Генератори паролів, токени та антивіруси – що таке цифрова безпека і чому вона не менш важлива за фізичну
Генератори паролів, токени та антивіруси – що таке цифрова безпека і чому вона не менш важлива за фізичну
Будь-яка інформація – цінність, яку варто охороняти
[ads-pc-2]
У кінці квітня Британський Національний центр кібербезпеки (NCSC) оприлюднив рейтинг найневдаліших паролів. Незважаючи на мільйони статей з порадами щодо підбору паролів, лідерами антирейтингу щороку стають традиційні комбінації 123456, 123456789 та qwerty. Серед паролів, які складаються з імен, найпопулярнішими стали ashley, michael та daniel. А з-поміж імен музикантів – blink182, 50cent та eminem. Що таке цифрова безпека, як правильно підбирати паролі та чи варто ставати «безпековим параноїком», розповідає Дмитро Снопченко, експерт з питань цифрової безпеки.
Дмитро Снопченко, експерт з питань цифрової безпеки
Інформація поділяється на загальнодоступну та закриту. Загальнодоступна – це дані, які ми самі виставляємо в інтернеті та соцмережах. Наприклад, фото, імена й прізвища, електронні адреси. Закрита – наші переписки, паролі, обмін файлами, месенджери. Часто користувачі, думаючи про безпеку, намагаються захистити лише закриту інформацію.
Однак про те, що ми самі генеруємо та відправляємо в публічне поле, теж потрібно думати. Це називається цифрова гігієна. Адже коли будь-що потрапляє в інтернет, видалити це без залучення шалених ресурсів дуже складно. А використати проти нас – надзвичайно легко. Тому вже на стадії покупки комп’ютера чи смартфона варто думати про цифрову безпеку.
Найнебезпечніше в наш час – коли користувач думає: «Я нікому не потрібен, кому мене зламувати?»
Цифрова безпека – це комплекс технічних засобів та соціальної поведінки, розуміння цінностей інформації та правил поведінки з нею, які виробляє для себе людина.
Найнебезпечніше в наш час – коли користувач думає: «Я нікому не потрібен, кому мене зламувати?» Це все одно що думати, що у вас ніколи не вкрадуть телефон чи не вирвуть сумочку. Немає такої гарантії. Сьогодні майже в усіх є банківські картки. Так, у вас може бути на рахунку 100 гривень. Але отримавши доступ до картки, можна збільшити кредитний ліміт, скажімо, до 20 тисяч гривень, і зняти кошти в найближчому банкоматі. А користувачу, який думає, що нікому не потрібен, доведеться потім виплачувати кредит, якого він не брав.
Як правильно захистити інформацію
Закриту інформацію користувачі починають усе більше захищати. Але часто роблять це неправильно. Тому що, по-перше, не знають, як. А по-друге, не розуміють, від кого. Наприклад, переважна більшість моїх знайомих та клієнтів користуються сервісами від Google – поштою, дисками для зберігання інформації тощо. Однак мало хто знає: Google читає всю переписку користувачів.
Google отримує не просто всю інформацію про користувача, але навіть дані про роздільну здатність його екрана, ІР-адресу, операційну систему та пристрої, які він підключає до ноутбука, комп’ютера чи смартфона.
Це прописано в їхньому ліцензійному договорі з користувачем, який рідко хто читає. Прямим текстом, великими літерами, на всіх мовах. Там зокрема зазначається, що Google отримує не просто всю інформацію про користувача, але навіть дані про роздільну здатність його екрана, ІР-адресу, операційну систему та пристрої, які він підключає до ноутбука, комп’ютера чи смартфона. Єдине, чого Google не знає, – це пароль доступу користувача.
Серед засобів цифрової безпеки можна виділити технічні (спеціально розроблені програми та гаджети для захисту) та логічні (дії, які приймає людина для захисту своєї інформації). Наприклад, якщо людина не хоче, щоб Google читав її переписку, вона може обрати іншу платформу (Ukr.net, Yandex або інші сервіси анонімної переписки). Це буде логічна дія. Або не заходити на порносайти чи не натискати на всі посилання, які приходять електронною поштою.
Технічних засобів захисту є багато. Кожен з них варто окремо виділити.
Паролі
Паролі – це перший етап аутентифікації. Сьогодні вони мають бути не менш як 10-символьні та містити в собі великі букви й цифри. Якщо раніше вважалося, що достатньо 8 символів і наявності великих букв, то зараз краще мати від 10-12 символів, великі/маленькі букви та цифри.
У паролі в жодному разі не має бути імен, прізвищ, кличок домашніх тварин, дат народження. Цю всю інформацію можна взяти з відкритих джерел.
Наприклад, соцмереж.
Нескладно підібрати пароль, якщо ви Іван Іванов у Facebook, у вашому профілі вказано, що вам 27 років, а в стрічці 15 червня у вас купа привітань, бо це – ваш день народження. Тут легко погратися з варіаціями ivanov15061992 чи 15ivanovivan1992 – і за кілька хвилин зламати вашу пошту. Якісний пароль має бути згенерований випадковим реченням з цифрами та іншими символами. Особисто в мене пароль – це випадково згенероване речення довжиною 25 символів з великими та маленькими буквами, цифрами та спецсимволами. Як приклад з анекдота, паролем може бути речення, написане англійськими літерами «У слові холодильник 11 літер» або «холодильник11БУКВ».
В інтернеті є дуже багато порад, як правильно вигадати пароль або як його згенерувати. Не користуйтеся ними. Будьте креативні – заплутайте зловмисника так, щоб він думав: «Та що у нього в голові робиться?»
Один пароль ніколи не може бути паролем до всіх сервісів. Тобто не можна ставити kchwewkjgf&*nhgvYY56)khhg до пошти, соцмереж і комп’ютера. Різні сервіси – різні паролі. Якщо зламують один пароль, його автоматично підставляють в усі сервіси. Або якщо зловмисник зрозумів схему підбору пароля, що ви, наприклад, просто міняли місцями цифри та букви, як в ivanov15061992 та 15ivanovivan1992, то все решта зламується за кілька секунд.
В інтернеті є дуже багато порад, як правильно вигадати пароль або як його згенерувати. Не користуйтеся ними. Якщо вирахують, за яким принципом збудовані ваші парольні фрази, вас зламають знову – таки за кілька секунд. Будьте креативні – заплутайте зловмисника так, щоб він думав: «Та що у нього в голові робиться?»
Можна вигадати власну систему комбінацій, наприклад, із використанням якихось суфіксів чи префіксів. Наприклад, пароль в Instagram – якась коротка фраза + цей суфікс, а пароль до Facebook – вже інша фраза + префікс.
Звісно, що всі подібні паролі складно втримати в голові. Для цього існують менеджери паролів. Спеціальні програми, які захищають паролі одним майстер-паролем. А вже потім програма сама підставляє паролі до різних сервісів. Однак менеджер паролів сьогодні теж не є панацеєю. Бо якщо пароль 123456 можна вгадати, а випадково згенероване речення – нереально, то підібравши один пароль до менеджера паролів, отримаєш доступ до всього.
Є такі програми, «стілери» – це троянські віруси, які розсилаються по всьому світу, призначені для крадіжки паролів. Вони перехоплюють паролі в момент, коли ви заходите в пошту чи інший сервіс і вводите їх. Там уже неважливо, якої довжини він буде – його просто копіюють і відправляють. У браузерах часто користуються функцією «менеджер паролів», коли вас запитують: «Зберегти пароль для цієї сторінки?» Так от, коли «стілер» потрапляє на комп’ютер, він насамперед «моніторить» усі браузери на наявність таких збережених паролів і відправляє все «хазяїну».
Антивірус
Його дуже важливо мати на комп’ютері, щоб не піймати «стілера». Антивіруси найкраще брати платні. У безкоштовних програмах, по-перше, розробники не несуть відповідальності за злам вашого комп’ютера. По-друге, існує низка антивірусів, які отримують доступ до ваших персональних даних і віддають їх маркетологам – і так заробляють. Це прописано в ліцензійному договорі, який, як і у випадку з Google, мало хто читає. Нічого особистого – просто бізнес.
Хоча я антивіруси не використовую. Просто вони можуть «зжерти» всю мою колекцію вірусів на комп’ютері. Вони мені потрібні для роботи – дивлюся, як вони працюють, та демонструю клієнтам наслідки.
Двофакторна аутентифікація
Перший фактор – це пароль, який можна запам’ятати або записати. Другий фактор – найчастіше смс. Людина вказує свій номер і отримує випадковий код, який потрібно ввести. Тобто навіть якщо ваш пароль до соцмереж зламали, потрібно ще ввести код із смс, а це отримати вже складніше. Хоча теж можливо.
Біометрія, тобто аутентифікація відбитком пальця, сьогодні не дуже ефективна. Тобто це зручно і швидко, але не так безпечно, як введення пароля та підтвердження входу через смс. Тільки в інтернеті у відкритому доступі є сотні тисяч роликів, як обійти цю систему: від найпростішого – зняти відбиток пальця за допомогою клею ПВА, до складнішого – зняти відбитки зі склянки, з якої пила людина.
Токени
Вони виглядають як флешки. Це смарт-карта, яка має захищену область пам’яті, що зберігає в собі не паролі доступу, а сертифікати. За ними людина може потрапляти в той чи інший сервіс. Ще є категорія апаратних засобів для збереження паролів. Вони виглядають як брелоки і працюють через Bluetooth. Поки вони лежать біля комп’ютера, користувач може з них «витягнути» пароль для пошти чи соцмережі. Але щойно людина з цим брелоком відійшла – все стає запаролено. Це непогана фаза захисту. Адже якщо комп’ютер інфікує «троян», то до іншого пристрою він уже доступу немає.
Потрібно підбирати ті сервіси та гаджети, які будуть і безпечними, і зручними саме вам.
Водночас ці всі пристрої та програми потрібно налаштувати в такий спосіб, аби зберігався баланс безпеки і зручності. Бо якщо ви 30 хвилин заходите в усі сервіси, відходите на обід, все закривається, а після обіду знову потрібно 30 хвилин, щоб довести системі, що ви – це ви, то це непродуктивно. Потрібно підбирати ті сервіси та гаджети, які будуть і безпечними, і зручними саме вам.
У мене в голові є тільки три паролі. Один з них – на вмикання комп’ютера, другий – до менеджера паролів, третій – до токена. У менеджері паролів у мене доступ до всіх систем і сервісів – це завантажується автоматично, а в смарт-карті – ключі шифрування, підписи, важливі документи. Тобто я вмикаю комп’ютер, вводжу пароль, потім вводжу пароль до менеджера паролів – і все починає працювати. За дві хвилини я можу працювати. Якщо потрібно щось додатково – звертаюся до токена.