Про цифрову безпеку

Вступ

Для кожного акаунту має бути свій унікальний пароль.
Використовуйте складний пароль, на кшталт fС6y?wTg%X3h(k!S.
Змінюйте пароль раз на 6-12 місяців.
Використовуйте менеджер паролів.
Увімкніть двофакторну аутентифікацію.
Не відкривайте підозрілі файли з пошти.
Не переходьте за підозрілими посилання в листах, месенджерах.
Будьте уважними, коли вводите логін і пароль на сайтах (перевіряйте, чи сайт справжній).
Користуйтесь антивірусом і своєчасно оновлюйте антивірусні бази.

Далі дивіться більш розширену інформацію про цифрову безпеку: паролі, двофакторна аутентифікація, юсб-токен, VPN, пісочниця та інше.

1. Про паролі

Унікальність пароля
Крадіжки персональних даних трапляються навіть з сайтів відомих компаній. Що вже тоді казати про сайти, де безпеці не приділяють належної уваги. Тому, погана ідея використовувати один пароль для всіх акаунтів, наприклад:
електронна пошта - D$k8m2)sl%7
соц.мережі - D$k8m2)sl%7
інтернет-банкінг - D$k8m2)sl%7
сайт об'яв - D$k8m2)sl%7
Вкравши один пароль, хакер отримає доступ до всіх ваших акаунтів. Тому, для кожного сайту має бути свій унікальний пароль.

Складність пароля
Не використовуйте прості паролі, наприклад 123456, qwerty.
Скажу більше, паролі, що складаються лише з одних цифр, навіть довжиною в 16 цифр, в сучасних реаліях взагалі нема сенсу використовувати.
Також не раджу використовувати в паролях особисту інформацію (дату народження, прізвище, псевдонім, телефон, адресу).
Пароль має бути складним, містити літери (малі і великі), цифри, спецсимволи, наприклад, fС6y?wTg%X3h(k!S.

Довжина пароля
Станом “на вчора” можна було рекомендувати пароль довжиною від 12 символів (при умові, що такий пароль містить малі і великі літери, цифри, спецсимволи).
Але технології дешифрування не стоять на місці, тому станом “на сьогодні” одразу можна порадити ще більшу довжину пароля, наприклад, 16 символів чи більше, наприклад, fС6y?wTg%X3h(k!S.
А станом “на завтра” - 20 символів чи більше.

Періодичність зміни пароля
Змінюйте пароль раз на 6-12 місяців.

Менеджер паролів
Звісно, складно запам'ятати десятки унікальних складних паролів (які до того ж оновлюються раз на 6-12 місяців).
Зберігати паролі в блокноті без пароля - небезпечно.
Тому раджу використовувати менеджер паролів. Наприклад, Bitwarden, KeePassXC, NordPass, Proton Pass, 1Password.
В менеджері паролів можуть зберігатись дані про десятки акаунтів, тому вибирайте складний пароль для захисту самого менеджера паролів.

Підсумую:
- для кожного акаунту використовуйте свій унікальний пароль;
- паролі мають бути складні, на кшталт fС6y?wTg%X3h(k!S;
- довжина пароля 16 символів чи більше;
- змінюйте пароль раз на 6-12 місяців;
- використовуйте менеджер паролів.

2. Двофакторна аутентифікація

Пароль можуть зламати або викрасти, тому окрім складного паролю використовуйте двофакторну аутентифікацію скрізь, де це можливо (поштова скринька, інтернет-банкінг, Гугл, Фейсбук і т.д.). Двофакторна аутентифікація зменшує ризики викрадення персональних даних.
Двофакторна аутентифікація створює два рівня захисту, коли при вході в акаунт окрім пароля потрібно ввести ще й спеціальний код підтвердження.

Як працює двофакторна аутентифікація під час входу в акаунт:
- ви вводите ім’я користувача та пароль;
- вам пропонують виконати другий крок перевірки за допомогою спеціального коду підтвердження.
Код підтвердження можна отримати через смс або телефонний дзвінок, через спеціальну програму, або з допомогою фізичного ключа безпеки (юсб-токена).

Варіанти двофакторної аутентифікації:
1) Смс-ки на телефон з кодом підтвердження - це самий простий варіант. Недоліки: по-перше, злодії можуть перевипустити вашу сім-карту; по-друге, якщо в смартфоні є віруси, тоді смс можуть бути перехоплені;
2) Спеціальна програма аутентифікатор у смартфоні, яка генерує код підтвердження, наприклад, Google Authetntificator, Duo Mobile, Microsoft Authetntificator - це більш надійний варіант. Зауваження, годинник на смартфоні має показувати точний час, якщо ж раптом годинник поспішає чи відстає - це призведе до помилки;
3) Фізичний ключ безпеки (юсб-токен) - це найбільш надійний варіант.

3. Юсб-токени

Фізичний ключ безпеки (юсб-токен) - це спеціальний USB-пристрій, який генерує одноразові коди підтвердження.

Приклади юсб-токенів:
Feitian ePass FIDO U2F FIDO2 USB-A K4B,
Feitian ePass FIDO U2F FIDO2 NFC USB-A K9B,
Yubico FIDO U2F Security Key.
Перевага юсб-токена - надійність, підробити юсб-токен неможливо.
Недолік юсб-токена - ціна від 20доларів. Є юсб-токени з NFC, вони ще дорожчі. Юсб-токени рекомендується купувати парами (по-перше, в таких сервісах, як гугл, потрібно 2 юсб-токена, по-друге, так просто надійніше, на той випадок, якщо один загубиться чи зіпсується).
Отже, пара юсб-токенів - від 40доларів/2шт - цього достатньо. Є дорожчі - це вже або більш дорогий бренд, або через додаткові опції, які не всім потрібні (NFC, тощо).

4. Про загрози для електронної поштової скриньки

Не відкривайте підозрілі файли з пошти
Якщо ви отримали підозрілий лист, не відкривайте приєднані файли. І не зберігайте ці файли на комп'ютер.

Якщо поштова скринька скомпрометована
Для перевірки, чи не потрапила ваша скринька в базу хакерів, завітайте на сайт:
have i been pwned?

Звісно, якщо скринька скомпрометована, ви можете встановити новий супер складний пароль.
Але я б не рекомендував використовувати скомпрометовану скриньку для чогось цінного чи важливого.
По-перше, вам почнуть надходити листи від шахраїв (наприклад, звинувачення в розсилці спаму, листи з псевдо-призами чи псевдо-виплатами, шантаж з вимогою заплатити викуп тощо).
По-друге, якщо хакери визначать ваш акаунт як супер-цінний, тоді на злам/крадіжку вашої поштової скриньки буде витрачено ще більше часу/ресурсів/методів, і загроза нового зламу зросте в рази.
Тому, в ідеалі, - створіть нову поштову скриньку і перереєструйте всі важливі данні (банківські додатки, соцмережі, електронні гаманці, тощо) на нову поштову скриньку, і цього разу одразу захищайтесь краще.

5. Підозрілі електронні посилання в листах, месенджерах

Якщо ви отримали електронний лист або повідомлення в месенджері, яке містить електронне посилання на сайт, рекомендую перевірити, чи такий сайт справжній і не переходити за підозрілими адресами.
Для браузерів є спеціальні розширення, які блокують перехід на шахрайські сайти, наприклад, Malwarebytes.

6. Будьте обережними, коли вводите логін і пароль на сайтах

Будьте уважними, коли вводите логін і пароль на сайтах (перевіряйте, чи сайт справжній, а не підробка на кшталт Abibas замість Adidas).

7. Антивірус

Користуйтесь антивірусом, наприклад, Avast, Bitdefender, Eset.
Своєчасно оновлюйте антивірусні бази.
Додатково регулярно робіть перевірку з допомогою:
- Malwarebytes
https://www.malwarebytes.com/
- Eset Online Scanner
https://www.eset.com/us/home/online-scanner/

8. Перевірка програм на сайті virustotal.com

Якщо встановлюєте безплатні програми - будьте обережні. Перш ніж інсталювати програму, виконайте перевірку на сайті https://virustotal.com Якщо virustotal.com повідомляє, що знайдено троян чи вірус, краще пошукайте альтернативну програму без троянів і вірусів.

9. VPN

При можливості використовуйте VPN, наприклад, Proton VPN.
VPN приховає ваш ай-пі.
Вбудований VPN є в браузері Opera. Також, як додаткова опція, VPN є в деяких антивірусах.

10. Пісочниця-контейнер

Для додаткового захисту використовуйте пісочницю-контейнер, яка відкриває підозрілі програми в ізольованому віртуальному просторі.
Пісочниця-контейнер - це щось на кшталт в'язниці для злодіїв.
Сучасні антивіруси можуть мати вбудовану пісочницю-контейнер, наприклад, Avast. Деякі брандмауери також можуть мати пісочницю-контейнер.

11. Веб-камера. І захист конфіденційності

Якщо є підозра, що за вами шпигують, обмежте доступ до веб-камери. Платне рішення: використовуйте платну антивірусну програму з модулем захисту веб-камери.
Безкоштовне рішення: заклейте веб-камеру. ;)

Теги:
про цифрову безпеку: паролі, двофакторна аутентифікація, юсб-токен, VPN, пісочниця