Багато з нас думає, що приділяти увагу своїй інформаційній безпеці то є зайве. Ми думаємо, що нас ніхто не зламає, що наші дані нікому не потрібні, ставлять на резервні акаунти прості паролі. У мене знайомі теж так думали, поки дехто з них не почав вибиватись в люди, а їхні електронні пошти та фейсбуки почали просто ламатись. І публікації фейків з облікових записів тієї людини, котра має певний вплив з метою його дескредитації — це найменше зло. Отримання доступу до обмеженої документації та публікація її — це все може мати значні наслідки. Через це мене, як спеціаліста в області інформаційних технологій, часто питають як захистити свої дані та облікові записи по-максимуму. І щоб не відповідати кожному окремо, пишу цей допис з порадами, яких дотримуюсь сам.

1. Різні паролі на всі акаунти

Отже, найбільш розповсюджена проблема переважної більшості людей — один пароль на все. Варто не дуже совісній людині дізнатись лише один ваш пароль, і у нього доступ до всього вашого цифрового світу. Позбувайтесь звички мати один пароль, ставте різні паролі на різні сервіси. Може показатись що це не зручно і що важко запам'ятати стільки різних паролів, але насправді це не так і далі розповім як це організувати.

2. Використовуйте різні електронні адреси

У мене три електронки — одна для реєстрацій на перевірених сервісах, такі як facebook, twitter, instagram тощо. Ця електронна адреса є приватною і її майже ніхто не знає. Друга електронна адреса для реєстрації на різних відносно не надійних сервісах. Третя адреса — публічна. Вона на візитках, з неї відправляю звернення та даю людям, але на неї ніякі сервіси не зареєстровані. Для чого так робити? А для того, що більшість зламів — це звичайний підбір комбінацій email/password. І, відповідно, зловмисники будуть підбирати пароль використовуючи ту електронну адресу, яку знають, а на ту, яку знають, нічого не зареєстровано :)

3. Генеруйте міцні паролі

Насправді дуже багато людей ставлять на пароль дати — дата народження себе, чоловіка/дружини, дитини, паролі типу qwerty123. Це ломається від кількох хвилин до кількох днів. Вихід — генерувати сильні паролі з використанням спеціальних генераторів паролей. Їх дуже багато, в тому числі й онлайн сервіси, які легко та швидко гугляться. Але генерувати паролі можна і стандартними засобами операційних систем, і без доступу в інтернет. На Windows можу порадити функцію:

Function random-password ($length = 15)

{

$punc = 46..46

$digits = 48..57

$letters = 65..90 + 97..122

$password = get-random -count $length `

-input ($punc + $digits + $letters) |

% -begin { $aa = $null } `

-process {$aa += [char]$_} `

-end {$aa}

return $password

}

Просто копіюєте цей текст, вставляєте в консоль PowerShell і тистине Enter. Далі в тому самому вікні запускайте функцію, зазначаєте довжину пароля і все:

5b5de2b11822b.png

Для користувачів Linux або masOS міцні паролі генеруються в консолі наступними командами:

date +%s | sha256sum | base64 | head -c 32 ; echo

< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-32};echo;

openssl rand -base64 32

tr -cd "[:alnum:]" < /dev/urandom | fold -w30 | head -n1

strings /dev/urandom | grep -o "[[:alnum:]]" | head -n 30 | tr -d "\n"; echo

< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c6

dd if=/dev/urandom bs=1 count=32 2>/dev/null | base64 -w 0 | rev | cut -b 2- | rev

randpw(){ < /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-16};echo;}

Ось приклад результатів роботи:

5b5de2daae7ff.png

4. Використовуйте двоетапний вхід (2FA)

Весною 2014 року ми ломали акаунти ВК кільком місцевим сепарам. На одного з них ми пароль таки підібрали, але увійти не змогли — нам потрібно було ввести додатково шестизначний код. Це називається двохетапним входом — коли окрім логіна та пароля, тобі на спеціальний додаток, на електронку чи на телефон приходить спеціальний код, і тільки ввівши його, ви отримаєте доступ до свого облікового запису. Це реально захистило багато облікових записів після взлому пароля, чесно :)

Багато сервісів підтримує двоетапний вхід, наприклад Google, Apple, Adobe, Facebook, Dropbox, Twitter, Steam, Yahoo. Тут знайдете більше сервісів — https://twofactorauth.org. А стосовно того, як увімкнути або вимкнути 2FA, читайте в документації до сервісу.

5. Використовуйте менеджери паролей

Як було сказано у першому пункті, не використовуйте один пароль для всіх обліковок. Але велику кількість паролей необхідно десь безпечно зберігати (звісно ж не у файлі password.txt на робочому столі). Тут на допомогу приходять так звані менеджери паролей. Їх багато і вони різні, але мета у них одна — зберігати купу ваших паролів в зашифрованому вигляді, і щоб до них отримати доступ, вам треба знати лише пароль до цієї програми. Найпростіша з них, мабуть, це KeePass — додаток з відкритим кодом, безпечно зберігає дані і працює на всіх пристроях — на Windows, Linux, macOS, Android, WP, iOS тощо. Має підтримку плагінів до браузерів. Також є дуже не погана софтина 1password. Гарна, зручна, потужна, але в місяць підписка коштує ~ $3. Рекомендую, сам тривалий час користувався, але я не люблю підписки, тому зараз використовую EnPass, і він чудовий! Він мені зберігає все — і паролі, і дані моїх карток, і захищені нотатки, і файли з кодами відновлення, і приватні ключі на банківський рахунок, тощо. Теж працює на всьому чому тільки можна, має підтримку 2FA, круті плагіни для браузерів, потужний генератор паролів (щоб не робити збочення з третього пункту). Окрім того, файл з паролями синхронізується усіма пристроями через Google Drive, Dropbox, OneDrive або через свій сервер. Ціна ~ 250 грн., і то у разі використання мобільного додатку. Якщо користуватись лише десктопними додатками, платити не треба, але розробники все-таки заслужили, та і 250 грн. — не дуже великі кошти. Ось як це виглядає на Windows на прикладі з фейсбуком (перегляд та редагування):

5b5de38da9882.png

5b5de3736ad70.png

І навіть якщо хтось і заволодіє вашим файлом з паролем, він його не розшифрує — шифр AES-512, яким зашифровано цей файл, дуже захищений.

6. Використовуйте ключі шифрування для захисту важливих даних

Генеруйте приватий та публічний ключі PGP та шифруйте ним дані, наприклад електронну пошту. Для останнього це виглядає приблизно так — https://www.encryptomatic.com/openpgp. А сам приватний ключ та пароль від нього зберігайте десь у недосяжному місці. Я, наприклад, зберігаю їх у програмі EnPass з попереднього пункту.

7. Не зберігайте паролі в браузері

Насправді заволодіти вашими паролями з браузера доволі легко. Приходить до вас, наприклад, «друг» з флешкою, і поки ви робите чай, він шукає фільм і паралельно скидає на флешку кукі вашого браузера. А далі — справа техніки. Я, наприклад, відключив зберігання паролів в браузері та їхнє автозаповнення. Для цього у мене встановлений плагін для браузера того самого EnPass, він підставляє збережені в його базу логіни та паролі. Різниця в тому, що щоб плагін заповнював логіни та паролі, потрібно ввести пароль, який його розблокує. Також налаштуйте з якою періодичністю від буде блокуватись у разі неактивності. У мене це 60 хв. Тобто годину я плагін не використовую, і він знову буде просити ввести пароль. Тому я захищений від недобросовісних «друзів» з флешками :) І ще плюс цього плагіну, що у вас однакова база паролів одразу в усіх браузерах — Edge, Firefox, Chrome, Safari.

8. Уважно дивіться які дозволи питають сторонні додатки під час OAuth авторизації

Буває так — людина в фейсбуці бачить прикольний з його точки зору тест або додаток накшталт «Як я буду виглядати в 50 років після зміни статі». Люди переходять за посиланням, авторизуються через фейсбук, а вже наступного дня друзям цієї людини починає у приватні повідомлення приходити спам або вірус, або відмічати друзів у сумнівних дописах. Щоб цього не сталось, перед тим, як натиснути кнопку «Надати доступ», уважно читайте, які саме доступи просить додаток, і подумайте, для чого цьому додатку взагалі такі дозволи. В нашому прикладі користувач надав дозвіл додатку «Надсилати повідомлення друзям» та «Публікувати дописи на сторінці». А взагалі, в ідеалі, не логінитись на сумнівних та тупих сервісах.

В принципі ці вісім пунктів не просто захистить ваш цифровий світ, але і може перетворити вас в параноїка :) Тому використовуйте, але не накручуйте ;)