Пароль давно не главный риск. Главный риск это второй фактор, восстановление доступа и телефон, к которому привязана учётка.
Если злоумышленник забрал Госуслуги, дальше часто начинается каскад. Номер телефона. Банки. Микрозаймы. Доступ к сервисам от вашего имени.
Ниже чеклист, который я бы сделал базовой гигиеной. Для себя и для родственников.
1. Включите вход по одноразовому коду TOTP
Это коды из приложения-аутентификатора. Они не приходят по SMS. Их сложнее выманить по телефону.
2. Сразу настройте резерв к TOTP
Если вы потеряли телефон, это не всегда потеря доступа. Во многих аутентификаторах есть перенос на новый телефон, облачная синхронизация или экспорт. Проверьте заранее, что у вас включён резервный сценарий и вы умеете им пользоваться.
3. Проверьте раздел Сим-карты в профиле Госуслуг
Сервис показывает, какие номера оформлены на вас. Это прямой способ найти чужие SIM на вашем паспорте. Лишние номера блокируйте. Это снижает риск, когда номер пытаются перевыпустить или использовать для восстановления доступа.
4. Включите самозапрет на кредиты - хотя бы на микрозаймы
В массовых схемах чаще всплывают МФО. Самозапрет сильно снижает ущерб, даже если учётку всё же увели.
5. Проверьте раздел электронных подписей
Вы должны знать все ЭП, которые там перечислены. Если сомневаетесь, лучше отозвать неизвестную электронную подпись, чем кто-то подпишет документ вместо вас.
6. Проверьте привязанную к аккаунту электронную почту и телефон
Старый номер, старая почта, неиспользуемые способы подтверждения. Это новые входы для злоумышленника. Заодно проверьте, что Госуслуги привязаны к личному номеру, а не к корпоративному.
7. Поставьте уникальный длинный пароль и менеджер паролей
Повтор пароля из утечек это самый дешёвый вход для атакующего. Пароль должен быть отдельным. Только для Госуслуг.
8. Не сообщайте коды никому. Вообще
Ни из SMS, ни из TOTP. Техподдержка их не спрашивает. Банки их не спрашивают. Госуслуги их не спрашивают.
9. Для пожилых включите доверенный контакт
Это нормальная "вторая рука" без передачи пароля. Доверенному контакту приходят запросы на подтверждение отдельных действий, связанных с безопасностью учётки. При этом у него нет доступа в личный кабинет и он не может делать действия от имени человека.
10. Если вы не используете биометрию, не подключайте её просто так
Я пока не вижу сценариев, где оцифрованная биометрия добавляет вам безопасности. Зато последствия утечки здесь долгие. Биометрию не сменить так же легко, как пароль.
Если какие-то термины непонятны - спросите у моего бота по инфобезу. Дженни объяснит любой термин по информационной безопасности.
🟡 Полезно
Три шага с максимальным эффектом. TOTP, проверка SIM-карт, самозапрет на микрозаймы.
#гигиена