Паролі, багатофакторність, оновлення: база кіберзахисту від шахраїв
У світі, де штучний інтелект вміє генерувати фішингові листи краще за людей, ми чомусь досі забуваємо про головне: в основі цифрової безпеки — звичайна дисципліна
Турбота про свої персональні електронні дані має стати природною потребою кожного, упевнений фахівець із цифрової безпеки Сергій Самедов. Він пропонує кілька дуже простих засобів, які надійно захистять ваші дані та дадуть змогу жити спокійно.
“Можна встановити найдорожчий захисний софт, найняти круту команду фахівців, але залишити відкритими "парадні двері" — застаріле програмне забезпечення, слабкі паролі, відсутність двофакторної автентифікації. І цього буде цілком достатньо, щоб вас зламали”, - каже Сергій Самедов.
Один пароль — це пастка
“Немає нічого гіршого за один і той самий пароль для різних сервісів. Як тільки один з них буде скомпрометовано — всі інші стають відкритими. І в цьому випадку абсолютно неважливо, наскільки цей пароль складний: якщо він "засвітився" у злитій базі, його просто перевірять в інших популярних сервісах. Це називається credential stuffing, і це щоденна практика кіберзлочинців”, - каже Сергій Самедов.
Паролі повинні бути унікальними для кожного ресурсу. Так, їх буде багато, але для цього й існують менеджери паролів — інструменти, які генерують, зберігають і автоматично підставляють паролі, шифруючи їх локально або в хмарі. Є платні та безкоштовні варіанти — оберіть той, який вам підходить, але ніколи не зберігайте паролі у браузері чи в нотатках на телефоні.
Ідеальна частота зміни паролів залежить від критичності сервісу:
- для банківських акаунтів, пошти, роботи з конфіденційними даними — раз на 2–3 місяці;
- у випадку підозри на витік або компрометацію — змінюйте негайно;
- для менш чутливих сервісів — раз на пів року або в разі втрати доступу до пристрою.
“Але головне: не міняйте пароль "на щось подібне". Наприклад, із "Qwerty2023!" на "Qwerty2024!" — це не новий пароль, а його симуляція, і досвідчені зловмисники це враховують”, - каже Сергій Самедов.
Багатофакторна автентифікація (MFA)
“Додавання другого фактору — це мінімальний стандарт сучасної безпеки. Але він повинен бути якісним. SMS вже давно не вважається захищеним методом. Атаки на мобільні мережі, перехоплення повідомлень, підміна SIM-карт — усе це реальні сценарії”, - каже Сергій Самедов.
Натомість використовуйте:
- TOTP-додатки (Google Authenticator, FreeOTP, Aegis, Raivo OTP тощо);
- фізичні ключі безпеки (типу Yubikey, їх можна купити в інтернеті);
- біометричні методи, де підтримується (з урахуванням ризику біометричного трекінгу).
MFA сьогодні має бути захищеною від фішингу, тобто такою, яку не можна просто ввести на підставній сторінці, підкреслив експерт.
Без оновлень — усе інше не має сенсу
Парольна гігієна важлива, але без оновлень програмного забезпечення — абсолютно марна. Вразливість в старому додатку або системній бібліотеці дає зловмиснику можливість обійти навіть найнадійнішу автентифікацію. Оновлювати треба не тільки Windows чи Android. Варто:
- оновлювати всі додатки, навіть ті, якими не користуєтесь регулярно;
- системні прошивки (firmware) — для роутерів, BIOS/UEFI, IoT-пристроїв;
- безпекові оновлення (патчі) — особливо для корпоративних систем, CRM, VPN та будь-якого програмного забезпечення, що має мережевий інтерфейс.
“У багатьох системах є окреме поняття "патч безпеки", і саме вони першими повинні бути встановлені. В ідеалі — автоматично, а у разі неможливості автоматичного оновлення — заплановане регулярне ручне оновлення. Один день затримки іноді може коштувати компанії мільйони”, - каже Сергій Самедов.
Безпека — це не технологія. Це звичка
“Більшість сучасних інцидентів стається не через нові технології атак, а через старі звички користувачів: ті самі паролі, вимкнені оновлення, довірливість, ігнорування базових налаштувань захисту. Найбільш захищені системи — це не ті, де впровадили найновіший захисний продукт, а ті, де кожен учасник — від ІТ-відділу до бухгалтера — дотримується цифрової гігієни. Це культура та дисципліна, а також це — ваша персональна відповідальність. Гігієна цифрової безпеки — не складна, не дорога, не виняткова. Вона лише потребує уваги та регулярності. І чим раніше ми це усвідомимо, тим менше буде новин із заголовками "злив даних мільйонів користувачів", - каже Сергій Самедов.
У межах кампанії #ШахрайГудбай Мінсоцполітики разом із Нацбанком, Кіберполіцією та Держспецзв'язку ділиться порадами, як розпізнати шахраїв і не потрапити в пастку. Інформатор наводить основні правила захисту від шахраїв ваших банківських карток.
Якщо ви стали жертвою шахраїв, напишіть заяву до Кіберполіції за цим посиланням або повідомте про ваш випадок за номером телефону: 0 800 505 170.
Стежте за нами у Viber
Зараз читають на Інформаторі
ЧИТАЙТЕ ТАКОЖ:
- Жінка припустилась помилки у реквізитах під час оплати та не може подати заявку на повернення грошей онлайн - реакція Ощадбанку
- Закордонний контрагент виявився шахраєм: інструкція від податкової, як не потрапити під санкції в Україні
- Найпопулярніші схеми, за якими шахраї крадуть гроші з ваших банківських карт
- Нацполіція затримала екснардепа та його посібників через шахрайство з нерухомістю
