Вместе с МТС поговорили об основных правилах поведения в интернете с Вадимом Иваницким – системным инженером и специалистом по информационной безопасности, IT-тимлидом в TESLASUIT.
ВАДИМ ИВАНИЦКИЙ
– Есть замечательная аналогия: «Сколько раз в год нужно менять сердцевину замка дома?» Правильный ответ: «После того, как потеряли ключ». То есть «внутренности» замка нужно менять, если ключ был скомпрометирован. Если его не теряли и не передавали другому человеку, смысла в этом нет.
Миф о том, что менять пароли нужно часто, появился благодаря специалистам Национального института стандартов и технологий США (NIST). Основываясь на неверных данных, они разработали стандарт NIST Special Publication 800-63B, который рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли. Но есть исключения: например, в банковской сфере существуют отдельные требования к безопасности (PCI-DSS или российский ГОСТ Р 57580.1).
В 2017 году даже такой неповоротливый монстр, как NIST, понял свою ошибку и переписал стандарт. Посмотреть его в обновленном виде можно тут.
Microsoft в мае 2019 года убрала из своего базового требования к безопасности периодическую смену пароля. Компания проинформировала об этом в официальном блоге, списке изменений к Windows 10 версии 1903, а также Windows Server 2019 Security Baselines. Данные изменения были внесены в Microsoft Security Compliance Toolkit 1.0.
Зачастую при смене пароля люди просто добавляют цифру в конце. Это практически не увеличивает энтропию (долю хаоса, которая обеспечивает надежность пароля). Подробнее об этом можно почитать тут. Энтропию принято измерять в битах, а также в натах (natural units) или дитах (десятичных числах) в зависимости от основания логарифма, используемого при вычислении энтропии.
Грубо говоря, если у нас восьмисимвольный пароль, то это 28 бит энтропии. При тысяче попыток в секунду понадобится три дня, что подобрать такой пароль. Даже если он будет состоять из спецсимволов, чисел, больших и маленьких букв, это не составит труда.
Основное требование к паролю – его длина. Да, спецсимволы и цифры увеличивают его энтропию, но это некритично. Если пароль очень длинный, например «вафельнаястрекозакусаетвполночь», то это уже 128 бит энтропии. Чтобы его подобрать с той же скоростью попыток, уйдет пара тысяч лет. Некоторые могут предположить, что мощные квантовые компьютеры могут сделать все за доли секунды, но это не так.
Кроме того, существует двухфакторная идентификация. В таком случае есть не только пароль, но и защита на самом устройстве (например, смартфоне) или security-токен (цифровой аналог ценных бумаг). Сочетание этих двух факторов дает более серьезную гарантию, что ваша identity не будет скомпрометирована. Главное – не вешайте security-токен на цепочку к ноутбуку.
Файл «базы данных» можно безопасно держать в хранилищах типа Google Drive или Dropbox, чтобы иметь возможность синхронизировать ее между разными устройствами. Даже если этот файл утечет, то без мастер-пароля его не откроешь.
Есть и платные менеджеры, например 1Password. Или LastPass – он предлагает платную и бесплатную версии, там есть функция автозаполнения полей. Но и они не идеальны: об инциденте с LastPass можно почитать тут.
Есть приложения для мобильных устройств, десктопов и разных операционных систем (Windows, Linux, macOS). Они хранят пароли в зашифрованном виде. Ключом шифрования в таких приложениях является мастер-пароль. Такой пароль должен быть длинным, например символов двадцать (вспомним наш пример: «вафельнаястрекозакусаетвполночь»).
Браузеры – очень популярный софт. «Зловреды» активно изучают его, чтобы найти уязвимости. Из браузеров вытянуть сохраненные пароли гораздо проще, чем из менеджеров паролей.
В идеале в браузерах пароли лучше не хранить, но это вовсе не означает, что они являются небезопасным инструментом для веб-серфинга.
Я бы для хранения паролей советовал надежные менеджеры паролей – например, KeePass 2.
Многие сервисы типа Google, Facebook или Microsoft являются identity provider (поставщиками идентификации). На многих сайтах в форме для входа рядом с системой логина и пароля вы можете увидеть иконки социальных сетей или почтовых аккаунтов. То есть для того, чтобы «залогиниться», можно придумать локальный пароль именно для этого сайта или авторизоваться через поставщика идентификации. В этом случае Facebook или Google будут представлять собой мастер-аккаунты для других ресурсов.
Поскольку у Google есть удобная двухфакторная идентификация, она дополнительно защищает информацию.
Приведу понятную аналогию: «Безопасно ли переходить дорогу на зеленый свет?» Ответ: «В принципе, безопасно». Но все равно нужно смотреть сначала налево, а потом направо. Так и с хранением данных.
Есть распространенное заблуждение: если ваши фото или документы лежат в Google Drive, Dropbox или OneDrivе, то какие-то нечестные на руку сотрудники этих организаций (зачастую пользователей пугает именно это) могут получить к ним доступ.
Если использовать сервисы грамотно, то вероятность утечки минимальна. Чаще всего распространение информации происходит по ошибке самого пользователя.
Например, человек создает папку в Google Drive, закидывает туда какие-то фото или документы, открывает доступ по ссылке и отправляет другому человеку. Но всякий, у кого появится данная ссылка, сможет эти фото посмотреть. А через год в этой папке уже хранятся сканы договоров, кредитных обязательств и прочее (неоднократно такое наблюдал).
Доступ в хранилищах нужно предоставлять конкретному аккаунту. Тогда если кто-то перешлет вашу ссылку, то доступа к файлам у других людей не будет. Это элементарное правило компьютерной гигиены. Как, например, мыть руки перед едой.
Еще один совет: почитайте инструкцию к сервису, которым пользуетесь. У любых облачных провайдеров опубликованы элементарные правила безопасности и ответы на самые распространенные вопросы.
Соцсети могут вносить изменения в правила видимости для поисковых машин. Не нужно публиковать данные, которые имеют отношение к репутации или финансам. Важно помнить, что в социальных сетях нельзя оскорблять других пользователей. Помимо этики, такое поведение чревато серьезными последствиями: может навлечь на вас физическую опасность (сложно предугадать поведение обиженного человека) или вызвать судебное разбирательство.
Что касается минимальной базовой информации страницы, например публикации настоящего имени и фамилии, фото, года рождения, то, если вы законопослушный человек, скрывать их нет необходимости.
Если вы назовете себя как-то особенно хитро, вас, например, не сможет найти будущий работодатель. Это будет упущенной для вас возможностью. В некоторых соцсетях, например LinkedIn, это абсолютно бессмысленно и считается дурным тоном.
По защите вашей страницы совет все тот же: в большинстве социальных сетей есть двухфакторная аутентификация. Используйте ее.
Кроме того, не игнорируйте push-оповещения в телефоне о том, что от вашего имени произошел вход в аккаунт социальной сети. В большинстве соцсетей есть такая функция, но для ее работы необходимо установить приложение на смартфон.
Есть такая поговорка: «На дурака не нужен нож». Не нужно взламывать пароли, если можно просто в сообщение вставить ссылку, которая приведет на специальный сайт. Там может быть написано, что у вас завелся вредоносный софт и вы должны скачать программу, которая все исправит. Никогда так не делайте!
Во-первых, удаленно через браузер никто не сможет проверить, есть ли какие-то уязвимости на вашем устройстве.
Во-вторых, не стоит игнорировать предупреждения браузера о том, что сертификат не валидный, содержит ошибки или просрочен. Не важно, откуда пришла ссылка: из мессенджера, соцсетей, почты. Имеет смысл доверять предупреждениям браузера.
Существует такое явление, как фишинг: это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (логинам и паролям). Есть два типа фишинга.
Обычный фишинг (shot in the dark) – веерная рассылка. Если человек, которую получил подозрительную ссылку, технически подкован, он может проверить ее в изолированной среде.
Для рядового пользователя есть простые советы. У всякого линка есть действительный адрес, так называемый дисплей-текст. При наведении на ссылку мышкой появляется текст с данными ссылки. Если данная ссылка ведет не на тот ресурс, на который предполагалось, а на что-то непонятное, то не стоит на нее наживать.
Spear phishing – прицельная атака. Обычные пользователи крайне редко подвергаются таким атакам, их цель – известные люди или сотрудники компаний.
Если сообщение содержит ссылку на подобный ресурс, то в электронной почте у него будет большой фишинг- или спам-рейтинг, и оно попадет в соответствующую папку. Не игнорируйте такое предупреждение. К сожалению, мессенджеры не валидируют ссылки.
В далеком 2015 году сотрудник компании Symantec Брэд Чакос, ответственный за защиту данных, сказал прямо по Ницше: «Антивирус умер».
Да, антивирусы перестали быть надежными. Даже по самым оптимистичным оценкам хороший антивирус может распознать только половину всех угроз. Существует термин zero-day vulnerability (уязвимость нулевого дня), который обозначает неустраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы.
Но антивирус все равно нужно использовать. Это как ремень безопасности в машине. Он не гарантирует стопроцентную выживаемость водителя во время ДТП, но серьезно увеличивает ее шансы.
Вот тут много хороших роликов для родителей по правилам безопасности в интернете.
Но вы и сами можете сделать элементарные вещи. Например, создайте на всех устройствах дополнительную учетную запись с правами рядового пользователя. Во многих операционных системах есть родительский контроль. У таких пользователей будут ограничены права, и они не смогут установить какой-либо софт и изменить настройки без ведома администратора.
Для мобильных устройств все то же самое. Ребенок может попробовать установить ПО, но вам сразу придет уведомление, и вы сможешь разрешить его использование – или не разрешить.
Перепечатка материалов CityDog.by возможна только с письменного разрешения редакции. Подробности здесь.
Фото: pexels.com, unsplash.com.
ООО «ЭфСиБи Бел», УНП 193185741