Как защитить свои данные в интернете
Редакция попросила менеджера по развитию отношений с партнерами компании Google Андрея Липатцева проанализировать последние исследования в области сетевой безопасности и напомнить основные принципы защиты личных данных.
Существует два уровня опасности. Первый - это непосредственно сами угрозы безопасности. Второй - это то, почему эти угрозы оказываются возможными, то есть поведение пользователей. Они очень часто используют слабые пароли (123456 или password) или создают один и тот же пароль для разных ресурсов.
Согласно результатам исследования компании Gigya, за последний год были взломаны аккаунты более четверти респондентов (26%). В разных возрастных группах количество пользователей, которые подверглись взлому, различается:
- 35% молодых людей и девушек, родившихся в период с 1980 по 2000 год (миллениалы);
- 28%, родившихся с 1965 по 1979 год (поколение Х);
- И 18%, родившихся в период с 1943 по 1964 год (беби-бумеры).
При этом сложные и защищенные пароли придумывают только:
- 33% миллениалов;
- 42% представителей поколения Х;
- 53% беби-бумеров.
Поведение пользователей
Процент людей со слабыми паролями даже на наших сервисах огромный. Для взлома таких аккаунтов не нужен даже брутфорс - многие злоумышленники знают о слабостях пользователей и первым делом проверяют именно «стандартные» пароли.
Поэтому первая рекомендация звучит очевидно, но именно она поможет не стать жертвой злоумышленников: придумайте сложный пароль и используйте его разные вариации на разных сайтах.
Сложный пароль не дает защиту и стопроцентную гарантию от взлома: просто хакерам потребуется гораздо больше времени, чтобы его подобрать. Поэтому велик шанс, что они решат бросить это занятие и переключатся на менее защищенные аккаунты.
Один из способов создать сложный пароль - это придумать «пасс-фразу». То есть закодированное запоминающееся предложение. Например: «Я впервые поехал в Сочи летом 2000 года». Чтобы составить пароль, используем первые буквы: «ЯвпвСл2г». Дальше мы можем написать их транслитом: YavpvSl2g. Или же набрать русскими буквами в латинской раскладке, так будет еще сложнее: ZdgdCk2u.
Главное, чтобы фразу было легко запомнить и вспомнить. Для разных сайтов нужен свой пароль. За основу мы можем взять пасс-фразу и добавить к ней название сервиса, на котором регистрируемся (например ZdgdCk2uFB или ZdgdCk2uVK - прим. ред.).
У меня зарегистрировано очень много аккаунтов на разных ресурсах. И до того, как я узнал про пасс-фразы, я по старинке записывал пароли от каждого сайта в блокнот. Это не удобно и не безопасно.
Второй способ требует чуть больше технических навыков, но я надеюсь, что у каждого в семье или среди друзей есть люди, которые могут помочь. Это использование двухфакторной (или двухшаговой) аутентификации.
Это защита аккаунта с помощью не только имени пользователя и регулярного пароля, но и одноразового пароля. Он запрашивается при входе на ресурс с нового компьютера или из необычного места. Одноразовый пароль приходит в виде SMS или генерируется при помощи специального приложения. Также можно настроить авторизацию при помощи USB-токена. Все это понижает вероятность того, что кто-то с чужого компьютера может войти в ваш аккаунт.
Вариант с SMS удобен для менее опытных пользователей и для тех, кто не хочет возиться с настройкой токенов. Единственное, я слышал от некоторых пользователей, что у них возникают проблемы с SMS-аутентификацией при отъезде за границу, потому что, например, до них не доходят SMS или возникают другие проблемы из-за роуминга. Поэтому я склоняюсь в пользу специального приложения для генерации одноразовых паролей.
Угрозы
За последний год они, на мой взгляд, сильно не поменялись. По данным исследования Международного консорциума по борьбе с фишингом, в первом квартале 2016 года было выявлено 20 миллионов новых угроз, то есть в среднем по 227 тысяч в день. На первом месте находится троянское ПО:
Чаще всего пользователи сталкиваются с угрозами фишинга и социальной инженерии, когда у них обманным путем пытаются выманить их личную информацию, информацию об их аккаунте, информацию об их счетах и финансах, паспортные данные, и так далее.
Социальная инженерия - это попытка обманным путем войти в доверие к пользователю с целью получения у него той или иной информации или выполнения определенный действий - что-нибудь скачать, отправить, установить.
Обычно хорошая социальная инженерия и фишинг не вызывают подозрений - в этом-то и заключается их опасность. Но если вы обращаете внимание на какие-то необычные процедуры, следует сразу бить тревогу.
Например, ваш банк раньше никогда не запрашивал пароль, а тут вдруг спросил. Прежде чем на что-то нажимать, свяжитесь со своим банком. Лучше уточните, действительно ли это письмо отправили они, или же это кто-то «левый».
Это происходит как по электронной почте, так и при посещении веб-сайтов. Поэтому, читая сообщения в электронной почте и посещая другие ресурсы, важно убедиться в том, что отправитель или сайт являются теми, за кого они себя выдают.
С десктопа это сделать проще, чем с мобильных устройств: достаточно обращать внимание на адрес, куда ты попадаешь. Наиболее надежные сайты, которые используют защищенное соединение с реальным провайдером, маркируются соответствующим значком:
Подделать такое соединение невероятно тяжело. В почте с недавнего времени (в частности, и в Gmail) также появилась возможность отправителям верифицировать себя. Большинство банков, крупных компаний и финансовых учреждений верифицируют свои почтовые аккаунты, поэтому, когда их клиенты получают от них сообщения, они могут быть уверены в достоверности отправителя.
HTTPS-соединение не гарантирует, что на сайте нет вредоносного контента. Этот протокол служит гарантией того, что сайт не выдает себя за какой-то другой ресурс. То есть при обмене данных третье лицо не сможет их перехватить.
Со следующего года в Chrome все сайты, которые не используют HTTPS-соединение, будут помечаться особым образом. Это не значит, что они не безопасны для пользователей, это означает то, что они не используют защищенное соединение. Таким образом и мы, и другие производители ПО хотим подтолкнуть вебмастеров к переходу на HTTPS-подключение, чтобы уменьшить вероятность перехвата данных пользователей.
Также продолжается распространение зловредного ПО. Если 5-10 лет назад мы говорили о программах для компьютеров, то сейчас большинство вредоносных приложений создается для мобильных устройств.
По степени зараженности Россия находится на шестом месте, а первую тройку вошли Китай, Турция и Тайвань. Наименее зараженными странами считаются Финляндия, Норвегия и Швеция.
Наибольшее количество зараженных сайтов находится в США:
На Android это происходит при установке приложения не из официального магазина. При скачивании приложений со сторонних источников повышаются шансы заражения устройства. Сейчас в России таких случаев фиксируется меньше, но это все равно опасно.
Помимо зловредного ПО существует также нежелательное ПО. Оно не обязательно будет воровать данные, скорее - мешать пользователю. Например - менять рекламу при посещении сайтов. Угрозы не меняются, но растет информированность пользователей, и это хорошо. Смена паролей, двухфакторная аутентификация, а также антивирус для пользователей Windows, Linux и Android сокращают кражу личных данных.