры паролей всегда имеют мастер-пароль.
Я рекомендую большинству пользователей, которые не особенно уязвимы в связи с работой или некоммерческой деятельностью, — использовать менеджер паролей как для хранения данных для входа, так и для генерации totp-кодов. В абсолютном плане это не так безопасно, как наличие отдельного приложения для totp-кодов, но если вы выбрали один из лучших менеджеров паролей, риски очень малы.
В обмен на немного более высокий риск вы получаете гораздо более простой рабочий процесс при входе в разные учетные записи, поскольку менеджер паролей обычно автоматически копирует код totp в буфер обмена при заполнении пароля, и все, что вам нужно сделать, это вставить код. на следующем этапе. Это, в свою очередь, означает, что не помешает включить двухфакторную аутентификацию для как можно большего количества учетных записей, а не только для самых важных, в результате чего ваша общая безопасность будет намного выше.
Отслеживайте взломанные сайты и утечку учетных данных
Независимо от того, начали ли вы активно пользоваться Интернетом только в 2010-х годах или тусовались в Интернете с первых дней, у вас, вероятно, будет случайный аккаунт, которому несколько лет.
Эти учетные записи, особенно если это учетные записи, в которые вы не очень часто заходите, могли быть раскрыты, когда провайдер был взломан в какой-то момент, без вашего ведома. Большинство компаний заставляют всех пользователей менять свои пароли после взлома, независимо от того, действительно ли хакеры получили пароли, но если вы не войдете в систему, вы можете не получить об этом предупреждение.
Помимо риска того, что кто-то мог получить доступ к этой конкретной учетной записи, например, если вы использовали слабый пароль (что было легко сделать задолго до того, как менеджеры паролей стали обычным явлением), подобные утечки означают, что использованный вами адрес электронной почты окажется в списках, которые различные преступники могут использовать для рассылки массовых фишинговых или других атак.
На веб-сайте Have I Been Pwned вы можете ввести свой адрес электронной почты и быстро узнать, включен ли он в какую-либо из баз данных данных учетной записи, которые были утекли в результате различных взломов. На сайте перечислены все утечки, в которых фигурирует ваш адрес, а также дата взлома. Затем вы можете проверить эти сайты, чтобы узнать, можете ли вы по-прежнему войти в систему и нужно ли вам сменить пароль.
Некоторые менеджеры паролей имеют функции автоматического отслеживания взломанных сайтов, например, благодаря партнерству с Have I Been Pwned. Программа может видеть, когда вы создали учетную запись и когда вы в последний раз меняли свой пароль, и отображает предупреждение, если вы не меняли свой пароль с момента взлома соответствующего сайта.
Контрольные вопросы, правильный путь
Раньше, до того как двухфакторная аутентификация стала обычным явлением, многие сайты использовали контрольные вопросы, на которые вам нужно было ответить, чтобы войти в свою учетную запись, например, если вы забыли свой пароль, или изменить свой пароль или адрес электронной почты. Сегодня это встречается реже, но все же случается. Вопросы часто звучат примерно так: «В каком городе вы родились»? и «Как звали вашего первого питомца?».
Хитрость таких вопросов заключается в том, чтобы не отвечать честно. Полностью вымышленную информацию невозможно угадать, и ни один хакер не сможет ее узнать, например, просматривая Facebook или какой-нибудь старый блог, который вы написали давным-давно. Если у вас есть менеджер паролей — который я настоятельно рекомендую — вы можете создать безопасную заметку, в которой будете записывать все вопросы и ответы.
Если это компания, с которой вы можете связаться по телефону, имеет смысл выбирать ответы, которые легко произносить и/или писать и на языке службы поддержки клиентов компании.
Войдите с помощью Google/Apple/Facebook.
В настоящее время сайты стали обычным явлением не требовать от вас создания новой учетной записи с адресом электронной почты и паролем, а предлагать вам войти в систему через учетную запись, созданную кем-то другим. Наиболее распространенными являются Google и Facebook, но также существуют Microsoft, Apple, Github и другие сайты.
Если учетная запись более крупной компании действительно защищена надежным уникальным паролем и двухфакторной аутентификацией, это может снизить риск взлома учетной записи небольшой компании. Если вам не нравятся менеджеры паролей, это имеет большой смысл, поскольку значительно сокращает количество паролей, которые вам нужно запомнить или записать на бумаге.
При первом входе в систему таким образом веб-сайт создает для вас учетную запись, и вы должны согласиться поделиться определенной информацией из учетной записи с другой компанией. Например, Google делится вашим именем, адресом электронной почты и изображением вашего профиля (если оно у вас есть).
Простой вход
Уникальные адреса электронной почты для входа в систему
Поскольку адреса электронной почты очень часто используются в качестве имен пользователей и часто становятся известны при взломе компаний, ваш адрес электронной почты представляет собой угрозу безопасности. Хакеры могут попытаться проникнуть в ваши учетные записи только в том случае, если они знают ваше имя пользователя, и если вы, как и большинство людей, используете тот же адрес электронной почты, что и ваше имя пользователя, во многих или во всех своих учетных записях.
В последние годы появились службы, которые пытаются это исправить. Некоторые службы электронной почты имеют функцию создания псевдонимов, то есть альтернативных адресов, которые также ведут к вам, но это быстро становится обременительным, и большинство из них имеют только ограниченное количество. Apple предлагает неограниченные номера для подписчиков iCloud Plus. Менеджеры паролей 1Password и Proton Pass имеют встроенные функции, которые автоматически создают псевдонимы для новых учетных записей. Сервис SimpleLogin также предоставляет неограниченное количество псевдонимов и возможность использовать собственные доменные имена за 30 долларов в год.
Восстановить контроль над взломанными аккаунтами
Все крупные технологические гиганты разработали процессы, помогающие пользователям восстановить доступ к учетным записям. Найдите название компании или службы и «восстановление учетной записи». Сделайте это на устройстве, которое, как вы абсолютно уверены, не взломано и не заражено вредоносным ПО, например на компьютере друга или на старом компьютере, на котором вы удалили и переустановили систему.
Уровень сложности варьируется и частично зависит от того, сколько проблем причинил хакер. Например, очень тщательный хакер может изменить как ваш адрес электронной почты, так и номер телефона. В некоторых случаях и с некоторыми компаниями вы можете столкнуться с проблемой и придется смириться с потерей своего аккаунта. У других тоже есть защита от этого. Facebook, например, отправляет специальную ссылку для восстановления на старый адрес электронной почты, если кто-то меняет свой адрес.
После входа измените свой пароль и убедитесь, что у вас правильный адрес электронной почты и номер телефона. Сбросьте любую двухфакторную аутентификацию и настройте ее заново или настройте, если у вас ее не было раньше. В некоторых сервисах есть функция выхода со всех устройств, на которых вы вошли в систему — используйте ее!
0 Комментариев