Современные мошеннические схемы становятся более сложными и автоматизированными, но до сих пор многие методы взлома используют "стандартные" уязвимости пользователя.
Эти уязвимости возникают из-за:
- недостатка компьютерных знаний пользователя;
- беспечности пользователей;
- ошибок в выборе стратегии безопасного поведения.
Специалисты подготавливают современные инструкции, в которых уделяют много внимания вопросу создания безопасных паролей. Сегодня парольная защита в Интернете служит существенной преградой на пути злоумышленника к защищаемым данным.
Многие пользователи знают, что создавая пароль, нужно:
- использовать совместно прописные и строчные буквы, цифры и символы (например, $, % или *), пробелы (если это возможно);
- избегать замены букв похожими цифрами (например, "Ч - 4" или "О - 0");
- не хранить записи паролей на бумажных носителях или в компьютерных файлах в незашифрованном виде;
- не оставлять без присмотра и защиты паролем свои мобильные и стационарные компьютеры.
Как улучшить защиту своих данных?
Для защиты доступа к личному кабинету в системах применяется проверка разных пользовательских факторов:
- Что пользователь знает (например, полноценный пароль, цифровой пин-код или ответ на секретный вопрос)?
- Какими признаками обладает пользователь (изображение лица, сетчатки глаза, отпечаток пальца, образец голоса и др.)?
- Чем владеет пользователь (СМС-код на мобильный номер или код в push-уведомлении приложения подтверждает сиюминутное владение мобильным устройством, а код в сообщении по электронной почте подтверждает владение почтовым адресом.)?
В соответствии с выбранным набором факторов разрабатывается комплекс защитных мер при аутентификации (проверке подлинности) пользователя. Пользователь со своей стороны обеспечивает безопасность хранения и ввода данных этих факторов.
Проверьте свою кибербезопасность на соответствие следующим правилам
1. При запуске мобильного или стационарного компьютера используется пароль (ручной ввод символов, биометрия, NFC).
2. При запуске приложения, обрабатывающего персональные данные или участвующего в аутентификации пользователя используется пароль или пин-код.
3. При использовании входа по СМС-коду используется отдельный мобильный номер, который не сообщается никому в качестве контактного номера для разговоров. Если ваш мобильный номер зарегистрирован в качестве средства двухфакторной аутентификации и является обычным номером для разговоров, то следует завести отдельный "секретный" номер и перевести аутентификацию сервисов на него.
4. В качестве контактного адреса электронной почты используется отдельный адрес, не участвующий в переписке со знакомыми и незнакомыми лицами. Если у вас один e-mail для всех целей, то следует завести новый адрес для регистрации или с помощью почтового сервиса завести виртуальные почтовые адреса. На "Мэйл Ру" есть функция "Анонимайзер", которая позволяет создавать виртуальные адреса почты, по которым письма приходят на один общий адрес.
5. Пароли к сервисам генерируются менеджером паролей, который защищён мастер-паролем и синхронизируется с облачным хранилищем. В качестве примера такого инструмента можно привести встроенный менеджер паролей в Яндекс Браузере. Пользователи иногда сомневаются в надёжности хранения паролей, которые генерируются в сложном для запоминания виде и хранятся менеджером паролей. При правильном использовании этого инструмента надёжность защиты может оказаться выше тех паролей, которые пользователь мог бы хранить в своей памяти и постоянно вводить на сервисах вручную.
6. На чужих компьютерах пользователь работает с сервисами в режиме "Инкогнито", а на своём устройстве отключает запоминание данных, введённых в формы на сайтах.
7. В случае выбора способа аутентификации на сервисе между пользовательским паролем и одноразовым, пользователь выбирает одноразовый пароль, присылаемый в СМС или push-уведомлении. Пользователь никому не сообщает получаемый код, даже если его запрашивает знакомый или служба безопасности сервиса.
8. Пользователь никогда не устанавливает приложения:
- из непроверенных источников;
- по просьбе незнакомых или позвонившей службы безопасности;
- из ссылок, присылаемых по СМС, в мессенджерах;
- по QR-кодам, наклеенным в объявлениях и тп.
9. В устройствах с Wi-Fi отключёно автоматическое подключение к общественным Wi-Fi сетям.
Подход к постановке правил безопасного цифрового поведения должен учитывать особенности использования конкретных систем, в конкретных условиях. Поэтому следует регулярно читать инструкции сервисов в разделе "Безопасность" и повышать свою компьютерную грамотность.
Читайте также другие статьи этого канала.
17 июня 2023 года (редакция текста 22 июня 2023 года).
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, соблюдайте правила комментирования публикаций, указанные на главной странице этого канала.