Безпека акаунтів: захисти себе від злому

Новокаховський професійний електротехнічний ліцей

Навіщо комусь потрібен мій акаунт?

“Привіт, друже!))) Можеш скинути 300грн на телефон? Терміново треба, завтра поверну!” отримував коли-небудь таке повідомлення від друзів у ВК або іншої соцмережі або месенджері? Якщо так, то, швидше за все, твого друга, а чи подругу зламали. Злом акаунтів – це дуже вигідний (і незаконний!) бізнес. Деякі умільці зламують акаунти на замовлення: наприклад, для тих особливих особистостей, яким потрібно дізнатися, з ким і про що спілкується його дівчина / її хлопець, або з метою шантажу – мало, які особисті речі є у нас в листуваннях? Інші зламують максимальна кількість випадкових акаунтів, щоб потім розсилати шахрайські розсилки з проханням покласти гроші на телефон або розкручувати групи в соцмережах (в розкручених групах можна продавати рекламу). Тому не важливо, скільки у тебе друзів і наскільки ти популярний – твій акаунт все одно можуть зламати.

Зламують тільки соцмережі?

Звичайно, ні! Хакери також дуже люблять зламувати електронну пошту, адже на твій поштова скринька може бути зареєстрована купа інших речей: це і ті же соцмережі, і, наприклад, акаунти в онлайн магазинах, де ми залишаємо платіжну інформацію. А ще зламану електронну пошту можна використовувати для розсилки спаму і шахрайських повідомлень. Є у зломщиків і інші улюблені цілі, наприклад, акаунти у Steam: вартість Ігор та ігрових предметів в бібліотеці може доходити до сотень і навіть тисяч доларів, і після крадіжки такий акаунт можна вигідно продати.

Мені вже страшно! Як захистити акаунт?

Перше, з чого потрібно почати – это хорошие паролі. Вже точно не можна використовувати паролі типу Password або 123456 – такі паролі хакери перебирають за допомогою спеціальних словників. Ми радимо використовувати паролі довжиною від 12 символів, в яких присутні великі і маленькі символи, цифри і знаки пунктуації у реченні. Зрозуміло, що чим пароль містить більше ніж і чим більше в ньому різних символів, тим складніше його зламати, але тим і важче запам ‘ятати. Можна спробувати скласти пароль з різних слів, щоб зробити його більш незабутнім: наприклад, Oh,HoW!ILOve…168Ice-CrEam, або щось в такому дусі. Хоча такий пароль містить більше ніж, ніж, наприклад, h6&ju!^FyJ!2, запам ‘ятати його простіше.

Зі складним паролем мені нічого не загрожує?

Не все так просто. Якщо обікрасти банк, то за один раз можна роздобути куди більше грошей, ніж якщо багато разів грабувати простих людей. Тому і кіберграбітелі з куди більшим ентузіазмом атакують самі сайти інтернет-магазинів, авіакомпаній і інших інтернет-сервісів, ніж їх клієнтів. Паролі, як правило, ці сервіси зберігають не в чистому вигляді, а у вигляді так званих хеш.

Хешування – спеціальний метод, який перетворює дані до рядка певної довжини, як правило так, що назад отримати вихідні дані неможливо. Коли ти регістріруешься на сайті, тобі пропонують вказати пароль. Але замість того, щоб зберігати його у базі даних в чистому вигляді, творці сервісу перетворюють його в хеш і вже в такому вигляді зберігають. Коли тобі треба залогінитися, сайт знову розраховує хеш от твоего пароля і порівнює його з тим, який зберігається в базі. Як працює kheshirovaniye?

Наприклад, придумаємо ось такий алгоритм хешування слова: будемо брати зі слова три перших згодних букви, а якщо згодних не вистачає, будемо додавати літеру “р”. Тоді слово “трактор” перетвориться на “трк”, а слово “вода” – у “вдр”. Зрозуміти по хеш, що було в первісному слові, не можна: це могли бути слова “терка” і “відро”. Справжні алгоритми хешування складніше (спробуй справжній алгоритм тут – тільки не вводь справжні паролі!), але для простих паролів, особливо, якщо kheshirovaniye реалізовано невірно, можна легко отримати початковий пароль і вкрасти аккаунт.

Але ж навряд чи хтось зламає Google або Apple!

Від цього не застрахована жодна компанія. Так, серед компаній, які втрачали дані користувачів, були, наприклад, Tumblr і Yahoo. І не будь, що пароль можуть вкрасти по-іншому. Наприклад, якщо ти Вводиш його на сайті без шифрування, особливо у відкритій Wi-Fi мережі. Або якщо ти користуєшся комп ‘ютером, зараженим вірусом. Наприклад, на комп ‘ютері у школі може виявитися шкідлива програма кейлоггер, яку туди хитро встановити Василь з 9Б – вона буде записувати все, що ти друкуєш, і відправляти Васі, який обов’язково помітить послідовність “[email protected]”. Тому ніколи не заходи в свої акаунти з чужих комп ‘ютерів, а на своєму комп’ ютері встанови антивірус, бажано з функцією захисту введення з клавіатури.

Перевір себе: на яких з цих сайтів можна вводити свої дані, а на яких ні?

https://websupport.paypal.com/support/recovery

https://websupport.paypal.com.rs.com/support/recovery

https://websupport.paypaļ.com/support/recovery

З другої усе зрозуміло – вона явно несправжня. А ось з третьої всі хитріше – зверни увагу на маленьку непомітну паличку під літерою l у слові paypal.

Зрозуміло! Я придумав відмінний пароль і нині поставлю його на всіх акаунтах!

Стоп. Валиве правило – ніколи не використовувати один і той самий пароль двічі. Факт в том, что даже если твій пароль дуже складний, якщо хакери вкрадуть його з якогось інтернет-магазину або форуму, про реєстрацію на котором ты даже не помнишь, вони обов ‘язково спробують його на всіх інших сайтах. І якщо паролі співпадуть, з акаунтом доведеться розпрощатися.

Запам’ятовувати довгі паролі для десятків сайтів, додатків і соцмереж дуже складно. На допомогу в такій ситуації приходить спеціальна програма – менеджер паролів. Наприклад, Kaspersky Password Manager сам створює складні паролі, різні для різних сайтів, і ховає в захищеному сховище. Тобі залишається тільки запам ‘ятати майстер – пароль, за допомогою якого всі твої паролі шифруються, щоб ніхто, Крім тебе, не міг отримати до них доступ.

 

А що, якщо я все-таки заражусь вірусом або поведусь на фішинг?

Ніхто з нас не ідеальний, і іноді трохи неуважність в невідповідний момент може призвести до втрати пароля. Тому багато сервіси пропонують використовувати для логіна так звану двухфакторную у автентифікації (або коротко 2FA). Під складними словами переховується дуже проста ідея. Уяви, що тобі треба зняти гроші в банкоматі. Для цього тобі потрібно дві речі: щось, що ти знаєш, а саме пін-код, і щось, що ти фізично маєш – пластикова картка. Ці дві речі і є двома факторами в автентифікації. Дуже багато хто сервіси дозволяють включити двухфакторную аутентифікацію за допомогою СМС – наприклад, VK, Instagram і Google. Таким чином, другим фактором у доповненні до паролем (то, что ты знаешь), стає номер телефону.

Ще один спосіб – використовувати спеціальний Додаток для 2FA, наприклад, Google Authenticator, auth або Steam Guard. В такому випадку замість номера телефону другим чинником стає сам смартфон, и тебе не нужно постійно чекати, поки прийде заповітна’яні.

Новокаховський професійний електротехнічний ліцей

Однак потрібно бути обережним – якщо ти зламаєш або втратиш телефон, то втратиш і доступ до акаунтів! Тому якщо сервіс, наприклад, Facebook, пропонує тобі одноразові коди, які дозволять увійти в обліковий запис у разі втрати телефону, обов ‘язково роздрукуй їх на папері і спрячь в надійному місці.

Для найбільш просунутих існують апаратні ключі (деякі схожі на флешку), такі як YubiKey. Після покупки ключа ти можеш активувати відповідну функцію в сервісі (наприклад, Google), і тоді увійти в твій акаунт можна буде, лише якщо ти вставиш ключ у USB-порт комп’ютера.

Ну і нарешті, обов’язково используй функцію оповіщення про логін, якщо така у сервісу є: якщо хтось раптом зайде в твій акаунт, ти отримаєш повідомлення на електронну пошту або телефон і зможеш вчасно зреагувати. Але не забувай пункт про фішинг!

Підсумовуючи зазначене:

  1. Тобі не треба бути відомою особою, щоб твої акаунти в Інтернеті піддавалися небезпеці.
  2. Складні паролі, які не повторюються на різних сайтах – основа твоеї безпеки.
  3. Щоб запам’ятати всі ці паролі (вірніше, щоб не потрібно було їх запам’ятовувати), використовуй менеджер паролів.
  4. Злом паролів підбором – тільки один з способів злому акаунта. Віруси, кейлоггери, фішинг, прослуховування незашифрованих сполук – загроз твоїм акаунтам багато.
  5. Головний захист від фішингу – уважність і здоровий глузд. Антивірус з функцією антифішинга також допомогає.
  6. Двухфакторна аутентифікація дуже сильно ускладнює злом акаунтів – використовуй її скрізь, де можна!