Пароли, многофакторность, обновление: база киберзащиты от мошенников

В мире, где искусственный интеллект умеет генерировать фишинговые письма лучше людей, мы почему-то до сих пор забываем о главном: в основе цифровой безопасности – обычная дисциплина

Кибербезопасность Фото: Getty Images
Кибербезопасность Фото: Getty Images

Забота о своих персональных электронных данных должна стать естественной потребностью каждого, уверен специалист по цифровой безопасности Сергей Самедов. Он предлагает несколько очень простых средств, которые надежно защитят ваши данные и позволяют жить спокойно.

"Можно установить самый дорогой защитный софт, нанять крутую команду специалистов, но оставить открытыми "парадные двери" - устаревшее программное обеспечение, слабые пароли, отсутствие двухфакторной аутентификации. И этого будет вполне достаточно, чтобы вас сломали", - говорит Сергей Самедов.

Один пароль – это ловушка

"Нет ничего хуже одного и того же пароля для различных сервисов. Как только один из них будет скомпрометирован — все остальные становятся открытыми. И в этом случае совершенно неважно, насколько этот пароль сложен: если он "засветился" в слитой базе, его просто проверят в других популярных сервисах. Это называется credential stuffing," говорит Сергей Самедов.

Пароли должны быть уникальны для каждого ресурса. Да, их будет много, но для этого и существуют менеджеры паролей — генерирующие, хранящие и автоматически подставляющие пароли инструменты, шифруя их локально или в облаке. Есть платные и бесплатные варианты — выберите подходящий, но никогда не храните пароли в браузере или в заметках на телефоне.

Идеальная частота смены паролей зависит от критичности сервиса:

  • для банковских аккаунтов, почты, работы с конфиденциальными данными – раз в 2–3 месяца;
  • в случае подозрения на утечку или компрометацию – меняйте немедленно;
  • для менее чувствительных сервисов – раз в полгода или в случае потери доступа к устройству.

"Но главное: не меняйте пароль "на что-то подобное". Например, с "Qwerty2023!" на "Qwerty2024!" - это не новый пароль, а его симуляция, и опытные злоумышленники это учитывают", - говорит Сергей Самедов.

Многофакторная аутентификация (MFA)

"Создание второго фактора - это минимальный стандарт современной безопасности. Но он должен быть качественным. SMS уже давно не считается защищенным методом. Атаки на мобильные сети, перехват сообщений, подмена SIM-карт - все это реальные сценарии", - говорит Сергей Самедов.

Вместо этого используйте:

  • TOTP-приложения (Google Authenticator, FreeOTP, Aegis, Raivo OTP и т.п.);
  • физические ключи безопасности (типа Yubikey, их можно купить в Интернете);
  • биометрические способы, где поддерживается (с учетом риска биометрического трекинга).

MFA сегодня должна быть защищена от фишинга, то есть такой, которую нельзя просто ввести на подставной странице, подчеркнул эксперт.

Без обновлений — все остальное не имеет смысла

Парольная гигиена важна, но без обновлений программного обеспечения абсолютно бесполезна. Уязвимость в старом приложении или системной библиотеке позволяет злоумышленнику обойти даже самую надежную аутентификацию. Обновлять нужно не только Windows или Android. Следует:

  • обновлять все приложения, даже те, которыми не пользуетесь регулярно;
  • системные прошивки (firmware) – для роутеров, BIOS/UEFI, IoT-устройств;
  • обновления безопасности (патчи) — особенно для корпоративных систем, CRM, VPN и любого программного обеспечения, имеющего сетевой интерфейс.

"Во многих системах есть отдельное понятие "патч безопасности", и именно они первыми должны быть установлены. В идеале - автоматически, а в случае невозможности автоматического обновления - запланировано регулярное ручное обновление. Один день задержки иногда может стоить компании миллионы", - говорит Сергей Самедов.

Безопасность – это не технология. Это привычка

"Большинство современных инцидентов происходит не из-за новых технологий атак, а из-за старых привычек пользователей: те же пароли, отключенные обновления, доверчивость, игнорирование базовых настроек защиты. Наиболее защищенные системы - это не те, где внедрили новейший защитный продукт, а те, где каждый участник - от ИТ-отдела до бухгалтера". дисциплина, а также это – ваша персональная ответственность. Гигиена цифровой безопасности – не сложная, не исключительная. Она лишь требует внимания и регулярности.

В рамках кампании #ШахрайГудбай Минсоцполитики вместе с Нацбанком, Киберполицией и Госспецсвязи делится советами, как распознать мошенников и не попасть в ловушку. Информатор приводит основные правила защиты от мошенников ваших банковских карт.

Если вы стали жертвой мошенников, напишите заявление в Киберполицию по этой ссылке или сообщите о вашем случае по телефону: 0 800 505 170.

Следите за нами в Viber

Image
Оперативные новости и разборы: Украина, мир, война. Подписывайтесь 👇

ЧИТАЙТЕ ТАКЖЕ:

Главная Актуально Україна на часі Youtube
Информатор в
телефоне 👉
Скачать