За нашими персональными и платежными данными сегодня охотятся мошенники и хакеры. Первым данные нужны для кражи денег, а вторые эти данные продают. Есть ресурсы, взлом которых открывает злоумышленникам очень много перспектив — например, «Госуслуги» или банковские приложения. Защиту от хакеров мы оставим разработчикам сайтов и приложений, но защиту от взлома и прочих мошеннических посягательств можем и должны взять в свои руки. О том, как это сделать, расскажем в серии инструкций, посвященных цифровой безопасности. Сегодня говорим о защите аккаунтов.
Справка
Цифровая гигиена (кибергигиена) — набор правил, которые защищают данные пользователей в Сети.
Аккаунт — учетная запись пользователя в компьютерной системе, хранящая данные о нем. По-другому — личный кабинет. Для входа (авторизации) необходимо ввести логин и пароль, по которым система идентифицирует пользователя.
1. Поставьте надежные пароли
Степень безопасности данных, которые есть в аккаунте, зависит от степени надежности пароля. Чем он надежнее, тем труднее взломать аккаунт. К сожалению, большинство людей не слишком серьезно относятся к вопросу цифровой безопасности и задают пароли в стиле 1111 или 1122, облегчая задачу своей памяти, а заодно и мошенникам. Так, по данным Института кибербезопасности и цифровых технологий РТУ МИРЭА, каждый десятый россиянин ставит на свой смартфон пароль 1234. Вторая наша «фишка» — один пароль на все случаи жизни. Пароль из 4 символов легко вычислить методом перебора. А если он еще и один на все аккаунты — это джекпот для злоумышленника.
Надежный пароль:
1. Состоит из 10—12 знаков — цифр, букв разного регистра и спецсимволов.
2. Это случайное сочетание знаков — никакого последовательного набора клавиш вроде qwertyили 12345!
3. Никак не связан с личными данными пользователя вроде года и дня рождения и проч.
4. Уникальный — у каждого аккаунта свой пароль.
2. Правильно храните пароли
Держать в памяти сложные пароли от всех своих аккаунтов нереально. Можно, конечно, записать все в секретный бумажный блокнот, но тогда придется каждый раз открывать блокнот, вручную набирать пароли... Хранить пароли на смартфоне или планшете — опасное решение: если устройство попадет в руки нечестного человека, то все пароли будут скомпрометированы разом. Оптимальный вариант — менеджер паролей. Можно использовать специальную программу либо браузер со встроенным менеджером паролей.
Менеджер паролей запоминает и хранит логин и пароль, относящийся к конкретному сайту (приложению). Когда пользователь заходит на сайт (в приложение) для авторизации, менеджер паролей подставляет сохраненную пару логин-пароль. На смартфонах могут использоваться менеджеры паролей с доступом по отпечатку пальца или через распознавание лица.
На компьютере специалисты по кибербезопасности рекомендуют использовать именно программу, так как она более надежна в сравнении с браузером. Например, не во всех браузерах генерируются пароли, отвечающие всем критериям надежности, где-то нельзя задать мастер-пароль. Мастер-пароль — это ключ доступа к использованию сохранных паролей — его нужно ввести для подтверждения авторизации. Мастер-пароль защищает от несанкционированного использования сохраненные пароли: даже если злоумышленник получит доступ к компьютеру, без мастер-пароля он не зайдет ни в один аккаунт. Помимо этого, мастер-пароль закрывает доступ в само хранилище паролей. Свой мастер-пароль нужно запомнить. Кстати, он тоже должен отвечать всем критериям надежности.
Плюсы использования менеджера паролей:
· пароли не нужно придумывать — можно генерировать их в менеджере.
· не нужно ни запоминать, ни записывать пароли — все хранится в менеджере.
· исключается фишинг: менеджер подставит логин и пароль только на подлинном сайте.
3. Периодически меняйте пароли
Хотя бы раз в полгода рекомендуется обновлять все пароли.
4. Используйте закрытый вайфай
Трафик с устройства, подключенного к общедоступной точке вайфая, можно перехватить. А значит, введенные во время сеанса логины и пароли могут попасть к мошенникам.
5. Используйте двухфакторную аутентификацию
Она означает, что после ввода логина и пароля для входа в аккаунт нужно вести специальный код. Код приходит в СМС, push-сообщении либо в письме на электронную почту. Если аккаунт попытаются взломать, подобрав логин и пароль, код получить у злоумышленников не получится. А владелец аккаунта, получив нежданный код, сразу поймет, что была попытка взлома. В этом случае нужно сразу же поменять пароль.
6. Не реагируйте на письма «Ваш пароль скомпрометирован»
Если на электронную почту/в мессенджер вам пришло письмо/сообщение от имени банка (или другой организации), в котором говорится о попытке взлома вашего личного кабинета и необходимости перейти по ссылке и срочно поменять пароль, не переходите — это фишинг (мошенничество в интернете, нацеленное на выуживание конфиденциальных данных пользователей — логинов и паролей, платежной информации). Ссылка приведет на сайт-подделку, а пароль, который вы там укажете «для замены», окажется у жуликов. Для смены паролей всегда заходите на официальные сайты.
7. Не скачивайте сомнительные вложения из писем и сообщений
Не скачивайте документы, файлы, которые вы не заказывали и не ждете. Мошенники используют для фишинга не только ссылки, но и вложения, которые просят скачать под каким-нибудь предлогом. Скачав файл, пользователь загружает на свое устройство программу, которая передает все вводимые данные — логины, пароли и т. д.
Вообще, любую информацию, поступающую от сомнительных или неизвестных источников, следует воспринимать критически и проверять. Например, может ли банк выявить попытку взлома аккаунта какого-то клиента? Вряд ли. Для этого требуется армия сотрудников, которые будут заниматься только отслеживанием действий с аккаунтами. А чтобы не беспокоиться, зайдите на официальный сайт банка, авторизуйтесь и поменяйте пароль.
8. Программы и приложения скачивайте из официальных источников
И снова дело в мошенниках. Они маскируют вредоносные программы под популярные приложения. Такие программы либо дают злоумышленникам удаленный контроль над устройством, либо «сливают» все введенные логины и пароли.