Аутентификация
Большинство сообщаемых утечек данных вызваны использованием слабых, стандартных или украденных паролей (согласно отчету Verizon). Используйте длинные, надежные и уникальные пароли, управляйте ими с помощью надежного менеджера паролей, включите двухфакторную аутентификацию, следите за утечками и будьте осторожны при входе в свои аккаунты.
0 из 21 (0%) завершено, 0 проигнорированно
| Выполнено? | Совет | Уровень | Описание |
|---|---|---|---|
Essential | Если ваш пароль слишком короткий или содержит словарные слова, названия мест или имена, его можно легко взломать методом грубой силы или кто-то может его угадать. Простейший способ создать надежный пароль — сделать его длинным (12 и более символов). Рассмотрите возможность использования "фразы-пароля", состоящей из нескольких слов. Или используйте генератор паролей для создания длинного, надежного случайного пароля. Попробуйте HowSecureIsMyPassword.net, чтобы узнать, как быстро можно взломать обычные пароли. Подробнее о создании надежных паролей читайте на securityinabox.org. | ||
Essential | Если кто-то повторно использует пароль, и один из сайтов, на котором у него есть аккаунт, подвергается утечке, преступник может легко получить несанкционированный доступ к его другим аккаунтам. Обычно это делается с помощью автоматизированных запросов на вход в систему, что называется "Credential Stuffing". К сожалению, это довольно распространено, но защититься от этого просто — используйте разные пароли для всех ваших онлайн-аккаунтов. | ||
Essential | Для большинства людей будет почти невозможно запомнить сотни сильных и уникальных паролей. Менеджер паролей — это приложение, которое генерирует, хранит и автоматически вводит ваши данные для входа. Все ваши пароли будут зашифрованы одним мастер-паролем (который вы должны запомнить, и он должен быть очень надежным). Большинство менеджеров паролей имеют расширения для браузеров и мобильные приложения, так что, независимо от того, какое устройство вы используете, ваши пароли могут быть автоматически введены. Хороший универсальный вариант — Bitwarden, или смотрите рекомендуемые менеджеры паролей. | ||
Essential | Хотя иногда вам может потребоваться предоставить доступ к аккаунту другому человеку, в целом следует избегать этого, так как это упрощает компрометацию аккаунта. Если вам действительно нужно поделиться паролем, например, при работе в команде с общим аккаунтом, это следует делать через функции, встроенные в менеджер паролей. | ||
Essential | 2FA — это когда вам нужно предоставить и то, что вы знаете (пароль), и то, что у вас есть (например, код на вашем телефоне), чтобы войти в систему. Это означает, что если кто-то узнал ваш пароль (например, через фишинг, вредоносное ПО или утечку данных), он не сможет войти в ваш аккаунт. Начать легко: загрузите приложение-аутентификатор на свой телефон, затем перейдите в настройки безопасности вашего аккаунта и следуйте инструкциям для включения 2FA. В следующий раз, когда вы войдете в систему с нового устройства, вам будет предложено ввести код, который отображается в приложении на вашем телефоне (он работает без интернета и код обычно меняется каждые 30 секунд). | ||
Essential | При включении многофакторной аутентификации вам обычно выдают несколько кодов, которые можно использовать, если ваш метод 2FA потерян, поврежден или недоступен. Храните эти коды в надежном месте, чтобы предотвратить их потерю или несанкционированный доступ. Вы должны хранить их на бумаге или в безопасном месте на диске (например, в автономном хранилище или в зашифрованном файле/диске). Не храните эти коды в вашем менеджере паролей, так как источники 2FA и пароли должны храниться отдельно. | ||
Optional | После того как сайт подвергается значительному нарушению данных, утекшие данные часто попадают в интернет. Существует несколько сайтов, которые собирают эти утекшие записи и позволяют вам проверить свой адрес электронной почты, чтобы узнать, находитесь ли вы в каком-либо из их списков. Firefox Monitor, Have I been pwned и DeHashed позволяют вам подписаться на мониторинг, где они уведомят вас, если ваш адрес электронной почты появится в каких-либо новых наборах данных. Полезно знать об этом как можно скорее, чтобы вы могли изменить пароли для затронутых аккаунтов. У Have I been pwned также есть уведомление на уровне домена, где вы можете получать оповещения, если какие-либо адреса электронной почты в рамках вашего домена появляются в списках (это полезно, если вы используете псевдонимы для анонимной пересылки). | ||
Optional | Когда вы вводите свой пароль в общественных местах, убедитесь, что вы не находитесь на прямой видимости камеры видеонаблюдения и что никто не может видеть, что вы набираете через ваше плечо. Прикрывайте ваш пароль или ПИН-код во время ввода и не отображайте пароли в открытом виде на экране. | ||
Optional | Утечки баз данных и нарушения безопасности являются обычным явлением, и вероятно, что некоторые из ваших паролей уже находятся где-то в интернете. Иногда обновление паролей для критически важных аккаунтов может помочь снизить эту угрозу. Но если все ваши пароли длинные, надежные и уникальные, то делать это слишком часто не нужно — раз в год будет достаточно. Принудительное изменение паролей в организациях больше не рекомендуется, так как это побуждает коллег выбирать более слабые пароли. | ||
Optional | Большинство современных браузеров предлагают сохранять ваши учетные данные, когда вы входите на сайт. Не разрешайте это, так как они не всегда зашифрованы, что может позволить кому-то получить доступ к вашим аккаунтам. Вместо этого используйте специализированный менеджер паролей для хранения (и автоматического заполнения) ваших паролей. | ||
Optional | Избегайте входа на компьютер других людей, так как вы не можете быть уверены в безопасности их системы. Особенно осторожно относитесь к общедоступным машинам, так как на них чаще встречаются вредоносные программы и слежка. Использование чужого устройства особенно опасно для критически важных аккаунтов, таких как онлайн-банкинг. При использовании чужого компьютера убедитесь, что вы находитесь в режиме приватного/инкогнито сеанса (используйте Ctrl+Shift+N/ Cmd+Shift+N). Это заставит браузер не сохранять ваши учетные данные, куки и историю просмотров. | ||
Optional | Некоторые сайты позволяют устанавливать подсказки к паролям. Часто ответы на них легко угадать. В случаях, когда подсказки к паролям являются обязательными, используйте случайные ответы и записывайте их в менеджер паролей (Название первой школы: 6D-02-8B-!a-E8-8F-81). | ||
Optional | Если сайт задает вопросы безопасности (например, место рождения, девичья фамилия матери или первая машина и т. д.), не предоставляйте настоящие ответы. Для хакеров тривиально получить эту информацию в интернете или через социальную инженерию. Вместо этого создайте вымышленный ответ и сохраните его в своем менеджере паролей. Использование настоящих слов лучше, чем случайных символов, объяснение здесь. | ||
Optional | Не используйте короткий PIN-код для доступа к вашему смартфону или компьютеру. Вместо этого используйте текстовый пароль или гораздо более длинный PIN-код. Числовые парольные фразы легко взламываются (четырехзначный PIN-код имеет 10 000 комбинаций, в сравнении с 7,4 миллиона для четырехсимвольного буквенно-цифрового кода). | ||
Optional | При включении двухфакторной аутентификации выбирайте коды, генерируемые приложениями, или аппаратные токены, если это поддерживается. SMS подвержены ряду распространенных угроз, таких как перехват SIM-карты и перехват данных. Также нет гарантий, как безопасно будет храниться ваш номер телефона или для чего еще он может быть использован. С практической точки зрения, SMS будут работать только тогда, когда у вас есть сигнал, и могут быть медленными. Если веб-сайт или сервис требует использование номера SMS для восстановления доступа, рассмотрите возможность покупки второго предоплаченного номера телефона, используемого только для восстановления доступа к аккаунтам в подобных случаях. | ||
Advanced | Многие менеджеры паролей также способны генерировать коды двухфакторной аутентификации. Лучше не использовать ваш основной менеджер паролей в качестве приложения для 2FA, так как в случае его компрометации он станет единственной точкой отказа. Вместо этого используйте специализированное приложение-аутентификатор на вашем телефоне или ноутбуке. | ||
Advanced | Большинство телефонов и ноутбуков предлагают функцию аутентификации по лицу, используя камеру для сравнения снимка вашего лица с сохраненным хешем. Это может быть очень удобно, но существует множество способов обмануть эту систему и получить доступ к устройству с помощью цифровых фотографий или реконструкций с камер видеонаблюдения. В отличие от вашего пароля, в интернете, вероятно, есть фотографии вашего лица, а также видеозаписи с камер наблюдения. | ||
Advanced | Аппаратный кейлоггер — это физическое устройство, установленное между вашей клавиатурой и USB-портом, которое перехватывает все нажатия клавиш и иногда передает данные на удаленный сервер. Это дает хакеру доступ ко всему, что вы набираете, включая пароли. Лучший способ защиты — регулярно проверять ваше USB-соединение, особенно если ваш компьютер оставался без присмотра. Также возможно, что кейлоггеры могут быть установлены внутри корпуса клавиатуры, поэтому обращайте внимание на любые признаки вскрытия корпуса и рассмотрите возможность использования собственной клавиатуры на работе. Данные, введенные с виртуальной клавиатуры, вставленные из буфера обмена или автоматически заполненные менеджером паролей, не могут быть перехвачены аппаратным кейлоггером. | ||
Advanced | Безопасный ключ U2F/FIDO2 — это USB-устройство (или устройство с поддержкой NFC), которое вы подключаете во время входа в онлайн-сервис для подтверждения вашей личности вместо ввода одноразового пароля из вашего аутентификатора. Примерами таких ключей могут служить SoloKey и NitroKey. Они обеспечивают ряд преимуществ в области безопасности, так как браузер напрямую взаимодействует с устройством и не может быть обманут относительно того, какой хост запрашивает аутентификацию, благодаря проверке TLS-сертификата. Этот пост является хорошим объяснением безопасности использования токенов FIDO U2F. Конечно, важно хранить физический ключ в безопасном месте или носить его с собой. Некоторые онлайн-аккаунты позволяют включать несколько методов двухфакторной аутентификации. | ||
Advanced | Для повышения безопасности зашифрованный офлайн-менеджер паролей позволит вам полностью контролировать свои данные. KeePass является популярным выбором, предлагающим множество плагинов и форков сообщества, расширяющих совместимость и функциональность. Популярные клиенты включают: KeePassXC (для настольных компьютеров), KeePassDX (для Android) и StrongBox (для iOS). Недостатком может быть некоторое неудобство в использовании для некоторых пользователей, а также необходимость самостоятельного создания резервных копий и безопасного хранения данных. | ||
Advanced | Использование разных паролей для каждого аккаунта является хорошим первым шагом, но если вы также используете уникальное имя пользователя, адрес электронной почты или номер телефона для входа в систему, это значительно усложнит любым попыткам получить несанкционированный доступ. Самым простым способом использования нескольких электронных адресов является использование автоматически генерируемых псевдонимов для анонимной пересылки почты. При этом любое сообщение, отправленное на [что-то]@вашдомен.com, будет доставлено в ваш почтовый ящик, позволяя использовать разные адреса электронной почты для каждой учетной записи (см. провайдеров почтовых псевдонимов). Имена пользователей проще, поскольку вы можете использовать ваш менеджер паролей для их генерации, хранения и автоматического заполнения. Виртуальные номера телефонов можно генерировать через вашего провайдера VOIP. |