Про цифрову безпеку

Вступ

Про цифрову безпеку.

Для кожного акаунту має бути свій унікальний пароль.
Використовуйте складний пароль, на кшталт fС6y?wTg%X3h(k!S.
Змінюйте пароль раз на 6-12 місяців.
Використовуйте менеджер паролів.
Увімкніть двофакторну аутентифікацію.
Не відкривайте підозрілі файли з пошти.
Не переходьте за підозрілими посилання в листах, месенджерах.
Будьте уважними, коли вводите логін і пароль на сайтах (перевіряйте, чи сайт справжній).
Користуйтесь антивірусом і своєчасно оновлюйте антивірусні бази.

Далі дивіться більш розширену інформацію про цифрову безпеку: паролі, двофакторна аутентифікація, юсб-токен, VPN, пісочниця та інше.

1. Про паролі

Унікальність пароля
Крадіжки персональних даних трапляються навіть з сайтів відомих компаній. Що вже тоді казати про сайти різних гоблінів. Тому, погана ідея використовувати один пароль для всіх акаунтів, наприклад:
електронна пошта - D$k8m2)sl%7
соц.мережі - D$k8m2)sl%7
інтернет-банкінг - D$k8m2)sl%7
сайти гоблінів - D$k8m2)sl%7
Вкравши один пароль, гоблін отримає доступ до всіх ваших акаунтів. Тому, для кожного сайту має бути свій унікальний пароль.

Складність пароля
Не використовуйте прості паролі, наприклад 123456, qwerty.
Скажу більше, паролі, що складаються лише з одних цифр, навіть довжиною в 16 цифр, гремліни ламають на раз два.
Також не раджу використовувати в паролях особисту інформацію (дату народження, прізвище, псевдонім, телефон, адресу).
Пароль має бути складним, містити літери (малі і великі), цифри, спецсимволи, наприклад, fС6y?wTg%X3h(k!S.

Довжина пароля
Станом “на вчора” можна було рекомендувати пароль довжиною від 12 символів (при умові, що такий пароль містить малі і великі літери, цифри, спецсимволи).
Але орkи не стоять на місці, тому станом “на сьогодні” одразу можна порадити ще більшу довжину пароля, наприклад, 16 символів чи більше, наприклад, fС6y?wTg%X3h(k!S.
А станом “на завтра” - 20 символів чи більше.

Періодичність зміни пароля
Змінюйте пароль раз на 6-12 місяців.

Менеджер паролів
Звісно, складно запам'ятати десятки унікальних складних паролів (які до того ж оновлюються раз на 6-12 місяців).
Зберігати паролі в блокноті без пароля - небезпечно.
Тому раджу використовувати менеджер паролів. Наприклад, Bitwarden, KeePassXC (або KeePassDX для смартфона), NordPass, Proton Pass, 1Password.
В менеджері паролів можуть зберігатись дані про десятки акаунтів, тому вибирайте складний пароль для захисту самого менеджера паролів.

Підсумую:
- для кожного акаунту використовуйте свій унікальний пароль;
- паролі мають бути складні, на кшталт fС6y?wTg%X3h(k!S;
- довжина пароля 16 символів чи більше;
- змінюйте пароль раз на 6-12 місяців;
- використовуйте менеджер паролів.

2. Двофакторна аутентифікація

Гремліни можуть зламати або викрасти ваш пароль, тому окрім складного паролю використовуйте двофакторну аутентифікацію скрізь, де це можливо (поштова скринька, інтернет-банкінг, Гугл, Фейсбук і т.д.). Двофакторна аутентифікація зменшує ризики викрадення персональних даних.
Двофакторна аутентифікація створює два рівня захисту, коли при вході в акаунт окрім пароля потрібно ввести ще й спеціальний код підтвердження.

Як працює двофакторна аутентифікація під час входу в акаунт:
- ви вводите ім’я користувача та пароль;
- вам пропонують виконати другий крок перевірки за допомогою спеціального коду підтвердження.
Код підтвердження можна отримати через смс або телефонний дзвінок, через спеціальну програму, або з допомогою фізичного ключа безпеки (юсб-токена).

Варіанти двофакторної аутентифікації:
1) Смс-ки на телефон з кодом підтвердження - це самий простий варіант. Недоліки: по-перше, гобліни можуть перевипустити вашу сім-карту; по-друге, якщо в смартфоні є віруси, тоді смс можуть бути перехоплені орkами;
2) Спеціальна програма аутентифікатор у смартфоні, яка генерує код підтвердження, наприклад, Google Authetntificator, Duo Mobile, Microsoft Authetntificator - це більш надійний варіант. Зауваження, годинник на смартфоні має показувати точний час, якщо ж раптом годинник поспішає чи відстає - це призведе до помилки;
3) Фізичний ключ безпеки (юсб-токен) - це найбільш надійний варіант.

3. Юсб-токени

Фізичний ключ безпеки (юсб-токен) - це спеціальний USB-пристрій, який генерує одноразові коди підтвердження.

Приклади юсб-токенів:
Feitian ePass FIDO U2F FIDO2 USB-A K4B,
Feitian ePass FIDO U2F FIDO2 NFC USB-A K9B,
Yubico FIDO U2F Security Key.
Перевага юсб-токена - надійність, підробити юсб-токен неможливо.
Недолік юсб-токена - ціна від 20доларів. Є юсб-токени з NFC, вони ще дорожчі. Юсб-токени рекомендується купувати парами (по-перше, в таких сервісах, як гугл, потрібно 2 юсб-токена, по-друге, так просто надійніше, на той випадок, якщо один загубиться чи зіпсується).
Отже, пара юсб-токенів - від 40доларів/2шт - цього достатньо. Є дорожчі - це вже або більш дорогий бренд, або через додаткові опції, які не всім потрібні (NFC, тощо).

4. Про загрози для електронної поштової скриньки

Не відкривайте підозрілі файли з пошти
Якщо ви отримали підозрілий лист від гремліна, не відкривайте приєднані файли. І не зберігайте ці файли на комп'ютер.

Якщо поштова скринька скомпрометована
Для перевірки, чи не потрапила ваша скринька в базу гоблінів, завітайте на сайт:
have i been pwned?

Звісно, якщо скринька скомпрометована, ви можете встановити новий супер складний пароль.
Але я б не рекомендував використовувати скомпрометовану скриньку для чогось цінного чи важливого.
По-перше, вам почнуть надходити листи від гремлінів (наприклад, звинувачення в розсилці спаму, листи з псевдо-призами чи псевдо-виплатами, шантаж з вимогою заплатити викуп тощо).
По-друге, якщо гобліни визначать ваш акаунт як супер-цінний, тоді на злам/крадіжку вашої поштової скриньки буде витрачено ще більше часу/ресурсів/методів, і загроза нового зламу зросте в рази.
Тому, в ідеалі, - створіть нову поштову скриньку і перереєструйте всі важливі данні (банківські додатки, соцмережі, електронні гаманці, тощо) на нову поштову скриньку, і цього разу одразу захищайтесь краще.

5. Підозрілі електронні посилання в листах, месенджерах

Якщо ви отримали від гремліна електронний лист або повідомлення в месенджері, де міститься посилання на сайт, рекомендую перевірити, чи такий сайт справжній і не переходити за підозрілими адресами.
Для браузерів існують спеціальні розширення, які блокують перехід на гоблінські сайти, наприклад, Malwarebytes.

6. Будьте обережними, коли вводите логін і пароль на сайтах

Будьте уважними, коли вводите логін і пароль на сайтах (перевіряйте, чи сайт справжній, а не підробка на кшталт Abibas замість Adidas).

7. Антивірус

Користуйтесь антивірусом, наприклад, Avast, Bitdefender, Eset.
Своєчасно оновлюйте антивірусні бази.
Додатково регулярно робіть перевірку з допомогою:
- Malwarebytes ;
- Eset Online Scanner * (archive).

8. Перевірка програм на сайті virustotal.com

Якщо встановлюєте безплатні програми - будьте обережні. Перш ніж інсталювати програму, виконайте перевірку на сайті Virustotal .
Якщо virustotal.com повідомляє, що знайдено троян чи вірус, краще пошукайте альтернативну програму без троянів і вірусів.

9. VPN

Програма VPN приховає ваш ай-пі.
Приклади VPN: Proton VPN, (Proton VPN, Psiphon Pro для смартфона).
Браузер Opera має вбудований модуль VPN. Також, деякі антивіруси мають вбудований модуль VPN.

10. Пісочниця-контейнер

Пісочниця-контейнер - це ізольований віртуальний простір, щось на кшталт в'язниці для гоблінів. Підозрілі програми рекомендується відкривати в пісочниці-контейнері.
Модуль пісочниця-контейнер можна знайти:
- в Windows 10, 11;
- в деяких антивірусах, наприклад, Avast;
- в деяких брандмауерах, наприклад, Comodo.

11. Веб-камера. І захист конфіденційності

Якщо є підозра, що за вами шпигують орkи, обмежте доступ до веб-камери. Платне рішення: використовуйте платну антивірусну програму з модулем захисту веб-камери.
Безкоштовне рішення: заклейте веб-камеру. ;)

12. Android. Про цифрову безпеку

Смартфон, за великим рахунком, - це агент, який збирає про вас інформацію. В кращому випадку - з метою показати вам рекламу чи передати інформацію про вас третім особам. В гіршому випадку - з шпигунською метою. Ймовірно, з часом ситуація буде лише погіршуватись.

Деякі рекомендації з цифрової безпеки, що розміщені в попередніх пунктах, актуальні і для андроїд, наприклад:
складні паролі для акаунтів, менеджер паролів, двофакторна аутентифікація, посилений захист електронної пошти, VPN, застереження про шкідливі повідомлення в месенджерах.

Нижче розміщено додаткові рекомендації для Android смартфонів.

13. Android, 2D розпізнавання обличчя, наскільки це надійно?

В переважній більшості Android смартфонів (від найдешевших до найдорожчих) використовується 2D розпізнавання обличчя (2D Face ID) - це про зручність, а не про безпеку. В багатьох випадках 2D розпізнавання обличчя можна обдурити за допомогою якісної фотографії. Навіть недорогий сканер відбитків пальців у смартфоні працює краще.
Зауваження. Не всі виробники попереджають про такі ризики 2D Face ID.

Для кращого захисту рекомендується:
встановити PIN код або пароль для розблокування смартфона;
додатково активувати сканер відбитків пальців;
встановити PIN код для SIM карти;
увімкнути додатковий захист для важливих додатків (App Lock).

14. Android. Встановлення додатків

Встановлюйте додатки лише з Google Play.
На Google Play перевіряйте таку інформацію про додаток, розділи:
1) Підтримка додатка.
Дивіться інформація про розробника. Не встановлюйте додатки від тролів, гоблінів, орkів.
2) Безпека даних.
Оптимальний варіант, коли вказано:
- Дані не передаються третім сторонам;
- Дані не збираються;
- Дані передаються в зашифрованому вигляді.
Якщо ж вказано інше:
- Цей додаток може передавати третім особам деякі типи даних;
- Цей додаток може збирати такі типи даних.
Тоді додаток буде збирати про вас інформацію і передавати цю інформацію гоблінам.
3) Кількість завантажень.
Не варто ризикувати з додатками для яких вказано кілька сотень чи кілька тисяч завантажень. Оптимально якщо це декілька сотень тисяч завантажень чи більше.
4) Дивіться рейтинг відгуків і читайте відгуки.

15. Android. Які права отримує додаток

При встановленні додатків перевіряйте, які права отримує додаток.
Якщо додаток отримує доступ до камери, мікрофона, фотогалереї, інтернет:
- цілком ймовірно, що такий додаток буде збирати ваші фото, ваші розмови і передавати їх гремлінам.
Якщо додаток отримає доступ до телефонної книги і смс:
- цілком ймовірно, що такий додаток може використовувати інформацію про ваші контакти чи навіть читати ваші смс.

16. Android. QR Code

Загалом, не рекомендую переходити за QR-кодами. Особливо якщо це QR-коди, розміщені у громадських місцях чи на парканах, чи в орkівському контенті. Виключення - перевірені додатки, які генерують QR Code для авторизації додатка.

Теги: Про цифрову безпеку, паролі, двофакторна аутентифікація, юсб-токен, VPN, пісочниця.