Оффлайн
- Регистрация
- 14.05.16
- Сообщения
- 11.398
- Реакции
- 501
- Репутация
- 0
На днях мы рассмотрели целый ряд книг о
Несомненно, эти меры важны в качестве основы кибергигиены, но не стоит ограничиваться только ими. Рассказываем о менее очевидных моментах, касающихся ИБ при работе с интернет-сервисами.
Фото —
Парольные фразы вместо паролей
Менеджеры для работы со сложными паролями исключают необходимость их запоминать. Однако password manager — это всегда компромисс между удобством и надежностью. У разработчиков порой случаются утечки. Например, в 2015 году хакеры
С учетом этого ряд экспертов по ИБ (в
При этом они считаются более надежными — еще в 2015 году специалист в области информатики Евгений Панферов математически доказал, что для усиления защиты от брутфорс-атак необходимо удлинять идентификатор, а не увеличивать его сложность за счет цифр, решеток и звёздочек (
Фото —
Поддерживают идею с парольными фразами и инженеры из Фонда электронных рубежей (EFF). Они даже
Достаточно выбрать шесть слов, чтобы получить случайный идентификатор из 25–30 знаков. Кидать кубик рекомендуют потому, что человеческий мозг
Ротация паролей не нужна
Все мы сталкивались с требованиями менять пароль от какого-либо аккаунта раз в месяц или полгода. Но глава ИБ-компании Spycloud Тэд Росс (Ted Ross)
Она подталкивает пользователей лишь незначительно модифицировать пароли и переиспользовать прошлые идентификаторы. Все это вредит безопасности учетной записи. Также считают и в Национальном институте стандартов и технологий США (NIST). Там
Менять идентификаторы следует лишь в том случае, если они скомпрометированы. Для проверки этого факта существуют специальные инструменты — например, знакомый многим сервис
Фото —
Заменить утекшие в сеть пароли следует и для аккаунтов, которые долгое время не были активны. Но лучше вообще удалить эти учетные записи. Оставленные без внимания, они могут стать причиной компрометации персональных данных. Даже небольшой фрагмент информации поможет злоумышленникам собрать недостающие сведения о «жертве» в остальных сервисах.
На некоторых ресурсах процедура закрытия учетных записей не так проста. Иногда приходится общаться с техподдержкой, а иногда — подолгу искать нужную кнопку в интерфейсе. Однако существуют инструменты, способные упростить и эту задачу. Например,
Работа с документами на специальной ОС
Примерно 38% вирусов
Инженеры из Фонда электронных рубежей говорят, что одним из способов обезопасить себя от вирусов в PDF и DOC может стать установка специальной операционной системы (можно в
(НЕ) автоматическая установка обновлений
ИБ-эксперты — например, инженеры из
Фото —
Значительной части взломов ИТ-систем действительно можно избежать, если вовремя их обновить. Ярким примером может быть
Можно сделать вывод, что обновления нужно ставить как можно скорее, но при этом проявлять осмотрительность. Прежде чем «накатывать» патч, стоит изучить его поведение, почитать отзывы и принимать решение уже исходя из найденной информации.
В следующий раз мы продолжим рассказывать о необычных рекомендациях, которые помогут защитить ИТ-системы от вмешательства злоумышленников. Нам также интересно послушать, какие решения для повышения информационной безопасности используете вы, — делитесь ими в комментариях.
Мы в 1cloud.ru предлагаем услугу
Мы
You must be registered for see links
, социальной инженерии,
You must be registered for see links
. Сегодня попробуем перейти от теории к практике и посмотрим, что каждый из нас может сделать для защиты персональных данных. На Хабре и в СМИ можно найти большое количество базовых советов: от использования менеджеров паролей и двухфакторной аутентификации до внимательного отношения к письмам и потенциальным признакам фишинга. Несомненно, эти меры важны в качестве основы кибергигиены, но не стоит ограничиваться только ими. Рассказываем о менее очевидных моментах, касающихся ИБ при работе с интернет-сервисами.
You must be registered for see links
Фото —
You must be registered for see links
— UnsplashПарольные фразы вместо паролей
Менеджеры для работы со сложными паролями исключают необходимость их запоминать. Однако password manager — это всегда компромисс между удобством и надежностью. У разработчиков порой случаются утечки. Например, в 2015 году хакеры
You must be registered for see links
у LastPass электронные адреса и секретные вопросы пользователей.С учетом этого ряд экспертов по ИБ (в
You must be registered for see links
представители отделения ФБР в Портленде) отдает предпочтение альтернативному варианту работы с аутентификаторами — парольным фразам. Их
You must be registered for see links
, чем цифробуквенные пароли со специальными символами.При этом они считаются более надежными — еще в 2015 году специалист в области информатики Евгений Панферов математически доказал, что для усиления защиты от брутфорс-атак необходимо удлинять идентификатор, а не увеличивать его сложность за счет цифр, решеток и звёздочек (
You must be registered for see links
). Эту концепцию также
You must be registered for see links
автор комикса xkcd про будни разработчиков.
Фото —
You must be registered for see links
— UnsplashПоддерживают идею с парольными фразами и инженеры из Фонда электронных рубежей (EFF). Они даже
You must be registered for see links
необычный способ их генерации — с помощью игральной кости. В EFF составили список из
You must be registered for see links
, сопоставив с каждым определенную последовательность цифр, выпадающих на кубике.Достаточно выбрать шесть слов, чтобы получить случайный идентификатор из 25–30 знаков. Кидать кубик рекомендуют потому, что человеческий мозг
You must be registered for see links
сгенерировать случайную последовательность чисел. Мы подсознательно стремимся выбирать цифры, которые имеют для нас какое-либо значение. Поэтому еще в 1890 году английский психолог Фрэнсис Гальтон (Francis Galton)
You must be registered for see links
, что игральная кость — это наиболее эффективный «генератор случайности».Ротация паролей не нужна
Все мы сталкивались с требованиями менять пароль от какого-либо аккаунта раз в месяц или полгода. Но глава ИБ-компании Spycloud Тэд Росс (Ted Ross)
You must be registered for see links
, что подобная ротация бессмысленна.Она подталкивает пользователей лишь незначительно модифицировать пароли и переиспользовать прошлые идентификаторы. Все это вредит безопасности учетной записи. Также считают и в Национальном институте стандартов и технологий США (NIST). Там
You must be registered for see links
новый фреймворк для работы с паролями. К слову, его уже внедрили в Microsoft — с прошлого года Windows
You must be registered for see links
требовать от пользователей регулярно придумывать новые аутентификационные данные.Менять идентификаторы следует лишь в том случае, если они скомпрометированы. Для проверки этого факта существуют специальные инструменты — например, знакомый многим сервис
You must be registered for see links
. Достаточно ввести адрес своей почты, и он покажет, был ли email «засвечен» в каких-либо утечках. Также можно настроить уведомления — в случае нового «слива», поступит нотификация.
Фото —
You must be registered for see links
— UnsplashЗаменить утекшие в сеть пароли следует и для аккаунтов, которые долгое время не были активны. Но лучше вообще удалить эти учетные записи. Оставленные без внимания, они могут стать причиной компрометации персональных данных. Даже небольшой фрагмент информации поможет злоумышленникам собрать недостающие сведения о «жертве» в остальных сервисах.
На некоторых ресурсах процедура закрытия учетных записей не так проста. Иногда приходится общаться с техподдержкой, а иногда — подолгу искать нужную кнопку в интерфейсе. Однако существуют инструменты, способные упростить и эту задачу. Например,
You must be registered for see links
— каталог кратких инструкций и ссылок для отключения учетных записей. Это — расширение для Chrome, добавляющее в омнибар специальную кнопку. По клику на неё откроется страница для отключения аккаунта на текущем ресурсе (если это возможно). Дальше остается следовать инструкциям.Работа с документами на специальной ОС
Примерно 38% вирусов
You must be registered for see links
себя за док-файлы. Сегодня это один из самых распространенных векторов хакерских атак. Защититься от зловредов, распространяемых подобным образом, можно, если открывать подозрительные документы в облачных редакторах. Эксперты EFF
You must be registered for see links
, что в этом случае можно практически наверняка предотвратить установку вредоносного ПО. Но такой метод не подходит для конфиденциальных документов — есть риск сделать их публичными. Например, в 2018 году в общий доступ попали личные гугл-документы пользователей — их
You must be registered for see links
поисковая система.Инженеры из Фонда электронных рубежей говорят, что одним из способов обезопасить себя от вирусов в PDF и DOC может стать установка специальной операционной системы (можно в
You must be registered for see links
) для чтения электронных документов — например,
You must be registered for see links
. В ней действия ОС и пользователя выполняются на отдельных виртуальных машинах. Поэтому, если один из компонентов будет скомпрометирован, вредоносное ПО окажется изолировано и не сможет получить доступ ко всей системе.(НЕ) автоматическая установка обновлений
ИБ-эксперты — например, инженеры из
You must be registered for see links
и
You must be registered for see links
— рекомендуют настраивать автоматическую установку обновлений безопасности для операционных систем и приложений. Однако эту точку зрения разделяют не все.
Фото —
You must be registered for see links
— UnsplashЗначительной части взломов ИТ-систем действительно можно избежать, если вовремя их обновить. Ярким примером может быть
You must be registered for see links
персональных данных 140 млн резидентов США из бюро Equifax. Злоумышленники использовали уязвимость во фреймворке Apache Struts (
You must be registered for see links
), связанную с ошибкой в обработке исключений. Патч для неё
You must be registered for see links
за два месяца до атаки на Equifax. Но автоматическое обновление может привести к не самым приятным последствиям. Возникают ситуации, когда свежие «заплатки», решая одну проблему, создают другую — более серьезную. В 2018 году Microsoft пришлось остановить распространение новой версии операционной системы из-за ошибки,
You must be registered for see links
пользователей.Можно сделать вывод, что обновления нужно ставить как можно скорее, но при этом проявлять осмотрительность. Прежде чем «накатывать» патч, стоит изучить его поведение, почитать отзывы и принимать решение уже исходя из найденной информации.
В следующий раз мы продолжим рассказывать о необычных рекомендациях, которые помогут защитить ИТ-системы от вмешательства злоумышленников. Нам также интересно послушать, какие решения для повышения информационной безопасности используете вы, — делитесь ими в комментариях.
You must be registered for see links
. Вы можете арендовать виртуальную инфраструктуру для своих проектов. Новым клиентам — бесплатное тестирование.
You must be registered for see links
оборудование enterprise-класса от Cisco, Dell, NetApp. Виртуализация построена на гипервизоре VMware vSphere.