Аналізуємо рекомендації щодо захисту персональних даних та ІБ — на що варто звернути увагу

Парольні фрази замість паролів

Менеджери для роботи зі складними паролями виключають необхідність їх запам’ятовувати. Однак password manager — це завжди компроміс між зручністю та надійністю. У розробників часом трапляються витоку. Наприклад, у 2015 році хакери вкрали у LastPass електронні адреси і секретні запитання користувачів.

З урахуванням цього ряд експертів з ІБ (в тому числі представники відділення ФБР в Портленді) віддає перевагу альтернативним варіантом роботи з аутентифікатором — парольного фрази. Їх простіше запам’ятати, ніж цифробуквенные паролі зі спеціальними символами.

При цьому вони вважаються більш надійними ще в 2015 році фахівець в області інформатики Євген Панферов математично довів, що для посилення захисту від брутфорс-атаки необхідно подовжувати ідентифікатор, а не збільшувати його складність за рахунок цифр, решіток і зірочок (стор 2). Цю концепцію також проілюстрував автор коміксу xkcd про будні розробників.


Фото — Erik Mclean — Unsplash

Підтримують ідею з парольными фразами та інженери з Фонду електронних рубежів (EFF). Вони навіть запропонували незвичний спосіб їх генерації — з допомогою гральної кістки. У EFF склали список з 60 тис. англійських слів, зіставивши з кожним певну послідовність цифр, що випадають на кубику.

Досить вибрати шість слів, щоб отримати випадковий ідентифікатор 25-30 знаків. Кидати кубик рекомендують тому, що людський мозок не здатний генерувати випадкову послідовність чисел. Ми підсвідомо прагнемо вибирати цифри, які мають для нас якесь значення. Тому ще в 1890 році англійський психолог Френсіс Гальтон (Francis Гальтона) писав, що гра в кості — це найбільш ефективний «генератор випадковості».

Ротація паролів не потрібна

Всі ми стикалися з вимогами змінювати пароль від аккаунта раз в місяць чи півроку. Але глава ІБ-компанії Spycloud Тед Росс (Ted Ross) каже, що подібна ротація безглузда.

Вона підштовхує користувачів лише незначно змінювати паролі і переиспользовать минулі ідентифікатори. Все це шкодить безпеки облікового запису. Також вважають і в Національному інституті стандартів і технологій США (NIST). Там розробляють новий фреймворк для роботи з паролями. До речі, його вже впровадили в Microsoft — з минулого року Windows перестала вимагати від користувачів регулярно придумувати нові аутентифікаційні дані.

Міняти ідентифікатори слід лише в тому випадку, якщо вони скомпрометовані. Для перевірки цього факту існують спеціальні інструменти — наприклад, знайомий багатьом сервіс I Have been Pwned. Досить ввести адресу своєї пошти, і він покаже, чи email «засвічений» у будь-яких витоках. Також можна налаштувати повідомлення — в випадку нового «зливу», надійде нотифікація.


Фото — Nijwam Swargiary — Unsplash

Замінити витекли в мережу паролі слід і для акаунтів, які довгий час не були активними. Але краще взагалі видалити ці облікові записи. Залишені без уваги, вони можуть стати причиною компрометації персональних даних. Навіть невеликий фрагмент інформації допоможе зловмисникам зібрати відсутні відомості про «жертву» в інших сервісах.

На деяких ресурсах процедура закриття облікових записів не так проста. Іноді доводиться спілкуватися з техпідтримкою, а іноді — довго шукати потрібну кнопку в інтерфейсі. Однак існують інструменти, здатні спростити цю задачу. Наприклад, JustDeleteMe — каталог коротких інструкцій і посилань для відключення облікових записів. Це — розширення для Chrome, додає в омнибар спеціальну кнопку. По кліку на неї відкриється сторінка для відключення облікового запису на цьому ресурсі (якщо це можливо). Далі залишається слідувати інструкціям.

Робота з документами на спеціальній ОС

Приблизно 38% вірусів видають себе за док-файли. Сьогодні це один з найпоширеніших векторів хакерських атак. Захиститися від вірусів, поширюваних подібним чином, можна, якщо відкривати підозрілі документи в хмарних редакторах. Експерти EFF відзначають, що в цьому випадку можна практично напевно запобігти установку шкідливого ПЗ. Але такий метод не підходить для конфіденційних документів — є ризик зробити їх публічними. Наприклад, у 2018 році в загальний доступ потрапили особисті гугл-документи — їх проіндексувала пошукова система.

Інженери з Фонду електронних рубежів кажуть, що одним із способів убезпечити себе від вірусів в PDF і DOC може стати встановлення спеціальної операційної системи (можна в хмарі IaaS-провайдера) для читання електронних документів — наприклад, Qubes. В ній дії ОС і користувача виконуються на окремих віртуальних машинах. Тому, якщо один з компонентів буде скомпрометований, шкідливе ПО виявиться ізольовано і не зможе отримати доступ до всієї системи.

(НЕ) автоматична установка оновлень

ІБ-експерти — наприклад, інженери з Tech Solidarity і FOSS Linux — рекомендують налаштовувати автоматичну установку оновлень безпеки для операційних систем і додатків. Однак цю точку зору розділяють не всі.


Фото — Rostyslav Savchyn — Unsplash

Значної частини зломів ІТ-систем дійсно можна уникнути, якщо вчасно їх оновити. Яскравим прикладом може бути витік персональних даних 140 млн резидентів США бюро Equifax. Зловмисники використовували вразливість у фреймворку Apache Struts (CVE-2017-5638), пов’язану з помилкою в обробці виключень. Патч для неї з’явився за два місяці до атаки на Equifax. Але автоматичне оновлення може призвести до не найприємнішим наслідків. Виникають ситуації, коли свіжі «заплатки», вирішуючи одну проблему, створюють іншу — більш серйозну. У 2018 році Microsoft довелося зупинити поширення нової версії операційної системи із-за помилки, видаляє особисті файли користувачів.

Можна зробити висновок, що оновлення потрібно ставити якомога швидше, але при цьому проявляти обачність. Перш ніж «прокатувати» патч, варто вивчити його поведінку, почитати відгуки та приймати рішення виходячи з знайденої інформації.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

217

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх