Простые правила IT-гигиены

    Доброго времени суток.

    Просторы интернета давно не являются безопасным пространством (если его вообще можно было когда-либо считать как таковым) для пользователя. Тем более необычным является то, что многие не считают нужным (или не знают как) соблюдать относительно простые правила, так называемой, IT-гигиены.

    image

    В рамках этой статьи хочется несколько обобщить простейшие способы защиты от различных напастей и неприятных моментов на пути веб-серфинга, чтобы каждый мог делать это просто и быстро (почти как умываться по утрам и чистить зубы).

    Давайте приступим.

    Нюансы проблематики


    Наверняка каждый так или иначе сталкивался с моментом, когда с аккаунта знакомого вдруг начинает поступить какой-то левый спам, просьбы занять денежку и что-то еще такое-этакое.

    Почему такое происходит, думаю, понятно, — аккаунты ломали и будут ломать, глобальные утечки паролей и номеров карт кредиток бывают, пожалуй, каждый год, а уж каких-либо подобных проблем такого порядка, при несоблюдении классических правил безопасности, бывает еще больше.

    Если говорить обобщенно, то в рамках IT-гигиены можно выделить такие относительно простые правила как:

    • Наличие отдельных почт для серьезных аккаунтов и всех остальных;
    • Использование блокировщиков рекламы, а, в идеале, скриптов, iframe, cookies и всего подобного;
    • Наличие VPN (хотя бы бесплатного);
    • Использование разных паролей для всех сайтов без исключения (помогает в этом Lastpass, Keepass и другие менеджеры паролей);
    • Повсеместно должна быть включена двухфакторная аутентификация, причем, желательно, не с использованием sms, а кода с использованием приложений;
    • И, пожалуй, такая простая, но очевидная вещь, как не хранить пароли в очевидных местах, будь это физические решения вроде пароля на листочке под клавиатурой (или стикером на мониторе) или где-нибудь в блокнотике на рабочем столе или переписки в телеграмме.

    Пожалуй, если говорить об общей простейшей безопасности, — пока, в рамках этой статьи, — это всё. По понятным причинам здесь не упомянуты такие вещи, как антивирус и фаерволл.

    Теперь давайте подробнее.

    Отдельная почта


    Старейшим и простейшим из методик IT-гигиены можно считать наличие отдельной почты для серьезных и важных вещей.

    Для всего остального, — в том числе для переписок, — рекомендуется использовать другую почту (почты), а основную нигде и никогда не “светить” — она должна быть максимально чистой.

    image

    В случае регистрации где-то в сомнительных местах, сервисов для получения разовых (и не очень) писем существует бесчисленное множество. Даже тот же mail.ru имеет встроенный аномайзер, который генерирует почту вида djflksdfj@, которую можно и нужно использовать для всех писем, кроме критически важных.

    Блокировщики рекламы


    Сами по себе не совсем являются элементом IT-гигиены, т.к доподлинно неизвестно собирают ли они какие-то данные и в каком виде, но, тем не менее, к использованию настоятельно рекомендуются.

    image

    Каждый выбирает блокировщик рекламы для себя, ну, а я, рекомендую uBlock. Есть почти для всех браузеров и работает как часы. Практически не требует какой-нибудь углублённой настройки, работает по принципу “установил и забыл”.

    Помогают не только избежать просмотра нещадного количества рекламы, но и защищают от некоторых типов зловредов, которые могут нести в себе потенциальную угрозу.

    Разные пароли


    Для защиты от глобальных утечек базы паролей со стороны какой-нибудь компании, рекомендуется использовать разные пароли для вообще всех сайтов.

    Делается это не так сложно как казалось бы. Есть конечно много мнемонических техник, вроде набора пароля словосочетанием в другой раскладке и тп, но после пары сотен (да даже десятка) сайтов держать всё это в уме уже сложновато.

    image

    Наиболее удобным способом будет использование расширения, например, Lastpass. Умеет генерировать, хранить и систематизировать пароли от всех сайтов, есть для всех браузеров, прост и неприхотлив в настройке.

    image

    Единственное, что будет очень важным, — это корректный, длинный и запоминающийся для вас мастер-пароль. Ну и простые правила, вроде типовых: стараться не логиниться на неизвестных компьютерах или хотя бы не запоминать введенную пару логин-мастер пароль.

    image
    image

    Поддерживает всё необходимое, умеет сохранять формы, данные кредиток, заметки и многое многое другое. Более того, можно установить на мобильное устройство и так же быстро и легко вводить пароли на нём, запоминать пароли приложений и так далее.

    Двухфакторная аутентификация


    Наверное известна каждому, как минимум из-за банков. Когда Вы кроме паролей вводите еще код из SMS, — это как раз оно.

    Есть второй тип аутентификаций, и он более надежный, — это использовать приложение для телефона, которое генерирует коды взамен SMS.

    image

    К сожалению, не все сервисы поддерживают его (но уже очень много таковых есть, — это и Google, и дискорды и многое что еще), но там где есть — нужно использовать. На класс увеличивает защиту аккаунта и, в отличие от SMS, не подвержен типовым обходам, вроде подделки сим-карты и перехвата кодов.

    Приложений для этого есть уже достаточное количество. Из основных это Google Authenticator и тот же Lastpass Authenticator. Какие-то сервисы используют свои приложения (Яндекс.Ключ, Microsoft Authenticator) и не поддерживают сторонние. Это не очень удобно, но лучше чем SMS-ки или вообще без защиты.

    VPN


    Является основным из критериев IT-гигиены. Дарит приватность, защищает от утечек IP-адреса (и не только) и не даёт привязать аналитику непосредственно к Вам, шифрует трафик и скрывает многое другое.

    image

    Рекомендуется использовать в платном варианте (Zenmate как пример) и целиком “оборачивать” систему, но можно и использовать бесплатные решения в виде расширений к браузеру.

    image

    Да и сам браузер может уметь использовать его, например, это Opera VPN, который работает на уровне браузера и включается-выключается двумя кликами.

    Не хранить пароли


    Почему-то всё ещё существует практика хранения паролей где попало. Не надо так делать. Храните пароли или в голове и/или в сервисах типа упомянутых выше Lastpass. Решения вроде стикеров на монитор, пароля под клавиатурой, телеграмма, блокнота и тп, — это весьма небезопасные (что уже неоднократно доказано) идеи и так делать не стоит вообще и совсем.

    Послесловие


    Как уже говорилось, это простейший обобщенный базис. Хотелось бы погрузиться в тему подробнее, если пост кому-то будет интересен и полезен.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 89

      +15
      Скомпрометируют lastpass — утекут все ваши пароли одновременно.
      Пароль на мониторе, в блокнотике или под клавиатурой — самое безопасное, хакер не утащит, если ножками к вам не придёт.
      Почтовый адрес и один сегодня не все запомнить способны, а вы разные предлагаете.
      Ну и т.п.
      Для чайника эти правила практически невыполнимы в силу лени и синдрома неуловимого джо, а параноики давно уже сами к ним пришли. :)

      С почтой самое главное — не забрасывать ящик. А то куча людей так со своими скайпами расставалась, к примеру. Когда ящик по неактивности удалялся, а пароль к аккаунту забывался.
        +1
        Скомпрометируют lastpass — утекут все ваши пароли одновременно.


        А разве содержимое не шифруется мастер-паролем?

        Бумажки да, где-то сменил пароль, где-то восстановил и при изменении нельзя использовать старый, где-то требуют пароль чуть сложнее, где-то всё ещё http и я не хочу светить мой пароль.
        В результате ворох сервисов с вариациями одного пароля. Плюнул и использую менеджер паролей.
          +3
          разве содержимое не шифруется мастер-паролем?

          Это они так говорят. Шифруется ли, есть ли у них черный ход для расшифровки — это не узнать.

          Лично я просто пяток стандартных паролей разной сложности использую для сервисов разной степени важности.
            +1
            а потом последовательно вводите все 5 паролей в надежде найти тот самый? почему оффланй менеджер паролей не испольщуете? Keepass это уже стандарт. Базу закиньте кудато в облако и на телефоне приложение поставьте. Без мастер пароля (длинного и сложного разумеется) утащенная база просто набор рандомных байтов
              0
              Максимум повторно, но обычно я верно оцениваю важность сайта и ввожу нужный пароль.
              А кипасс не хочу, мне быстрее набрать пароль руками, чем его скопировать из менеджера.
                +1
                если поставить расширение в браузер то вводить ручками пароли не надою заодно исключится ввод пароля на фишинговом сайте
                  +1

                  Как расширение спасёт от ввода пароля на фишинговом сайте? Я уж не говорю о том, что зачем это нужно, если весь этот функционал уже интегрирован в сами браузеры?

                    +3
                    image
                    при создании записи в кипасе вводите адрес сайта. расширение будет предлагать подставить логин пароль только если адрес будет совпадать.
                    image
                    Если вы создали пароль для сайт mail.ru то при заходе на фишинговую страницу с адресом rnail.ru пароль не подставится. как минимум это заставит вас насторожится.
                    В браузерах функционал то есть но достать пароли оттуда очень легко.
                  +3
                  Пароли не только в браузере вводятся. Не на каждый браузер поставишь расширение. Потому пароли все равно надо помнить. А если надо помнить, то зачем мне кипасс?

                  Хотя, конечно, я все же записываю на всякий случай. Но нечасто обращаюсь.
                    0

                    А зачем их помнить? Enpass, например, просто ставится везде. Нормальные пароли вы не запопните. Особенно с учетом того, что, их неплохо бы менять регулярно (а некоторые сервисы будут заставлять это делать).

                      +1
                      Особенно с учетом того, что, их неплохо бы менять регулярно

                      Рекомендацию по регулярной смене уже отменили, как и зубодробительные пароли. Сейчас рекомендуются парольные фразы.
                        0
                        Рекомендацию по регулярной смене уже отменили

                        Кто отменил? И расскажите это банкам.


                        Сейчас рекомендуются парольные фразы.

                        Кем рекомендуется? Чем ваша фраза из 40 букв, которую я усрею подсмотреть, пока вы её набираете или которую можно считать банальным микрофоном, лучше моей парольной строки из 80 символов, которая содержит всю клавиатуру и которую я вставлю из буфера обмена?

                          0
                          Кто отменил?

                          Те же, что и ввели, NIST.
                          Кем рекомендуется?

                          Всё теми же.
                          или которую можно считать банальным микрофоном

                          А вы молча набирайте.
                          Чем фраза лучше… парольной строки из 80 символов

                          Ничем, пользуйтесь и дальше. И я тоже продолжил пользоваться. Рекомендации для простых пользователей, которые парольные менеджеры не используют.
                          И да, менеджер паролей тоже нужно защищать ))
                            0
                            А вы молча набирайте

                            Звуки нажимаемых клавиш не идентичны, если "забыть телефон" у вас на столе, можно много интересного узнать.


                            И да, менеджер паролей тоже нужно защищать ))

                            Как и сам компьютер, на котором вы пароль вводите.

                              0
                              Как и сам компьютер, на котором вы пароль вводите.

                              Именно. Парольный менеджер это хорошо, но, как и физическая связка ключей, позволяет потерять их все сразу. Так что у всего есть свои плюсы и минусы.
                              А на счёт ротации паролей практика показала, что она только добавляет геморроя, не повышая реально уровень безопасности, поэтому её сейчас не рекомендуют. И банки тоже к этому скоро придут.
                          +1

                          Не везде. Буквально недавно видел "не меньше # и не больше ## символов, обязательно спецсимволы (список обычных), но нельзя спецсимволы (список не менее обычных), менять раз в ## дней, не менее ## паролей за год, а ещё заполните # обязательных ответов для восстановления".
                          При этом вопросы для восстановения выбраны такие, что ответ хоть на один с хорошими шансами можно добыть из открытых/уже утёкших за годы перс. данных.


                          Что можно сказать о такой безопасности… "ну хоть что-то у нас в безопасности"(Ц) анекдот

                  –1
                  Приходите на другой чужой комп и?.. Втыкать свой пусть даже портативный, но на флешке хранитель паролей?
                  Да и птичка «запомнить пароль» заставляет именно Вас пароль как раз таки забыть :) и даже к какой учетке пароль.
                    +3
                    а решение на чужом компе вводить пароль от 1/5 аккаунтов разве лучше? ДА и для того чтоб ввести пароль на чужом компе не обязательно вставлять флэшку с базой и вводить пастер пароль. достаточно открыть эту базу у себя на телефоне. У приложения есть синхронизация с облаками.
                    +1

                    Обычно спотыкаешься только на тех сайтах, где используются какие-то неадекватные требования к паролю. И сценарий для них у меня такой:


                    1. Пароль не подходит.
                    2. Запрашиваешь восстановления пароля.
                    3. Придумываешь новый пароль на основе базового, с изменениями, чтобы пароль подходит под требования.
                    4. Получаешь сообщение, что новый пароль не может совпадать со старым.
                    0
                    Я вот тоже не могу довериться этим менеджерам паролей. Мало что ли утечек? Ежели такой менеджер станет ультра популярным, то и «энтузиасты» приложат свои силы для его вскрытия.
                      +1
                      Если он локальный, то в чём проблема?
                  0
                  Для чайника эти правила практически невыполнимы в силу лени и синдрома неуловимого джо, а параноики давно уже сами к ним пришли. :)
                  Ну, знаешь, если так рассуждать, то можно вообще статьи не писать. Потому что, кто умный — тот и так умный, а кто глупый — того ничему не научишь. :)
                    +3
                    Есть же вполне оффлайновый keepass. Блокнотик — это слишком сурово для сотен паролей )
                      –1
                      Если паролей сотни, то, конечно, блокнотиком не отделаешься.
                      Как вариант — помнить только один пароль от почты и активно пользоваться кнопкой «забыл пароль». :)

                      +2
                      Почтовый адрес и один сегодня не все запомнить способны, а вы разные предлагаете.
                      Есть простое решение: хранить почтовые адреса так же как пароли — в менеджере паролей.
                      В том же KeePass для этого есть специальная группа — eMail.
                      +14

                      Плохая статья. Она создаёт иллюзию, что если это все применить — все будет хорошо. Например, впн действительно маскирует айпи адрес клиента, но это не спасает от того, что трафик может быть слит спецслужбам и не спасает от установки специальных трекинговых куки на компьютер. Причём они уже достаточно хитрые и не являются просто куки — это могут быть данные о браузере и окружении + особенности, например, кэширования ресурсов (однопиксельной картинки). И поехало.


                      Из разумных советов — использование паролей, уникальных для каждого ресурса + mfa через Гугл аутентикатор

                        0
                        Но вот подиж ты… кто-то же это еще и плюсует…
                          0

                          Ну, человек старался — как же не плюсануть его ))))

                            +3
                            Ну да, ну да. А мерой работы является усталость?

                            Этот и ему подобные посты лучше всего описывает фраза (не ручаюсь за точность цитаты, да и не помню, откуда) — все новое здесь не интересно, а все интересное — не ново. Т.е. обычный инфомусор. Тот же совет использовать уникальные пароли… полезный, как бы, но тоже, без рассмотрения модели угроз имеет мало смысла. Пароли от мусорных ресурсов, где нет ничего, что стоило бы защищать — и в чем прелесть уникальности пароля от условной IKEA Family? Что кто-то взломает мой логин в… другом месте, и потом, с тем же паролем, воспользуется моими скидками в IKEA? Ну так эта, флаг в руки :)
                        +17
                        Блокировщики рекламы
                        Сами по себе не совсем являются элементом IT-гигиены, т.к доподлинно неизвестно собирают ли они какие-то данные и в каком виде

                        Разные пароли

                        Наиболее удобным способом будет использование расширения, например, Lastpass

                        Значит, собирает ли «данные» опенсорсный ublock — автору «доподлинно неизвестно». Повод усомниться. Мало ли.

                        При этом в следующем абзаце автор рекомендует самостоятельно загрузить все ваши пароли в полностью проприетарный lastpass.

                        Л — логика.
                          +7
                          Я как-то не уверен на счет VPN — доверить свой трафик не пойми кому, да еще и бесплатному сервису? Спасибо, я воздержусь. Как говорится, если вы не видите где здесь товар — значит товар это вы.
                            +1
                            храните парольки у себя — с облака и сервисов их так же и легче тащат и так же легко декодируют (старые времена прошли).
                            по впн заходить нельзя, если не хотите подарить свои данные — ТОР чем не устраивает? так его цепочки тоже можно скомпрометировать.
                              +3
                              Тем, что через tor половина Интернета недоступна (спасибо DDoS protection от Cloudflare и подобным же сервисам), а вторая половина требует вводить гуглокапчу, которую вбивать полчаса и которую никогда не принимают с первого раза.
                              +8
                              Интересно что сами сайты всячески противодействуют использованию данных методик:
                              • Блокируют посещение через VPN/TOR.
                              • Заставляют оставлять свой номер телефона для гарантированной идентификации физ. лица.
                              • Помимо этого часто требуют вводить кучу другой информации о себе.
                              • Формально требуют указывать своё настоящее имя при регистрации (привет, Хабр).
                              • Блокируют доступ при обнаружении активного блокировщика рекламы.
                              • Блокируют доступ без согласия на использование отслеживающих/рекламных кукисов.
                              • Вместо отдельной регистрации используют вход через соц.сеть для аггрегации (и последующей продажи) всей информации о вашей персональной активности в сети.
                              • Особо упоротые (типа AirBnB или VK) требуют фото документов или лица.
                              • Другие упоротые предлагают отдать им пароль от почты чтобы «найти друзей».


                              Таковы реалии Интернета сегодня.
                                0
                                Ну сайты же обычно не просто так сайты, а юр. лица в некоторой юрисдикции. И внезапно последнее время все больше юрисдикций вводят все больше разнообразных интересных требований к сайтам. А другие (тот же AirBnB) имеют вагончик юридического опыта, который подталкивает их к идее о том, что чем более надежно они уверены в том, с кем общаются — тем устойчивее их бизнес-модель. Вот и просют пачпорт :)
                                  +2

                                  Про требующий лицо ВК очень позабавил недавний случай. У самого в ВК фоток с лицом нет (кроме, может, пары раз в личке), размеченных — тем более.


                                  Приезжала на праздники год назад подруга, а я как раз купил плёночную зеркалку. Пофоткал её в том числе, залил фотки в альбом, отметил её лицо (у неё и так блог на 100к+ подписчиков, ей уже ничего не поможет).


                                  Пару месяцев назад внезапно ВК начал скидывать мне пушами каждый её шаг, в виде уведомлений "А не ваше ли это жежбало лицо на фото?" И ладно бы ограничился этим, но ещё и стал подкидывать друзьям в ленту такие же вопросы. Типа, если я отмалчиваюсь, то кто-нибудь да расскажет.


                                  Считаю, это шикарный подарок от команды ВК всем любителям OSINT к новому году — создаём новый профиль, заливаем пару фоток жертвы как свои, фолловим ботом пару сотен тысяч групп, и вуаля, можно сталкерить за появлениями этого лица на фото в реальном времени штатными средствами.

                                  +5

                                  Меня беспокоит немного другое. Например, раньше, после старта системы я мог запустить ps и получить около дюжины записей, каждую из которых было легко идентифицировать и проверить. Троян мог бы затесаться только изменив своё имя, но и это довольно просто было бы обнаружить. Сейчас у меня после запуска системы образуется почти три сотни запущенных процессов, это при том, что я еще почти ничего не запускал, и сервисов сейчас установлено минимальное количество (использовал каникулы для переезда на другой ноутбук, свежеустановленная система).


                                  В телефоне же у меня такой же бардак с процессами, только в нём вообще невозможно понять что все эти процессы делают, кто их установил. Также в телефоне миллионы файлов и каталогов, для которых нет никакого описания типа LFS. Также анальное огораживание Google и производителей железа привело к тому, что я не могу на своём телефоне установить firewall или какую-либо разумную утилиту для проверки целостности софта (а-ля tripwire).


                                  Ну и как мне поможет при этом VPN, тем более, что VPN — не панацея, детектится, и информация о пользователе всё равно может утечь по нескольким каналам.


                                  Это бы не беспокоило так, если бы не раз сталкивался с тем, что, например, в мобильном браузере вредоносные сайты каким-то образом умудрялись выходить за пределы песочницы и гадить по меньшей мере в глобальном пространстве браузера (случалось у меня и еще одного знакомого, пытался докопаться, но учитывая закрытость системы и нехватку времени, так и не удалось до конца разобраться, скрестил пальцы, в надежде, что за пределы браузера выйти не удастся и что в какой-нибудь следующей версии дыру закроют, что и произошло в какой-то момент).


                                  Про пароли — увы, память неидеальная. Раньше запоминал без проблем сложнейшие пароли, но с каждым прошедшим десятилетием это становится делать всё сложнее. Иногда не могу вспомнить даже простой пароль. Пару раз терял доступ из-за этого к не особенно важным, но всё-таки интересным для меня сервисам, например, к старой почте.


                                  Ещё стал задумываться: а что если упаду, ударюсь головой, придётся полежать в больнице с сотрясением, и после этого забуду мастер-пароль?.. От такого никто не застрахован.


                                  Два знакомых не из IT хранили всю свою жизнь в iPhone (iCloud). Контакты, фотографии, заметки, закладки, вся их цифровая жизнь была в телефоне. Оба потеряли телефоны, и не могли не то, что пароль вспомнить, а даже email, к которому была привязана учётка.


                                  Поэтому всё-таки хранить стараюсь в менеджере, а пароль к менеджеру записать на бумажке.

                                    –1
                                    Троян мог бы затесаться только изменив своё имя, но и это довольно просто было бы обнаружить. Сейчас у меня после запуска системы образуется почти три сотни запущенных процессов, это при том, что я еще почти ничего не запускал, и сервисов сейчас установлено минимальное количество (использовал каникулы для переезда на другой ноутбук, свежеустановленная система).

                                    а чем это поможет против условного биткойнер майнера, запущенного ВНУТРИ БРАУЗЕРА на каком-то нибудь джаваскрипте!?!?!? Браузер и так уже по сути представляет собой целую ОГРОМНУЮ экосистему и тут простым ps не обойтись


                                    Оба потеряли телефоны, и не могли не то, что пароль вспомнить, а даже email, к которому была привязана учётка.

                                    ССЗБ. Был бы у них макбук или любое второе устройство (у жены, у ребенка — семейный аккаунт) — проблемы не было.

                                      +1
                                      а чем это поможет против условного биткойнер майнера, запущенного ВНУТРИ БРАУЗЕРА на каком-то нибудь джаваскрипте!?!?!? Браузер и так уже по сути представляет собой целую ОГРОМНУЮ экосистему и тут простым ps не обойтись

                                      Да, ситуация с браузерами напрягает, конечно, тоже. Но тут есть хотя бы смутная надежда, что в браузере скрипт выполняется в изолированной песочнице, откуда не сможет получить доступ к реально важным данным (иллюзорная надежда, конечно, ибо даже всякие CPU-уязвимости типа Spectre через JS успешно использовали).


                                      С другой стороны, реального вреда от биткойн майнера не так уж много (только электричество и трафик подъест), и заметить его можно по заметному потреблению CPU браузером.


                                      ССЗБ. Был бы у них макбук или любое второе устройство (у жены, у ребенка — семейный аккаунт) — проблемы не было.

                                      Это да. Просто люди, особенно далёкие от IT, склонны переоценивать свою память и недооценивать важность записи хотя бы в блокнот. Тут вспоминается знакомая, которая записывала пароли… Иногда, и на обрывках разных бумажек, оборотах старых квитанций, не подписывая к какому аккаунту относится пароль. Был постоянный квест перебрать пачку квитанций за последние 10 лет и пробовать все написанные в уголках сочетания букв и цифр — подойдёт или нет...

                                      0
                                      К вопросу о «запомнить».
                                      По весне умудрился забыть графический пароль на телефоне! Причём буквально за пару часов. В магазине вводил для оплаты — дома вечером забыл!
                                      Он был установлен на 3-х телефонах. 4 дня мучился — так и не вспомнил…
                                      Но на двух аппаратах был рут — получилось скинуть. А на основном — полная переустановка.
                                      Попытки раскопать его в рутованых телефонах — ни к чему не привели.
                                        0

                                        А с чего это графический пароль должен быть в открытом виде в телефоне? Непорядок-с. Ес-но он пошифрован

                                          0
                                          Есть программка для декодирования файла с графическим паролем. Ну и к тому же он лежит в системной памяти — без рута к нему доступ не получишь. А с рутом — он просто сносится и доступ становится свободный.
                                          0
                                          Забытый графический пароль — это самое частое, с чем телефоны приносят.
                                          Пинкоды как-то реже забывают, чаще записывают или проще вспоминают.
                                            0
                                            Может быть… Всегда вводил «на автомате», а тут — задумался. И всё…
                                            Кстати, задумался после прочтения статьи про «неправильные» пароли. И там было про графические пароли — как их чаще всего «неправильно» рисуют. Задумался про свой — и всё…
                                              0
                                              Потому у меня на телефоне пинкод. Отпечаток тоже есть, но самсунг параноит и после нескольких вводов отпечатка всё равно пинкод для подтверждения спрашивает. Так что хрен забудешь.
                                                0
                                                Отпечаток тоже есть, но самсунг параноит и после нескольких вводов отпечатка всё равно пинкод для подтверждения спрашивает.

                                                Ксяоми каждые 72 часа просит, «чтобы не забыть». Б — безопасность, особенно когда эти 72 часа приходятся на общественные места, утыканные камерами.
                                                  0
                                                  Тоже сменил на пин. А Андроид (гугл-пэй) — тоже параноит, раз в 72 часа запрашивает пин.
                                            0
                                            Добавлю по поводу памяти — моя жена не помнит мой номер телефона, хотя он не меняется уже 6 лет. Случись что-то с ней и если будет без её телефона — не сможет мне даже позвонить…
                                            0
                                            Очень интересно про двухфакторную авторизацию. Увы, для отправки смс-кода надо платить телефонной компании.

                                            Как же правильно наладить двухфакторную авторизацию для бесплатного сервиса, то есть при нулевом бюджете?

                                            Спасибо.
                                              +1

                                              Полагаю, что двухфакторная авторизация через приложение а-ля Google Authenticator (и его аналоги не от Google) бесплатна.

                                                +1
                                                Опенсорсный FreeOTP в помощь.
                                                freeotp.github.io
                                                  0
                                                  Правильно ли я понял, что он требует подключения смартфонов к интернету?

                                                  Спасибо.
                                                    +2

                                                    Гугль аутентификаторы и прочие ОТП не требуют подключения к интернету. Ознакомьтесь с принципом их работы. Единственное требование — чтобы часы были синхронизированы

                                                +2
                                                Спасибо за полезную статью, но откуда такая уверенность в надежности и вечности LastPass? Штука удобная, но при потере/утечке мастер-пароля можно потерять вообще все. Наконец, компания может закрыться / подвергнуться атаке, и вот остаешься без доступа куда бы то ни было.

                                                Разные почты для разных сайтов, идея интересная, но тогда придется вспоминать, где какую почту использовал при входе, плюс проверять все ящики, либо настраивать пересылку/сбор. Ну а самое главное — сейчас уже стандарт всюду, привязка учетки и восстановление через SMS. Заводить кучу сим-карт? еще менее удобно…

                                                В общем, для меня до сих пор остается открытым вопрос, как организовать доступ на кучу сайтов одновременно надежным, безопасным и удобным путем.
                                                +7
                                                Вставлю свою пару копеек, LastPass уже когда-то ломали (утекли ли пользовательские пароли не помню, но сервис был взломан) и к тому же онлайн хранилища паролей сама по себе не очень идея, т.к. создаёт только видимость безопасности. Я долго приходил к KeePass-у, до него были и пароли в браузере, в текстовых документах, но рано или поздно у каждого человека появляются очень важные доступы и понимание, что их нужно хранить как зеницу ока, а это у себя и зашифрованными. Миф о том, что забудется пароль (или о том, что его можно взломать) придумали те, кто ищет причины не пользоваться подобными решениями — пароль, к примеру: МоюбабушкузовутМарфаВасильевна вряд ли в доквантовую эпоху взломают (на втором Аргоне) даже без цифр и спецсимволов и вряд ли забудешь, если каждый день минимум раз его вводить, на своём рабочем компе я запоминал 10-символьный набор символов в разных регистрах со спецсимволами, да я его уже не помню (прошло 5 лет как я его последний раз вводил), но если данные не были нужны 5 лет, то не очень то они и нужны (тут вместе посмеёмся над теми, кто забывал пароли от кошельков с биткоинами, но это не тот случай).

                                                Второе, но не менее важное замечание: бесплатными ВПНами можно пользоваться только чтобы жена/провайдер не узнали, что смотрел порно. Во-первых, уже были прецеденты сливов/взломов «бесплатных» сервисов, во-вторых, ВПН как сторонний сервис второй мобильный номер — кому надо, тот вычислит и может «попросить» данные по «этому клиенту». Я не говорю о том, что сервисы ВПН все плохие, но когда сервер настраивал сам, даже по мануалам из сети это повышает как минимум осведомленность о безопасности через ВПН при прочих равных.

                                                Ну и насчёт двухфакторной аутентификации, тут я прям на 100% соглашусь, что второй фактор в виде смс — это второй фактор чего угодно, но не двухфакторной аутентификации. По личному опыту, даже не внутренние органы легко «за презент» получают доступ к звонкам и смс независимо от оператора (СНГ, как в Европе и дальше не знаю), тут важно найти нужных людей и все.

                                                И очень важно во всех важных сервисах/доступах иметь разные как минимум пароли (как максимум и логины/почты и айпи/браузеры регистрации/входов, чтобы не смогли сопоставить, если это важно конечно). А для неважных (типа приложеньки для фитнеса) лучше заводить отдельную почту, иначе потом замучаетесь менять доступы (их взламывают пачками — сегодня только менял пароли и имейлы на подобных сервисах) и при этом никогда не использовать один и тот же пароль в приложениях и сервисах, где могут оказаться ваши данные (геопозиция для приложений для бега, навигаторы, приложения с вашими фото/видео, документами любого рода, которые не предназначены для публичного просмотра). Потому что, как только Вы лично перестанете быть Неуловимым Джо или не повезёт и ваши данные попадут в «разработку» мошенникам, то поменять один доступ (даже «физически» сменив имейл) будет проще, чем потом выяснять, а где ещё нужно сменить.

                                                Ещё совет, может кому пригодится, не открывайте свои данные из who is, кроме того, что пойдёт лавина писем про «штрафы» за непродление домена, «счёта» на оплату домена, так и из-за этого всего можно пропустить нужные письма, а поток «спама» не прекратится даже через несколько лет после закрытия домена и если почта важная, то это будет проблемой.

                                                И ещё момент, по поводу блокировщиков рекламы, я бы посоветовал бы свой ДНС-сервер с чёрными списками доменов (типа AD home или PI hole), быстро отучит и смартТВ и прочие ИоТ лезть куда не надо, при этом экономия и контроль над трафиком. Конечно это не замена обычных блокировщиков, но там, где они или не работают или работают плохо, это решение отлично помогает. Установлено более года назад и каждый раз приходя в гости к родителям раздражаюсь количеству рекламы в утупчике и приложениях для ТВ приставки.

                                                Ещё допишу малость, ВПН, встроенный в Оперу, наверное все знают, что это не технология ВПН, а больше похож на прокси (просто к слову) и самое главное, они помечают все ваши переходы уникальным идентификатором, который генерируется при установке браузера и не меняется, поэтому никакого толку (кроме сменить айпи) этот сервис не даёт, то есть рекламные сети вас все равно могут определять и в случае чего кому надо, может даже идентифицировать конкретно Вас! Если говорить про шифрованный прокси (типа ShadowSocks) и ВПН (OpenVPN, Wireguard), то прокси будет быстрее (в сравнении с опенвпн в разы), но менее надежно, т.к. не все программы умеют в прокси(ну и ещё можно забыть, что когда-то настраивал для теста в обход, и хром и прочие хромиумы не умеют нативно управлять прокси, в отличие от фф), а у ВПН своя сетевая карта, через которую гоняется трафик.
                                                  +12
                                                  Пароли в LastPass… хранятся в «облаке»
                                                  (Вики)
                                                  Спасибо, достаточно.

                                                  Бумажку возле моего компа, если я не звезда инстаграмма, увидят жена и кошка. Любая информация, размещенная в облаке, доступна неопределенному и не контролируемому мной вообще никем кругу лиц. Что там якобы шифруется и не отдается по требованию левой задней пятки кого угодно — ни я, ни вы знать не можем. То есть, даже пресловутая бумажка с паролями, наклеенная прямо на монитор, и та заведомо лучше.

                                                  Вообще «облака» и «цифровая гигиена» — скорее антонимы.
                                                    +1
                                                    Что там якобы шифруется и не отдается по требованию левой задней пятки кого угодно — ни я, ни вы знать не можем.

                                                    А могли бы, если бы приложение было опенсорсным.

                                                      0
                                                      А могли бы, если бы приложение было опенсорсным.
                                                      (Включая параноика)
                                                      Если бы могли удостовериться, что реальная серверная часть собрана из того самого открытого кода без всяких посторонних примесей. Но вы правы, у LastPass и того нет.
                                                        0

                                                        Не обязательно. С правильно сделанной криптой вам совершенно всё равно, что происходит на сервере, и важно только то, что на сервер уходят зашифрованные данные, а ключи шифрования не уходят.

                                                          0
                                                          Вот такое оценить уже могли бы «не мы, а вы», увы.
                                                          Но да, признаю свою неправоту.
                                                    +1
                                                    Есть конечно много мнемонических техник, вроде набора пароля словосочетанием в другой раскладке и тп, — но после пары сотен (да даже десятка) сайтов держать в уме уже всё это сложновато.

                                                    Реально важными и являются десяток сайтов. Для тех, куда я раз в жизни попал, чтобы просто что-то прочесть, но без регистрации не дают, использую примитивный единый пароль и одноразовую почту на guerrillamail.
                                                    А для важных сайтов, чтобы не держать в уме, рекомендую алгоритм создания пароля из длинной общей для всех части и имени домена, как пример — фраза «оченьсложныйпароль» плюс последние три буквы домена. Можно первые, в комбинации первые и последние, сдвиг букв, их число, вписать недостающее — на ваш вкус. И помнить нужно только общую часть и алгоритм. В крайнем случае алгоритм и фразу можно и на бумажку записать. Для электронной почты использую уникальные пароли.
                                                      0
                                                      вредный совет. есть вероятность что можно будет понять как создаются паролию и тогда под угрозой будут все ваши аккаунты. Если же сольют пароль к какомуто сайту который вы генерировали keepass то вы потеряете доступ к одному аккаунту а не ко всем сразу.

                                                      Вообще старайтесь душить в себе желание быть не как все в айти сфере. храните пароли в keepass а пароли на сайте не шифруйте в уникальном коктейле из md5 и sha1 а используйте bcrypt. если хотите уникальности покрасьте волосы или купите кроссы попугайской расцветки.
                                                        0
                                                        Какова вероятность, что можно будет понять? Какова вероятность, что это вообще кто-то будет пытаться понять? Для важных сервисов у меня уникальные пароли либо двухфактор, но их единицы — почта, на которую в случае чего я восстановлю пароль и банковские приложения.
                                                      +1

                                                      xxx:
                                                      У меня как то на служебном ноутбуке был пароль "семидесятипятимиллиметровый". Я его вслепую набирал всегда буквально за три секунды. Начальнику один раз понадобился ноутбук, пока я был в отпуске. Он мне потом сказал "Ты псих и параноик, три человека не могли правильно его ввести".


                                                      И еще классика:


                                                      [Юзер] 8:05 — Алло, Сергей Геннадиевич? Доброе утро. Извините что беспокоим Вас в отпуске… мы хотим поменять приоритет запуска задач. Дайте пожалуйста пароль админского доступа на сервер?
                                                      [СГ] — Как же вы меня зае*али
                                                      [СГ] — В латинской раскладке, русскими буквами, без пробелов

                                                        –1
                                                        «Сорок тысяч абезян»
                                                        ну или
                                                        Падла хмурится и очень сухим, академическим тоном говорит в трубку:
                                                        – Да, малыш, я понимаю, что данное слово редко используется в
                                                        множественном числе и поэтому звучит как-то непривычно. Нет, в
                                                        словаре ты его не найдёшь… ни в одном. Но согласно общепризнанным
                                                        грамматическим правилам, множественная форма должна строиться
                                                        именно так.
                                                        Чингиз шумно выдыхает воздух.
                                                        – Что? – Падла на миг задумывается. – Нет, нет, конечно! Это
                                                        невозможно на самом деле. Противоречит анатомии, физпиологии и
                                                        психологии человека. А если ты покажешь специалисту по сопромату,
                                                        то поймёшь, что и законы физики против. Это просто некая
                                                        ироническая фантазия, выраженная ненормативной лексикой. Хорошо,
                                                        потом обсудим. Все, все. Не зацикливайсюя, ладно? Вводи свой ключ… и
                                                        посылкай нам файл.

                                                          +1
                                                          Меня так начальница вызванивала однажды. И сначала все пошло негладко, поскольку я писал в парольной фразе слово пид*расы через А, а она вводила через О.
                                                          Но ржали вместе.
                                                            +2

                                                            У меня был случай, когда дизайнер назвал файл проекта "рамки-*уямки", бо очень уж его утомила закащщицца. И пришел день, когда дизайнер задержался в школе, а мне уже надо было ей проект презентовать, и я обомлел от названия и бегал к его компу переименовывать файл.

                                                          0
                                                          Главный принцип сетевой гигиены это не писать ничего, что может (и, вероятно, будет) использовано против вас. Все ваши сообщения должны быть максимально нейтральны.

                                                          Так же имеет смысл по-максимуму хранить данные на собственных вычислительных мощностях. Самосборные NAS или покупные (желательно с кастомной прошивкой).
                                                          А для паролей используте Bitwarden. Он есть и self-hosted, и с сервером у разработчиков.
                                                            +3
                                                            Даже тот же mail.ru имеет встроенный аномайзер

                                                            Не имеет:
                                                            На вашем ящике не указан номер.
                                                            Чтобы создать анонимный адрес, добавьте телефон к почте.

                                                            Разные пароли
                                                            LastPass

                                                            Это который постоянно ломают?
                                                            Да стикер на монитор будет безопаснее, если вы не фотографируете своё жилище и не выкладываете фоточки в инстаграм.
                                                            Двухфакторная аутентификация

                                                            Большинство российских сервисов вымогает номер телефона при попытке подключить двухфакторку, поэтому её подключение только снижает уровень безопасности аккаунта.
                                                              +1
                                                              _все_ значимые сервисы, вымогают номер телефона для 2FA.
                                                              0
                                                              Большое спасибо за совет!
                                                                0
                                                                плюсую, было интересно
                                                                  0
                                                                  полезные советы, спасибо
                                                                    0
                                                                    С ВПН не очень понятно. Сейчас пошла волна слухов, что по крайней мере бесплатные прямо нехило так стали сливать данные. Недавно вроде Фригейт за банили в Хроме и Яндексе.
                                                                      +2
                                                                      Хабр, по тебе боты гуляют
                                                                      Заголовок спойлера
                                                                      Сообщения с разницей в 1 минуту
                                                                        0
                                                                        Google Authenticator не посоветую и врагу. Стер устройство — прощай все пароли. Потерял, заглючило, да что угодно — никаких вариантов. есть Authy.
                                                                          0

                                                                          Почему нет никаких вариантов? Точно уверены?
                                                                          Должен же быть какой-то способ восстановления доступа, ну, не знаю, хоть по паспорту через техпод

                                                                            0
                                                                            Дело в том, что подобные приложения хранят в себе доступ к куче аккаунтов. И восстанавливать доступ ко всем им по отдельности не сильно сложно, а вот вместе может затянутся хоть на неделю.
                                                                              0

                                                                              Ну, выглядит так что нудно защищать коровые сервисы вроде Гугл или Фейсбука. Остальные — пускай входа по логину-паролю не будет, только вход через внешние источники вроде указанных Гугла и Фейсбука

                                                                                +1
                                                                                Это ад.
                                                                          +1
                                                                          У меня вот года два-три американцы угнали аккаунты в Twitter, Facebook и Instagram для рассылки рекламы, и аккаунты забанили админы, в поддержку писал — поддержка молчит как рыба об лёд.

                                                                          Из блокировщиков рекламы — пользуюсь на телефоне стандартным браузером Samsung Internet Browser, вполне им доволен(не то что тормознутый Firefox на компухторе), но uBlock на нём нету, приходится пользоваться AdBlock Plus — нареканий пока не вызывал.

                                                                          Из VPN-ов — беда. Живу в такой стране, как Туркменистан, где 99% всех сайтов заблокированы. Люди охотятся за бесплатными VPN-ами, ежедневно перелопачивают тонны VPN-ов в плей маркете, половина из которых — платные(а люди не любят платить за такое сомнительное удовольствие), а другая половина давно не работает. Если вдруг появляется новый, который от силы работает неделю, пока власти его не прикроют, люди делятся на два лагеря — одни трезвонят на всю округу «ууу ыыы работает, бегом качайте!!!», а другие «вы — ослы, нашли халяву — пользуйтесь ей молча, из-за вас VPN-ы накрывают!!!», но вторых обычно никто не слушает. Я, например, один из везунчиков, у которых есть знакомый, умеющий настраивать российский прокси, через который можно заходить на заблокированные сайты.

                                                                          Из почтовых ящиков — у меня их два, один основной, а второй — так, про запас, на всякий случай.

                                                                          Из хранения паролей — у меня слабая память, я иногда забываю, что было вчера, так что храню пароли в заметках на телефоне.

                                                                          Насчёт антивируса — стоит бесплатный Dr.Web для приличия, но смысла в нём не вижу — всё равно ничего вирусного не качаю и захожу только на привычные, проверенные сайты.

                                                                          В генераторе паролей и двухфакторной аутентификации пока не было нужды. Да, жалко конечно, что в трёх пиндосских соцсетях угнали акки, ну они и не нужны особо, тем более, что Инстаграм — для быдла, имхо.
                                                                            0

                                                                            Никогда не доверял менеджерам паролей. Лично мне больше нравится вариант хранения основных паролей у себя в голове, а остальных на отдельной бумашке дома. И конечно же разных для каждого сайта и желательно антибрутфорс. Ведь признаемся честно, среди нас не так много людей такого уровня, чтобы устраивать ради наших паролей взлом квартиры) Во всем остальном согласен с автором.

                                                                              0

                                                                              А в облаке можно хранить пароли?

                                                                                0
                                                                                Если только это облако не видит их расшифрованными.
                                                                                0

                                                                                Один общий простой пароль на неважных ресурсах, и уникальные сложные для нескольких важных — этого достаточно.

                                                                                Only users with full accounts can post comments. Log in, please.