Лого vc.ru

Как защитить свои данные в интернете

Как защитить свои данные в интернете

Редакция vc.ru попросила менеджера по развитию отношений с партнерами компании Google Андрея Липатцева проанализировать последние исследования в области сетевой безопасности и напомнить основные принципы защиты личных данных.

Поделиться
Андрей Липатцев

Существует два уровня опасности. Первый — это непосредственно сами угрозы безопасности. Второй — это то, почему эти угрозы оказываются возможными, то есть поведение пользователей. Они очень часто используют слабые пароли (123456 или password) или создают один и тот же пароль для разных ресурсов.

Согласно результатам исследования компании Gigya, за последний год были взломаны аккаунты более четверти респондентов (26%). В разных возрастных группах количество пользователей, которые подверглись взлому, различается:

  • 35% молодых людей и девушек, родившихся в период с 1980 по 2000 год (миллениалы);
  • 28%, родившихся с 1965 по 1979 год (поколение Х);
  • И 18%, родившихся в период с 1943 по 1964 год (беби-бумеры).

При этом сложные и защищенные пароли придумывают только:

  • 33% миллениалов;
  • 42% представителей поколения Х;
  • 53% беби-бумеров.

Поведение пользователей

Процент людей со слабыми паролями даже на наших сервисах огромный. Для взлома таких аккаунтов не нужен даже брутфорс — многие злоумышленники знают о слабостях пользователей и первым делом проверяют именно «стандартные» пароли.

Поэтому первая рекомендация звучит очевидно, но именно она поможет не стать жертвой злоумышленников: придумайте сложный пароль и используйте его разные вариации на разных сайтах.

Сложный пароль не дает защиту и стопроцентную гарантию от взлома: просто хакерам потребуется гораздо больше времени, чтобы его подобрать. Поэтому велик шанс, что они решат бросить это занятие и переключатся на менее защищенные аккаунты.

Один из способов создать сложный пароль — это придумать «пасс-фразу». То есть закодированное запоминающееся предложение. Например: «Я впервые поехал в Сочи летом 2000 года». Чтобы составить пароль, используем первые буквы: «ЯвпвСл2г». Дальше мы можем написать их транслитом: YavpvSl2g. Или же набрать русскими буквами в латинской раскладке, так будет еще сложнее: ZdgdCk2u.

Главное, чтобы фразу было легко запомнить и вспомнить. Для разных сайтов нужен свой пароль. За основу мы можем взять пасс-фразу и добавить к ней название сервиса, на котором регистрируемся (например ZdgdCk2uFB или ZdgdCk2uVK — прим. ред.).

У меня зарегистрировано очень много аккаунтов на разных ресурсах. И до того, как я узнал про пасс-фразы, я по старинке записывал пароли от каждого сайта в блокнот. Это неудобно и небезопасно.

Второй способ требует чуть больше технических навыков, но я надеюсь, что у каждого в семье или среди друзей есть люди, которые могут помочь. Это использование двухфакторной (или двухшаговой) аутентификации.

Это защита аккаунта с помощью не только имени пользователя и регулярного пароля, но и одноразового пароля. Он запрашивается при входе на ресурс с нового компьютера или из необычного места. Одноразовый пароль приходит в виде SMS или генерируется при помощи специального приложения. Также можно настроить авторизацию при помощи USB-токена. Все это понижает вероятность того, что кто-то с чужого компьютера может войти в ваш аккаунт.

Вариант с SMS удобен для менее опытных пользователей и для тех, кто не хочет возиться с настройкой токенов. Единственное, я слышал от некоторых пользователей, что у них возникают проблемы с SMS-аутентификацией при отъезде за границу, потому что, например, до них не доходят SMS или возникают другие проблемы из-за роуминга. Поэтому я склоняюсь в пользу специального приложения для генерации одноразовых паролей.

Угрозы

За последний год они, на мой взгляд, сильно не поменялись. По данным исследования Международного консорциума по борьбе с фишингом, в первом квартале 2016 года было выявлено 20 миллионов новых угроз, то есть в среднем по 227 тысяч в день. На первом месте находится троянское ПО:

Источник: APWG Phishing Activity Q1 Trends Report

Чаще всего пользователи сталкиваются с угрозами фишинга и социальной инженерии, когда у них обманным путем пытаются выманить их личную информацию, информацию об их аккаунте, информацию об их счетах и финансах, паспортные данные, и так далее.

Социальная инженерия — это попытка обманным путем войти в доверие к пользователю с целью получения у него той или иной информации или выполнения определенный действий — что-нибудь скачать, отправить, установить.

Обычно хорошая социальная инженерия и фишинг не вызывают подозрений — в этом-то и заключается их опасность. Но если вы обращаете внимание на какие-то необычные процедуры, следует сразу бить тревогу.

Например, ваш банк раньше никогда не запрашивал пароль, а тут вдруг спросил. Прежде чем на что-то нажимать, свяжитесь со своим банком. Лучше уточните, действительно ли это письмо отправили они, или же это кто-то «левый».

Это происходит как по электронной почте, так и при посещении веб-сайтов. Поэтому, читая сообщения в электронной почте и посещая другие ресурсы, важно убедиться в том, что отправитель или сайт являются теми, за кого они себя выдают.

С десктопа это сделать проще, чем с мобильных устройств: достаточно обращать внимание на адрес, куда ты попадаешь. Наиболее надежные сайты, которые используют защищенное соединение с реальным провайдером, маркируются соответствующим значком:

Подделать такое соединение невероятно тяжело. В почте с недавнего времени (в частности, и в Gmail) также появилась возможность отправителям верифицировать себя. Большинство банков, крупных компаний и финансовых учреждений верифицируют свои почтовые аккаунты, поэтому, когда их клиенты получают от них сообщения, они могут быть уверены в достоверности отправителя.

HTTPS-соединение не гарантирует, что на сайте нет вредоносного контента. Этот протокол служит гарантией того, что сайт не выдает себя за какой-то другой ресурс. То есть при обмене данных третье лицо не сможет их перехватить.

Со следующего года в Chrome все сайты, которые не используют HTTPS-соединение, будут помечаться особым образом. Это не значит, что они не безопасны для пользователей, это означает то, что они не используют защищенное соединение. Таким образом и мы, и другие производители ПО хотим подтолкнуть вебмастеров к переходу на HTTPS-подключение, чтобы уменьшить вероятность перехвата данных пользователей.

Также продолжается распространение зловредного ПО. Если 5-10 лет назад мы говорили о программах для компьютеров, то сейчас большинство вредоносных приложений создается для мобильных устройств.

По степени зараженности Россия находится на шестом месте, а первую тройку вошли Китай, Турция и Тайвань. Наименее зараженными странами считаются Финляндия, Норвегия и Швеция.

Источник: APWG Phishing Activity Q1 Trends Report

Наибольшее количество зараженных сайтов находится в США:

Источник: APWG Phishing Activity Q1 Trends Report

На Android это происходит при установке приложения не из официального магазина. При скачивании приложений со сторонних источников повышаются шансы заражения устройства. Сейчас в России таких случаев фиксируется меньше, но это все равно опасно.

Помимо зловредного ПО существует также нежелательное ПО. Оно не обязательно будет воровать данные, скорее — мешать пользователю. Например — менять рекламу при посещении сайтов. Угрозы не меняются, но растет информированность пользователей, и это хорошо. Смена паролей, двухфакторная аутентификация, а также антивирус для пользователей Windows, Linux и Android сокращают кражу личных данных.

Присылайте колонки, соответствующие требованиям редакции, на secret@vc.ru

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

первое правило защиты данных в интернете - не публиковать данные в интернете и не пользоваться интернетом)

Про менеджеры паролей ничего не увидел.

Рекомендую www.roboform.com/. Для каждого сайта/приложения обязательно придумывать свой пароль, если фантазии не позволяет, то рекомендую pasw.ru/

0

я то про них знаю, мне за статью обидно

0

- как защитить свои данные?
- почаще параноить.

0

За основу мы можем взять пасс-фразу и добавить к ней название сервиса, на котором регистрируемся (например ZdgdCk2uFB или ZdgdCk2uVK — прим. ред.).
Прекрасный способ потерять доступ сразу ко всем сайтам, если у хотя бы одного из них украдут базу паролей.

0

Совет достаточно годный для среднестатистического человека. Персонализированный брутфорс встречается на порядки реже, чем массовый брутфорс. Как это обычно бывает: сливают базу с какого-нибудь дырявого варезного сайтеца, из этой базы генерят базы логин:пароль, email:пароль, телефон:пароль, и начинают брутить по этим базам вк, мэйл ру, яндекс, гугл и пр. Данный способ прекрасно справится с подобными брутфорсами, никто не будет перебирать варианты в базах из десятков тысяч - миллионов аккаунтов.

Перебирать варианты для конкретного аккаунта*

0

В хром бы ещё фичу генерации паролей добавили, как в сафари, и чтобы автоматом сохранялся. Вот тогда было бы безопасненько. Единственный нюанс - то, что генерит сафари, потом хрен введёшь в какой-нибудь мобильный апп ввиду сложности.

Расширения не хочу, сафари тоже не хочу по ряду причин.

0

Ставишь любое облако на мак и афоню (яндекс диск например). Ставишь и туда, и туда keepass. Базу keepass'а бросаешь в облако. Получаем:
1. Тулза для генерации паролей
2. Шифрованная база паролей
3. Синхронизация между устройствами
4. Копирование паролей на мобильном в один тач

"Чтобы составить пароль, используем первые буквы: «ЯвпвСл2г». Дальше мы можем написать их транслитом: YavpvSl2g. Или же набрать русскими буквами в латинской раскладке, так будет еще сложнее: ZdgdCk2u."
Мне вот интересно, а чем он сложнее, этот последний вариант?

0

Создаёт иллюзию защищенности, не более.

0

"Хороша холодная вода, когда хочется пить!"
Автор думал, что текст нужен для журнала "Компьютер для маленьких"...

Почему нет главного - как защитить свои данные от Google?

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Sasha Zivers

Ничего не заставит.

«Добро пожаловать в 2030 год»: член датского парламента о счастливой жизни без приватности и личных вещей
0
Sasha Zivers

Ну да, приравнивать жену к предментам, ок-ок. )

«Добро пожаловать в 2030 год»: член датского парламента о счастливой жизни без приватности и личных вещей
0
Sasha Zivers

Господа, ну вы чо. Есть же известный эксперимент, когда создали условия, близкие к райским. И известно, чем он закончился.

«Добро пожаловать в 2030 год»: член датского парламента о счастливой жизни без приватности и личных вещей
0
Artem Korsunov

Сайт написан на Laravel :)

«Омоймот» — сайт для подбора мотоциклов с блогами пользователей
0
Alexander Pershin
HTML Academy

Все перечисленные задачи типовые для IT, просто взял примеры чуть шире просто программирования.

Называя "обезъянками" других IT-специалистов вы показываете великолепнейший уровень дискусии, достойный только высококласснейших программистов, повелителей логики и алгоритмов.

Тезис был простой — на рынке есть море задач, за которые платят деньги, для которых не нужен высокий уровень. И эти простые задачи можно решать хорошо, не будучи суровым программистом.

Куда пойти учиться программисту: советы опытного тимлида, преподавателя и новичка
1
Показать еще