Cara profesional keselamatan melindungi maklumat peribadi

2024 Pengarang: Malcolm Clapton | [email protected]. Diubah suai terakhir: 2023-12-17 04:06

Adakah masuk akal untuk melepaskan Wi-Fi awam dan aplikasi perbankan dan mendapatkan kad berasingan untuk pembelian dalam talian - pendapat pakar keselamatan maklumat.

Separuh daripada rakan sekerja saya dalam keselamatan maklumat adalah paranoid profesional. Sehingga 2012 saya sendiri begitu - saya disulitkan sepenuhnya. Kemudian saya menyedari bahawa pertahanan yang membosankan itu mengganggu kerja dan kehidupan.

Dalam proses "keluar", saya membangunkan tabiat sedemikian yang membolehkan anda tidur dengan tenang dan pada masa yang sama tidak membina tembok Cina di sekeliling. Saya memberitahu anda peraturan keselamatan yang sekarang saya layan tanpa fanatik, yang saya langgar dari semasa ke semasa, dan yang saya ikuti dengan penuh kesungguhan.

Paranoia yang berlebihan

Jangan gunakan Wi-Fi awam

Saya menggunakan dan tidak mempunyai ketakutan dalam hal ini. Ya, terdapat ancaman apabila menggunakan rangkaian awam percuma. Tetapi risiko diminimumkan dengan mengikuti peraturan keselamatan yang mudah.

1. Pastikan hotspot itu milik kafe dan bukan milik penggodam. Titik undang-undang meminta nombor telefon dan menghantar SMS untuk masuk.
2. Gunakan sambungan VPN untuk mengakses Rangkaian.
3. Jangan masukkan nama pengguna / kata laluan pada tapak yang tidak disahkan.

Baru-baru ini, penyemak imbas Google Chrome mula menandai halaman dengan sambungan tidak selamat sebagai tidak selamat. Malangnya, tapak pancingan data baru-baru ini mengamalkan amalan mendapatkan sijil untuk meniru yang sebenar.

Jadi, jika anda ingin log masuk ke beberapa perkhidmatan menggunakan Wi-Fi awam, saya akan menasihati anda untuk memastikan bahawa tapak tersebut adalah asal seratus kali. Sebagai peraturan, sudah cukup untuk menjalankan alamatnya melalui perkhidmatan whois, contohnya Reg.ru. Tarikh pendaftaran domain terkini harus memaklumkan anda - tapak pancingan data tidak bertahan lama.

Jangan log masuk ke akaun anda daripada peranti orang lain

Saya masuk, tetapi saya menyediakan pengesahan dua langkah untuk rangkaian sosial, mel, akaun peribadi, laman web Perkhidmatan Negara. Ini juga merupakan kaedah perlindungan yang tidak sempurna, jadi Google, sebagai contoh, mula menggunakan token perkakasan untuk mengesahkan identiti pengguna. Tetapi buat masa ini, untuk "manusia semata-mata" sudah cukup bahawa akaun anda akan meminta kod daripada SMS atau daripada Google Authentificator (dalam aplikasi ini, kod baharu dijana setiap minit pada peranti itu sendiri).

Namun begitu, saya mengakui unsur kecil paranoia: Saya kerap menyemak sejarah penyemakan imbas saya sekiranya orang lain memasuki mel saya. Dan sudah tentu, jika saya log masuk ke akaun saya dari peranti orang lain, pada akhir kerja saya tidak lupa untuk mengklik "Tamatkan semua sesi".

Jangan pasang apl perbankan

Adalah lebih selamat untuk menggunakan aplikasi perbankan mudah alih daripada perbankan dalam talian dalam versi desktop. Walaupun ia direka secara ideal dari sudut pandangan keselamatan, persoalannya tetap dengan kelemahan penyemak imbas itu sendiri (dan terdapat banyak daripadanya), serta kelemahan sistem pengendalian. Perisian hasad yang mencuri data boleh disuntik terus ke dalamnya. Oleh itu, walaupun jika sebaliknya perbankan dalam talian adalah selamat, risiko ini kekal lebih daripada nyata.

Bagi aplikasi perbankan, keselamatannya adalah sepenuhnya atas hati nurani bank. Setiap daripada mereka menjalani analisis menyeluruh tentang keselamatan kod, selalunya pakar terkemuka luar terlibat. Bank boleh menyekat akses kepada aplikasi jika anda menukar kad SIM atau hanya mengalihkannya ke slot lain pada telefon pintar anda.

Beberapa aplikasi yang paling selamat tidak bermula sehingga keperluan keselamatan dipenuhi, contohnya, telefon tidak dilindungi kata laluan. Oleh itu, jika anda, seperti saya, tidak bersedia untuk melepaskan pembayaran dalam talian pada dasarnya, lebih baik menggunakan aplikasi daripada perbankan dalam talian desktop.

Sudah tentu, ini tidak bermakna bahawa aplikasi adalah 100% selamat. Malah yang terbaik menunjukkan kelemahan, jadi kemas kini tetap diperlukan. Jika anda fikir ini tidak mencukupi, baca penerbitan khusus (Xaker.ru, Anti-malware.ru, Securitylab.ru): mereka akan menulis di sana jika bank anda tidak cukup selamat.

Gunakan kad berasingan untuk pembelian dalam talian

Saya secara peribadi berpendapat bahawa ini adalah masalah yang tidak perlu. Saya mempunyai akaun yang berasingan supaya, jika perlu, memindahkan wang daripadanya ke kad dan membayar pembelian di Internet. Tetapi saya juga menolak ini - ia memudaratkan keselesaan.

Ia lebih cepat dan lebih murah untuk mendapatkan kad bank maya. Apabila anda membuat pembelian dalam talian menggunakannya, data kad utama di Internet tidak menyala. Jika anda fikir ini tidak mencukupi untuk keyakinan sepenuhnya, ambil insurans. Perkhidmatan ini ditawarkan oleh bank terkemuka. Secara purata, dengan kos 1,000 rubel setahun, insurans kad akan melindungi kerosakan sebanyak 100,000.

Jangan gunakan peranti pintar

Internet Perkara adalah besar, dan terdapat lebih banyak ancaman di dalamnya daripada yang tradisional. Peranti pintar benar-benar penuh dengan peluang besar untuk penggodaman.

Di UK, penggodam menggodam rangkaian kasino tempatan dengan data pelanggan VIP melalui termostat pintar! Jika kasino ternyata sangat tidak selamat, apa yang perlu dikatakan tentang orang biasa. Tetapi saya menggunakan peranti pintar dan tidak melekatkan kamera padanya. Jika TV dan menggabungkan maklumat tentang saya - ke neraka dengannya. Ia pasti akan menjadi sesuatu yang tidak berbahaya, kerana saya menyimpan semua yang penting pada cakera yang disulitkan dan menyimpannya di rak - tanpa akses ke Internet.

Matikan telefon anda di luar negara sekiranya berlaku wiretapping

Di luar negara, kami paling kerap menggunakan utusan yang menyulitkan mesej teks dan audio dengan sempurna. Jika trafik dipintas, ia hanya akan mengandungi "kekacauan" yang tidak boleh dibaca.

Pengendali mudah alih juga menggunakan penyulitan, tetapi masalahnya ialah mereka boleh mematikannya tanpa pengetahuan pelanggan. Sebagai contoh, atas permintaan perkhidmatan khas: ini berlaku semasa serangan pengganas di Dubrovka supaya perkhidmatan khas dapat dengan cepat mendengar rundingan pengganas.

Di samping itu, rundingan dipintas oleh kompleks khas. Harga untuk mereka bermula dari 10 ribu ringgit. Ia tidak tersedia untuk dijual, tetapi ia tersedia untuk perkhidmatan istimewa. Jadi jika tugasnya adalah untuk mendengar anda, mereka akan mendengar anda. Adakah anda takut? Kemudian matikan telefon anda di mana-mana, dan di Rusia juga.

Ia agak masuk akal

Tukar kata laluan setiap minggu

Malah, sebulan sekali sudah memadai, dengan syarat kata laluan adalah panjang, kompleks dan berasingan untuk setiap perkhidmatan. Adalah lebih baik untuk mematuhi nasihat bank kerana mereka menukar keperluan kata laluan apabila kuasa pengkomputeran berkembang. Kini kriptoalgoritma yang lemah adalah kekerasan yang diselesaikan dalam sebulan, oleh itu keperluan untuk kekerapan perubahan kata laluan.

Walau bagaimanapun, saya akan membuat tempahan. Secara paradoks, keperluan untuk menukar kata laluan sebulan sekali mengandungi ancaman: otak manusia direka sedemikian rupa sehingga, jika perlu untuk sentiasa mengingati kod baharu, ia mula keluar. Seperti yang diketahui oleh pakar siber, setiap kata laluan pengguna baharu dalam situasi ini menjadi lebih lemah daripada kata laluan sebelumnya.

Penyelesaiannya ialah menggunakan kata laluan yang kompleks, menukarnya sebulan sekali, tetapi gunakan aplikasi khas untuk penyimpanan. Dan pintu masuk ke dalamnya mesti dilindungi dengan teliti: dalam kes saya, ia adalah sifir 18 aksara. Ya, aplikasi mempunyai dosa kerana mengandungi kelemahan (lihat perenggan tentang aplikasi di bawah). Anda perlu memilih yang terbaik dan mengikuti berita tentang kebolehpercayaannya. Saya belum nampak cara yang lebih selamat untuk menyimpan berpuluh-puluh kata laluan yang kukuh dalam kepala saya.

Jangan gunakan perkhidmatan awan

Kisah pengindeksan Google Docs dalam carian Yandex menunjukkan betapa banyak pengguna tersilap tentang kebolehpercayaan kaedah menyimpan maklumat ini. Saya secara peribadi menggunakan pelayan awan syarikat untuk berkongsi kerana saya tahu betapa selamatnya ia. Ini tidak bermakna awan awam percuma adalah kejahatan mutlak. Sebelum anda memuat naik dokumen ke Google Drive, ambil masalah untuk menyulitkannya dan letakkan kata laluan untuk akses.

Langkah-langkah yang perlu

Jangan tinggalkan nombor telefon anda kepada sesiapa dan di mana-mana sahaja

Tetapi ini bukan langkah berjaga-jaga tambahan sama sekali. Mengetahui nombor telefon dan nama penuh, penyerang boleh membuat salinan kad SIM untuk kira-kira 10 ribu rubel. Baru-baru ini, perkhidmatan sedemikian boleh didapati bukan sahaja di darknet. Atau lebih mudah lagi - untuk mendaftar semula nombor telefon orang lain kepada diri sendiri menggunakan surat kuasa wakil palsu di pejabat pengendali telekomunikasi. Kemudian nombor itu boleh digunakan untuk mengakses mana-mana perkhidmatan mangsa yang memerlukan pengesahan dua faktor.

Beginilah cara penjenayah siber mencuri akaun Instagram dan Facebook (contohnya, untuk menghantar spam daripada mereka atau menggunakannya untuk kejuruteraan sosial), mendapatkan akses kepada aplikasi perbankan dan membersihkan akaun. Baru-baru ini, media memberitahu bagaimana dalam satu hari 26 juta rubel telah dicuri daripada ahli perniagaan Moscow menggunakan skim ini.

Berhati-hati jika kad SIM anda berhenti berfungsi tanpa sebab yang jelas. Lebih baik untuk bermain dengan selamat dan menyekat kad bank anda, ini adalah wajar paranoia. Selepas itu, hubungi pejabat pengendali untuk mengetahui apa yang berlaku.

Saya mempunyai dua kad SIM. Perkhidmatan dan aplikasi perbankan terikat pada satu nombor, yang saya tidak kongsikan dengan sesiapa pun. Saya menggunakan kad SIM lain untuk keperluan komunikasi dan isi rumah. Saya meninggalkan nombor telefon ini untuk mendaftar webinar atau mendapatkan kad diskaun di kedai. Kedua-dua kad dilindungi oleh PIN - ini adalah langkah keselamatan asas tetapi diabaikan.

Jangan muat turun semuanya ke telefon anda

Peraturan besi. Adalah mustahil untuk mengetahui dengan pasti bagaimana pembangun aplikasi akan menggunakan dan melindungi data pengguna. Tetapi apabila diketahui bagaimana pencipta aplikasi menggunakannya, ia sering bertukar menjadi skandal.

Kes terbaharu termasuk cerita Polar Flow, di mana anda boleh mengetahui keberadaan pegawai perisikan di seluruh dunia. Atau contoh terdahulu dengan Unroll.me, yang sepatutnya melindungi pengguna daripada langganan spam, tetapi pada masa yang sama menjual data yang diterima ke tepi.

Aplikasi sering ingin mengetahui terlalu banyak. Contoh buku teks ialah aplikasi Lampu Suluh, yang hanya memerlukan mentol lampu untuk berfungsi, tetapi ia ingin mengetahui segala-galanya tentang pengguna, terus ke senarai kenalan, melihat galeri foto dan di mana pengguna berada.

Yang lain menuntut lebih. Pelayar UC menghantar IMEI, ID Android, alamat MAC peranti dan beberapa data pengguna lain ke pelayan Umeng, yang mengumpul maklumat untuk pasaran Alibaba. Saya, seperti rakan sekerja saya, lebih suka menolak permohonan sedemikian.

Malah orang paranoid profesional mengambil risiko, tetapi mereka sedar. Untuk tidak takut kepada setiap bayang-bayang, tentukan apa yang umum dan apa yang peribadi dalam hidup anda. Bina tembok di sekeliling maklumat peribadi, dan jangan jatuh ke dalam fanatik tentang keselamatan maklumat awam. Kemudian, jika suatu hari nanti anda menemui maklumat awam ini dalam domain awam, anda tidak akan terluka dengan teruk.