Доброго времени суток.
Просторы интернета давно не являются безопасным пространством (если его вообще можно было когда-либо считать как таковым) для пользователя. Тем более необычным является то, что многие не считают нужным (или не знают как) соблюдать относительно простые правила, так называемой, IT-гигиены.
В рамках этой статьи хочется несколько обобщить простейшие способы защиты от различных напастей и неприятных моментов на пути веб-серфинга, чтобы каждый мог делать это просто и быстро (почти как умываться по утрам и чистить зубы).
Давайте приступим.
Наверняка каждый так или иначе сталкивался с моментом, когда с аккаунта знакомого вдруг начинает поступить какой-то левый спам, просьбы занять денежку и что-то еще такое-этакое.
Почему такое происходит, думаю, понятно, — аккаунты ломали и будут ломать, глобальные утечки паролей и номеров карт кредиток бывают, пожалуй, каждый год, а уж каких-либо подобных проблем такого порядка, при несоблюдении классических правил безопасности, бывает еще больше.
Если говорить обобщенно, то в рамках IT-гигиены можно выделить такие относительно простые правила как:
Пожалуй, если говорить об общей простейшей безопасности, — пока, в рамках этой статьи, — это всё. По понятным причинам здесь не упомянуты такие вещи, как антивирус и фаерволл.
Теперь давайте подробнее.
Старейшим и простейшим из методик IT-гигиены можно считать наличие отдельной почты для серьезных и важных вещей.
Для всего остального, — в том числе для переписок, — рекомендуется использовать другую почту (почты), а основную нигде и никогда не “светить” — она должна быть максимально чистой.
В случае регистрации где-то в сомнительных местах, сервисов для получения разовых (и не очень) писем существует бесчисленное множество. Даже тот же mail.ru имеет встроенный аномайзер, который генерирует почту вида djflksdfj@, которую можно и нужно использовать для всех писем, кроме критически важных.
Сами по себе не совсем являются элементом IT-гигиены, т.к доподлинно неизвестно собирают ли они какие-то данные и в каком виде, но, тем не менее, к использованию настоятельно рекомендуются.
Каждый выбирает блокировщик рекламы для себя, ну, а я, рекомендую uBlock. Есть почти для всех браузеров и работает как часы. Практически не требует какой-нибудь углублённой настройки, работает по принципу “установил и забыл”.
Помогают не только избежать просмотра нещадного количества рекламы, но и защищают от некоторых типов зловредов, которые могут нести в себе потенциальную угрозу.
Для защиты от глобальных утечек базы паролей со стороны какой-нибудь компании, рекомендуется использовать разные пароли для вообще всех сайтов.
Делается это не так сложно как казалось бы. Есть конечно много мнемонических техник, вроде набора пароля словосочетанием в другой раскладке и тп, но после пары сотен (да даже десятка) сайтов держать всё это в уме уже сложновато.
Наиболее удобным способом будет использование расширения, например, Lastpass. Умеет генерировать, хранить и систематизировать пароли от всех сайтов, есть для всех браузеров, прост и неприхотлив в настройке.
Единственное, что будет очень важным, — это корректный, длинный и запоминающийся для вас мастер-пароль. Ну и простые правила, вроде типовых: стараться не логиниться на неизвестных компьютерах или хотя бы не запоминать введенную пару логин-мастер пароль.
Поддерживает всё необходимое, умеет сохранять формы, данные кредиток, заметки и многое многое другое. Более того, можно установить на мобильное устройство и так же быстро и легко вводить пароли на нём, запоминать пароли приложений и так далее.
Наверное известна каждому, как минимум из-за банков. Когда Вы кроме паролей вводите еще код из SMS, — это как раз оно.
Есть второй тип аутентификаций, и он более надежный, — это использовать приложение для телефона, которое генерирует коды взамен SMS.
К сожалению, не все сервисы поддерживают его (но уже очень много таковых есть, — это и Google, и дискорды и многое что еще), но там где есть — нужно использовать. На класс увеличивает защиту аккаунта и, в отличие от SMS, не подвержен типовым обходам, вроде подделки сим-карты и перехвата кодов.
Приложений для этого есть уже достаточное количество. Из основных это Google Authenticator и тот же Lastpass Authenticator. Какие-то сервисы используют свои приложения (Яндекс.Ключ, Microsoft Authenticator) и не поддерживают сторонние. Это не очень удобно, но лучше чем SMS-ки или вообще без защиты.
Является основным из критериев IT-гигиены. Дарит приватность, защищает от утечек IP-адреса (и не только) и не даёт привязать аналитику непосредственно к Вам, шифрует трафик и скрывает многое другое.
Рекомендуется использовать в платном варианте (Zenmate как пример) и целиком “оборачивать” систему, но можно и использовать бесплатные решения в виде расширений к браузеру.
Да и сам браузер может уметь использовать его, например, это Opera VPN, который работает на уровне браузера и включается-выключается двумя кликами.
Почему-то всё ещё существует практика хранения паролей где попало. Не надо так делать. Храните пароли или в голове и/или в сервисах типа упомянутых выше Lastpass. Решения вроде стикеров на монитор, пароля под клавиатурой, телеграмма, блокнота и тп, — это весьма небезопасные (что уже неоднократно доказано) идеи и так делать не стоит вообще и совсем.
Как уже говорилось, это простейший обобщенный базис. Хотелось бы погрузиться в тему подробнее, если пост кому-то будет интересен и полезен.
Просторы интернета давно не являются безопасным пространством (если его вообще можно было когда-либо считать как таковым) для пользователя. Тем более необычным является то, что многие не считают нужным (или не знают как) соблюдать относительно простые правила, так называемой, IT-гигиены.
В рамках этой статьи хочется несколько обобщить простейшие способы защиты от различных напастей и неприятных моментов на пути веб-серфинга, чтобы каждый мог делать это просто и быстро (почти как умываться по утрам и чистить зубы).
Давайте приступим.
Нюансы проблематики
Наверняка каждый так или иначе сталкивался с моментом, когда с аккаунта знакомого вдруг начинает поступить какой-то левый спам, просьбы занять денежку и что-то еще такое-этакое.
Почему такое происходит, думаю, понятно, — аккаунты ломали и будут ломать, глобальные утечки паролей и номеров карт кредиток бывают, пожалуй, каждый год, а уж каких-либо подобных проблем такого порядка, при несоблюдении классических правил безопасности, бывает еще больше.
Если говорить обобщенно, то в рамках IT-гигиены можно выделить такие относительно простые правила как:
- Наличие отдельных почт для серьезных аккаунтов и всех остальных;
- Использование блокировщиков рекламы, а, в идеале, скриптов, iframe, cookies и всего подобного;
- Наличие VPN (хотя бы бесплатного);
- Использование разных паролей для всех сайтов без исключения (помогает в этом Lastpass, Keepass и другие менеджеры паролей);
- Повсеместно должна быть включена двухфакторная аутентификация, причем, желательно, не с использованием sms, а кода с использованием приложений;
- И, пожалуй, такая простая, но очевидная вещь, как не хранить пароли в очевидных местах, будь это физические решения вроде пароля на листочке под клавиатурой (или стикером на мониторе) или где-нибудь в блокнотике на рабочем столе или переписки в телеграмме.
Пожалуй, если говорить об общей простейшей безопасности, — пока, в рамках этой статьи, — это всё. По понятным причинам здесь не упомянуты такие вещи, как антивирус и фаерволл.
Теперь давайте подробнее.
Отдельная почта
Старейшим и простейшим из методик IT-гигиены можно считать наличие отдельной почты для серьезных и важных вещей.
Для всего остального, — в том числе для переписок, — рекомендуется использовать другую почту (почты), а основную нигде и никогда не “светить” — она должна быть максимально чистой.
В случае регистрации где-то в сомнительных местах, сервисов для получения разовых (и не очень) писем существует бесчисленное множество. Даже тот же mail.ru имеет встроенный аномайзер, который генерирует почту вида djflksdfj@, которую можно и нужно использовать для всех писем, кроме критически важных.
Блокировщики рекламы
Сами по себе не совсем являются элементом IT-гигиены, т.к доподлинно неизвестно собирают ли они какие-то данные и в каком виде, но, тем не менее, к использованию настоятельно рекомендуются.
Каждый выбирает блокировщик рекламы для себя, ну, а я, рекомендую uBlock. Есть почти для всех браузеров и работает как часы. Практически не требует какой-нибудь углублённой настройки, работает по принципу “установил и забыл”.
Помогают не только избежать просмотра нещадного количества рекламы, но и защищают от некоторых типов зловредов, которые могут нести в себе потенциальную угрозу.
Разные пароли
Для защиты от глобальных утечек базы паролей со стороны какой-нибудь компании, рекомендуется использовать разные пароли для вообще всех сайтов.
Делается это не так сложно как казалось бы. Есть конечно много мнемонических техник, вроде набора пароля словосочетанием в другой раскладке и тп, но после пары сотен (да даже десятка) сайтов держать всё это в уме уже сложновато.
Наиболее удобным способом будет использование расширения, например, Lastpass. Умеет генерировать, хранить и систематизировать пароли от всех сайтов, есть для всех браузеров, прост и неприхотлив в настройке.
Единственное, что будет очень важным, — это корректный, длинный и запоминающийся для вас мастер-пароль. Ну и простые правила, вроде типовых: стараться не логиниться на неизвестных компьютерах или хотя бы не запоминать введенную пару логин-мастер пароль.
Поддерживает всё необходимое, умеет сохранять формы, данные кредиток, заметки и многое многое другое. Более того, можно установить на мобильное устройство и так же быстро и легко вводить пароли на нём, запоминать пароли приложений и так далее.
Двухфакторная аутентификация
Наверное известна каждому, как минимум из-за банков. Когда Вы кроме паролей вводите еще код из SMS, — это как раз оно.
Есть второй тип аутентификаций, и он более надежный, — это использовать приложение для телефона, которое генерирует коды взамен SMS.
К сожалению, не все сервисы поддерживают его (но уже очень много таковых есть, — это и Google, и дискорды и многое что еще), но там где есть — нужно использовать. На класс увеличивает защиту аккаунта и, в отличие от SMS, не подвержен типовым обходам, вроде подделки сим-карты и перехвата кодов.
Приложений для этого есть уже достаточное количество. Из основных это Google Authenticator и тот же Lastpass Authenticator. Какие-то сервисы используют свои приложения (Яндекс.Ключ, Microsoft Authenticator) и не поддерживают сторонние. Это не очень удобно, но лучше чем SMS-ки или вообще без защиты.
VPN
Является основным из критериев IT-гигиены. Дарит приватность, защищает от утечек IP-адреса (и не только) и не даёт привязать аналитику непосредственно к Вам, шифрует трафик и скрывает многое другое.
Рекомендуется использовать в платном варианте (Zenmate как пример) и целиком “оборачивать” систему, но можно и использовать бесплатные решения в виде расширений к браузеру.
Да и сам браузер может уметь использовать его, например, это Opera VPN, который работает на уровне браузера и включается-выключается двумя кликами.
Не хранить пароли
Почему-то всё ещё существует практика хранения паролей где попало. Не надо так делать. Храните пароли или в голове и/или в сервисах типа упомянутых выше Lastpass. Решения вроде стикеров на монитор, пароля под клавиатурой, телеграмма, блокнота и тп, — это весьма небезопасные (что уже неоднократно доказано) идеи и так делать не стоит вообще и совсем.
Послесловие
Как уже говорилось, это простейший обобщенный базис. Хотелось бы погрузиться в тему подробнее, если пост кому-то будет интересен и полезен.
aik
Скомпрометируют lastpass — утекут все ваши пароли одновременно.
Пароль на мониторе, в блокнотике или под клавиатурой — самое безопасное, хакер не утащит, если ножками к вам не придёт.
Почтовый адрес и один сегодня не все запомнить способны, а вы разные предлагаете.
Ну и т.п.
Для чайника эти правила практически невыполнимы в силу лени и синдрома неуловимого джо, а параноики давно уже сами к ним пришли. :)
С почтой самое главное — не забрасывать ящик. А то куча людей так со своими скайпами расставалась, к примеру. Когда ящик по неактивности удалялся, а пароль к аккаунту забывался.
Alexs177
А разве содержимое не шифруется мастер-паролем?
Бумажки да, где-то сменил пароль, где-то восстановил и при изменении нельзя использовать старый, где-то требуют пароль чуть сложнее, где-то всё ещё http и я не хочу светить мой пароль.
В результате ворох сервисов с вариациями одного пароля. Плюнул и использую менеджер паролей.
aik
Это они так говорят. Шифруется ли, есть ли у них черный ход для расшифровки — это не узнать.
Лично я просто пяток стандартных паролей разной сложности использую для сервисов разной степени важности.
polearnik
а потом последовательно вводите все 5 паролей в надежде найти тот самый? почему оффланй менеджер паролей не испольщуете? Keepass это уже стандарт. Базу закиньте кудато в облако и на телефоне приложение поставьте. Без мастер пароля (длинного и сложного разумеется) утащенная база просто набор рандомных байтов
aik
Максимум повторно, но обычно я верно оцениваю важность сайта и ввожу нужный пароль.
А кипасс не хочу, мне быстрее набрать пароль руками, чем его скопировать из менеджера.
polearnik
если поставить расширение в браузер то вводить ручками пароли не надою заодно исключится ввод пароля на фишинговом сайте
gecube
Как расширение спасёт от ввода пароля на фишинговом сайте? Я уж не говорю о том, что зачем это нужно, если весь этот функционал уже интегрирован в сами браузеры?
polearnik
при создании записи в кипасе вводите адрес сайта. расширение будет предлагать подставить логин пароль только если адрес будет совпадать.
Если вы создали пароль для сайт mail.ru то при заходе на фишинговую страницу с адресом rnail.ru пароль не подставится. как минимум это заставит вас насторожится.
В браузерах функционал то есть но достать пароли оттуда очень легко.
lomalkin
Можете про это чуть подробнее рассказать? Спасибо.
polearnik
Быстрый гуглеж вывел на эти проги
www.nirsoft.net/utils/web_browser_password.html
github.com/kspearrin/ff-password-exporter#downloadinstall
www.nirsoft.net/utils/chromepass.html
есть конечно мастер пароли в баузерах. насчет гугл хрома хз так как не пользуюсь но есть такая вот старая ссылка qna.habr.com/q/55 и не менее старое но фееричное lifehacker.ru/paroli-soxranyonnye-v-google-crome-mozhet-uvidet-kto-ugodno
насчет мозиллы www.anti-malware.ru/news/2018-03-19-1447/25748
lomalkin
Спасибо, но это все работает при наличии локального доступа. Тут мало что может помочь.
aik
Пароли не только в браузере вводятся. Не на каждый браузер поставишь расширение. Потому пароли все равно надо помнить. А если надо помнить, то зачем мне кипасс?
Хотя, конечно, я все же записываю на всякий случай. Но нечасто обращаюсь.
Dolios
А зачем их помнить? Enpass, например, просто ставится везде. Нормальные пароли вы не запопните. Особенно с учетом того, что, их неплохо бы менять регулярно (а некоторые сервисы будут заставлять это делать).
sumanai
Рекомендацию по регулярной смене уже отменили, как и зубодробительные пароли. Сейчас рекомендуются парольные фразы.
Dolios
Кто отменил? И расскажите это банкам.
Кем рекомендуется? Чем ваша фраза из 40 букв, которую я усрею подсмотреть, пока вы её набираете или которую можно считать банальным микрофоном, лучше моей парольной строки из 80 символов, которая содержит всю клавиатуру и которую я вставлю из буфера обмена?
sumanai
Те же, что и ввели, NIST.
Всё теми же.
А вы молча набирайте.
Ничем, пользуйтесь и дальше. И я тоже продолжил пользоваться. Рекомендации для простых пользователей, которые парольные менеджеры не используют.
И да, менеджер паролей тоже нужно защищать ))
Dolios
Звуки нажимаемых клавиш не идентичны, если "забыть телефон" у вас на столе, можно много интересного узнать.
Как и сам компьютер, на котором вы пароль вводите.
sumanai
Именно. Парольный менеджер это хорошо, но, как и физическая связка ключей, позволяет потерять их все сразу. Так что у всего есть свои плюсы и минусы.
А на счёт ротации паролей практика показала, что она только добавляет геморроя, не повышая реально уровень безопасности, поэтому её сейчас не рекомендуют. И банки тоже к этому скоро придут.
slavius
Приходите на другой чужой комп и?.. Втыкать свой пусть даже портативный, но на флешке хранитель паролей?
Да и птичка «запомнить пароль» заставляет именно Вас пароль как раз таки забыть :) и даже к какой учетке пароль.
polearnik
а решение на чужом компе вводить пароль от 1/5 аккаунтов разве лучше? ДА и для того чтоб ввести пароль на чужом компе не обязательно вставлять флэшку с базой и вводить пастер пароль. достаточно открыть эту базу у себя на телефоне. У приложения есть синхронизация с облаками.
DistortNeo
Обычно спотыкаешься только на тех сайтах, где используются какие-то неадекватные требования к паролю. И сценарий для них у меня такой:
arrakisfremen
Retifff
Есть же вполне оффлайновый keepass. Блокнотик — это слишком сурово для сотен паролей )
aik
Если паролей сотни, то, конечно, блокнотиком не отделаешься.
Как вариант — помнить только один пароль от почты и активно пользоваться кнопкой «забыл пароль». :)
Mike-M
В том же KeePass для этого есть специальная группа — eMail.