БизнесЦензор

03.12.19 15:33

Контрацепція в інтернеті: як забезпечити персональну інформаційну безпеку?

Уявіть, що хтось украв ваш аккаунт до Фейсбуку і почав від вашого імені публікувати інформацію сумнівного змісту.


Фото: pixabay.com

Багато людей вважають, що питання інформаційної безпеки – це щось таке, що повинно турбувати лише великий бізнес. "Та які в мене секрети? Кому я потрібен?" – часто вони питають себе.

Але уявіть, що хтось украв ваш аккаунт до фейсбуку і почав, нібито від вашого імені, публікувати інформацію сумнівного змісту. Чи отримав доступ до вашої приватної електронної пошти. Або до вашого банківського рахунку. В такому ключі стає очевидним наскільки небезпечною може бути втрата персональних даних.

Саме тому, навіть на індивідуальному рівні, треба піклуватись про інформаційну безпеку. Ось три прості кроки, які допоможуть суттєво підняти рівень вашого захисту.

Крок 1. Сильні паролі

Згідно з даними "Verizon’s 2017 Data Breach Investigations Report", близько 80% "зламів" пов'язані з крадіжкою паролю чи його слабкістю. Тому кілька порад щодо формування паролей:

- довжина паролю 12-14 символів. Сучасні хакерські технології дозволяють підібрати пароль з восьми символів за лічені години. Подовження паролю лише на два символи дає в сотні разів більше варіантів, ніж введення в короткий пароль спеціальних символів;

- пароль не повинен складатися лише зі звичайних слів, навіть з деяким спотворенням чи використанням різних мов (що доволі часто використовується). Існують так звані "райдужні таблиці", які сформовані зі словників та типових "спотворень" символів в них ("Ч" - "4", "a" – "@" і таке інше). За допомогою цих таблиць зловмисники можуть досить швидко підібрати такий пароль;

- для кожного облікового запису потрібен свій унікальний пароль. Не можна використовувати один і той же пароль для різних сайтів чи програм. Бо якщо з якогось сайту відбудеться витік його бази з акаунтами і їх паролями, то зловмисники можуть спробувати скористатися таким паролем на інших ресурсах;

- не записуйте ніде ваші паролі відкритим текстом (у пошті, у файлі та ін.). Нікому не повідомляйте ваш пароль. Нікому не розповідайте за яким принципом ви формуєте свої паролі;

- сучасна людина користується кількома десятками різних інформаційних ресурсів. Неможливо зберігати в пам'яті всі паролі. Тому користуйтеся менеджерами паролів. Вони також дозволяють легко згенерувати та запам'ятати складний випадковий пароль, а також допомагають проти фішингових сайтів. Але майстер-пароль для менеджера паролів потрібен бути дійсно складним. І це може бути єдиним паролем який треба пам'ятати;

- якщо ви отримали інформацію, що сайт чи система, якими ви користуєтесь, були скомпрометовані (стався витік інформації) – треба змінити пароль на цій системі. Також в інтернеті існує кілька сервісів (наприклад, https://haveibeenpwned.com ), які дозволяють регулярно перевіряти чи не було скомпрометовано якийсь з ваших акаунтів.

Крок 2. Багатофакторна автентифікація

Що таке двофакторна (2FA) чи багатофакторна автентифікація (MFA – multi factor authentication)?

Перший фактор. "Я знаю". Це щось, що ви знаєте. Наприклад, ваш сильний пароль.

Другий фактор. "Я маю". Щось, що маємо тільки ми, спеціальний додатковий пристрій. Ключ від замка, особова печатка, смарт-карта, спеціальний токен.

Третій фактор. Фактор властивостей. Щось, що є частиною нас – відбиток пальця, голос, особливості ока, таке інше.

Навіщо це потрібно? Навіть сильний пароль може бути викраденим. І необов'язково, що з вашої необачності. Сервіс, веб-сайт, яким ви користуєтесь, також зберігає інформацію щодо ваших паролів. Якщо він був "зламаний", ваші облікові дані з цього сайту можуть потрапити до зловмисників.

Багатофакторна автентифікація унеможливлює логін під викраденим паролем, якщо зловмисник не володіє іншим "фактором". Багато сучасних сервісів (Google, Office365, Facebook, Evernote, GitHub, SalesForce та інші) підтримують 2FA. В якості другого фактору можуть бути:

- електронний ключ (u2f token, смарт-карта). Найбільш надійний спосіб, який в тому числі, захищає від фішингу;

- push-повідомлення через спеціальну програму на вашому мобільному пристрої (Google Authenticator, Microsoft Authenticator, інші);

- TOTP – time-based one-time password. Програма, що раз на 30 секунд генерує унікальний цифровий код (Google Authenticator, Microsoft Authenticator, інші);

- одноразові цифрові коди, генеровані сервісом (зазвичай роздруковуються на папір та зберігаються в надійному місці недосяжному для зловмисників; часто цей фактор використовується як резервний).

Ви помітили, що серед "другого фактору" не згадано досить поширений спосіб, коли код підтвердження надсилається за допомогою SMS? Це тому, що телефонним номером насправді володієте не ви, а оператор зв'язку. Тобто не виконується вимога до другого фактору "я маю". Є декілька сценарієві вразливості з кодами підтвердження через SMS.

Вмикайте двофакторну аутентифікацію на всіх ваших сервісах, що підтримують таку можливість. Це значно (дуже значно) підвищує безпеку. Але пам'ятайте при цьому, що у разі втрати "другого фактору" ви не зможете отримати доступ до вашого сервісу. Тому заздалегідь потурбуйтесь про резервний другий фактор.

Крок 3. Інформаційна гігієна та фізична безпека інформації

Декілька порад, що допоможуть вам уникнути компрометації чи витоку даних:

- користуйтесь антивірусами. В Інтернеті навіть відомий сайт в якийсь момент може бути "зламаним" та зараженим зловмисним кодом;

- користуйтесь лише легальним програмним забезпеченням і лише з офіційних джерел. Програми з сумнівних сайтів, різні кей-генератори та таке інше, часто приносять з собою на ваш комп’ютер "подарунки" зі зловмисним кодом (клавіатурні шпигуни, наприклад);

- не відкривайте сумнівних вкладок з пошти (особливо від незнайомих людей) та не переходьте по сумнівним посиланням;

- фішингові сайти – це такі сайти, які виглядять як відомий ресурс (наприклад, як ваш онлайн-банк), мають схоже посилання. Але замість надання послуг лише крадуть ваші ідентифікаційні дані. Тому для всіх ваших критичних ресурсів ви маєте створити власні закладки та переходити на ці ресурси лише з таких закладок;

- те ж саме правило використовуйте якщо вам дзвонять (чи приходить sms) нібито від банку. І вас просять повідомити персональні дані. Скиньте виклик та самостійно передзвоніть в контакт-центр банку за номером що вказаний на картці;

- турбуйтесь про фізичну безпеку ваших інформаційних пристроїв. Для телефону встановіть захист на розблокування. Для ноутбуку пароль та бажано шифрування. І не залишайте пристрої без нагляду. Особливо в машині, навіть на п'ять хвилин;

- робіть регулярні бекапи всієї важливої для вас інформації на якийсь інший пристрій чи ресурс. Перевіряйте, що можете відновити інформацію зі зроблених бекапів;

- слідкуйте за тим, яку інформацію ви робите доступною публічно. Наприклад, скан-копія вашого паспорту може бути використана для отримання онлайн-кредиту без вашої участі. Тому не варто публікувати її в соціальних мережах. Та навіть якщо ви виклали скан-копію в закритий розділ в інтернеті (в особисту папку google drive, наприклад), варто мати на увазі, що через людський фактор (розробника) така інформація може бути проіндексована пошуковою машиною та стати доступною будь кому. Пам’ятайте, конфіденційну інформацію в інтернет не варто викладати взагалі, або вживати додаткових заходів з її шифрування.

Перераховані вище заходи є інформаційною гігієною проти зловмисників, які не проти поживитися нашими персональними даними. Якщо ретельно дотримуватися цих простих правил, тоді й хвилюватися про персональну інформаційну безпеку не потрібно.

Смотреть комментарии → ← Назад в рубрику