Простые правила IT-гигиены

в 15:34, , рубрики: информационная безопасность

Доброго времени суток.

Просторы интернета давно не являются безопасным пространством (если его вообще можно было когда-либо считать как таковым) для пользователя. Тем более необычным является то, что многие не считают нужным (или не знают как) соблюдать относительно простые правила, так называемой, IT-гигиены.

image

В рамках этой статьи хочется несколько обобщить простейшие способы защиты от различных напастей и неприятных моментов на пути веб-серфинга, чтобы каждый мог делать это просто и быстро (почти как умываться по утрам и чистить зубы).

Давайте приступим.

Нюансы проблематики

Наверняка каждый так или иначе сталкивался с моментом, когда с аккаунта знакомого вдруг начинает поступить какой-то левый спам, просьбы занять денежку и что-то еще такое-этакое.

Почему такое происходит, думаю, понятно, — аккаунты ломали и будут ломать, глобальные утечки паролей и номеров карт кредиток бывают, пожалуй, каждый год, а уж каких-либо подобных проблем такого порядка, при несоблюдении классических правил безопасности, бывает еще больше.

Если говорить обобщенно, то в рамках IT-гигиены можно выделить такие относительно простые правила как:

  • Наличие отдельных почт для серьезных аккаунтов и всех остальных;
  • Использование блокировщиков рекламы, а, в идеале, скриптов, iframe, cookies и всего подобного;
  • Наличие VPN (хотя бы бесплатного);
  • Использование разных паролей для всех сайтов без исключения (помогает в этом Lastpass, Keepass и другие менеджеры паролей);
  • Повсеместно должна быть включена двухфакторная аутентификация, причем, желательно, не с использованием sms, а кода с использованием приложений;
  • И, пожалуй, такая простая, но очевидная вещь, как не хранить пароли в очевидных местах, будь это физические решения вроде пароля на листочке под клавиатурой (или стикером на мониторе) или где-нибудь в блокнотике на рабочем столе или переписки в телеграмме.

Пожалуй, если говорить об общей простейшей безопасности, — пока, в рамках этой статьи, — это всё. По понятным причинам здесь не упомянуты такие вещи, как антивирус и фаерволл.

Теперь давайте подробнее.

Отдельная почта

Старейшим и простейшим из методик IT-гигиены можно считать наличие отдельной почты для серьезных и важных вещей.

Для всего остального, — в том числе для переписок, — рекомендуется использовать другую почту (почты), а основную нигде и никогда не “светить” — она должна быть максимально чистой.

image

В случае регистрации где-то в сомнительных местах, сервисов для получения разовых (и не очень) писем существует бесчисленное множество. Даже тот же mail.ru имеет встроенный аномайзер, который генерирует почту вида djflksdfj@, которую можно и нужно использовать для всех писем, кроме критически важных.

Блокировщики рекламы

Сами по себе не совсем являются элементом IT-гигиены, т.к доподлинно неизвестно собирают ли они какие-то данные и в каком виде, но, тем не менее, к использованию настоятельно рекомендуются.

image

Каждый выбирает блокировщик рекламы для себя, ну, а я, рекомендую uBlock. Есть почти для всех браузеров и работает как часы. Практически не требует какой-нибудь углублённой настройки, работает по принципу “установил и забыл”.

Помогают не только избежать просмотра нещадного количества рекламы, но и защищают от некоторых типов зловредов, которые могут нести в себе потенциальную угрозу.

Разные пароли

Для защиты от глобальных утечек базы паролей со стороны какой-нибудь кампании, рекомендуется использовать разные пароли для всех вообще сайтов.

Делается это не так сложно как казалось бы. Есть конечно много мнемонических техник, вроде набора пароля словосочетанием в другой раскладке и тп, — но после пары сотен (да даже десятка) сайтов держать в уме уже всё это сложновато.

image

Наиболее удобным способом будет использование расширения, например, Lastpass. Умеет генерировать, хранить и систематизировать пароли от всех сайтов, есть для всех браузеров, прост и неприхотлив в настройке.

image

Единственное, что будет очень важным, — это корректный, длинный и запоминающийся для Вас мастер-пароль. Ну и простые правила, вроде типовых: стараться не логиниться на неизвестных компьютерах или хотя бы не запоминать введенную пару логин-мастер пароль.

image
image

Поддерживает всё необходимое, умеет сохранять формы, данные кредиток, заметки и многое многое другое. Более того, можно установить на мобильное устройство и так же быстро и легко вводить пароли на нём, запоминать пароли приложений и так далее.

Двухфакторная аутентификация

Наверное известна каждому, как минимум из-за банков. Когда Вы кроме паролей вводите еще код из смс, — это как раз оно.

Есть второй тип аутентификаций, и он более надежный, — это использовать приложение для телефона, которое генерирует коды взамен смс.

image

К сожалению, не все сервисы поддерживают (но уже очень много таковых есть, — это и Google, и дискорды и многое что еще) его, но там где есть — нужно использовать. На класс увеличивает защиту аккаунта и, в отличии от смс, не подвержен типовым обходам, вроде подделки сим-карты и перехвата кодов.

Приложений для этого есть уже достаточное количество. Из основных это Google Authenticator и тот же Lastpass Authenticator. Какие-то сервисы используют свои приложения (Яндекс.Ключ, Microsoft Authenticator) и не поддерживают сторонние. Это не очень удобно, но лучше чем смски или вообще без защиты.

VPN

Является основным из критериев IT-гигиены. Дарит приватность, защищает от утечек IP-адреса (и не только) и не даёт привязать аналитику непосредственно к Вам, шифрует трафик и скрывает многое другое.

image

Рекомендуется использовать в платном варианте (Zenmate как пример) и целиком “оборачивать” систему, но можно и использовать бесплатные решения в виде расширений к браузеру.

image

Да и сам браузер может уметь использовать его, например, это Opera VPN, который работает на уровне браузера и включается-выключается двумя кликами.

Не хранить пароли

Почему-то всё ещё существует практика хранения паролей где попало. Не надо так делать. Храните пароли или в голове и/или в сервисах типа упомянутых выше Lastpass. Решения вроде стикеров на монитор, пароля под клавиатурой, телеграмма, блокнота и тп, — это весьма небезопасные (что уже неоднократно доказано) идеи и так делать не стоит вообще и совсем.

Послесловие

Как уже говорилось, это простейший обобщенный базис. Хотелось бы погрузиться в тему подробнее, если пост кому-то будет интересен и полезен.

Автор: Алексей

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js