Недавние массовые взломы AppleID и eBay: насколько в принципе можно защититься от таких вещей, хакеры не дремлют, а стандартные пароли их удержат на минуту-две, было бы желание взломать.
– Поскольку сегодня онлайн можно сделать практически все – от оплаты коммунальных услуг до покупки авиабилетов, – в интернете хранится огромное количество пользовательских данных, которые рассредоточены между разными аккаунтами. Это могут быть почтовые, игровые аккаунты, аккаунты в соцсетях, проектов в области e-commerce и интернет-банкинга. В каждом из таких аккаунтов ключом к данным пользователя является пароль, и очень важно, чтобы он отвечал современным правилам безопасности. Часто говорят, что взломать можно любой пароль, однако здесь важно помнить о следующем моменте. Атаки на пользовательские данные чаще всего бывают массовыми. То есть злоумышленники пытаются взломать не какой-то конкретный аккаунт (хотя, конечно, бывает и такое), а просто как можно больше аккаунтов. Естественно, страдают при этом те пользователи, которые пренебрегают правилами безопасности – придумывают слабые пароли, используют один и тот же пароль для нескольких сервисов и так далее. Подробнее на этом остановимся ниже. Отдельно хочется отметить, что работа подавляющего большинства интернет-сервисов завязана на электронной почте, поэтому ее защите стоит уделить первостепенное внимание.
Как нужно вести себя простому смертному, чтобы защитить свои данные?
– Чтобы защитить свои данные, как правило, достаточно соблюдения элементарных правил интернет-гигиены. Однако, как показывает практика, о них знают и помнят далеко не все пользователи. Прежде всего, нужно избегать простых паролей: коротких, состоящих из одних цифр или идущих подряд на клавиатуре символов, представляющих собой словарные слова или данные, которые легко узнать, например, дату рождения, номер мобильного телефона и т.п. Желательно менять пароль не реже, чем раз в три месяца, и придумывать отдельный для каждого сервиса. Но поскольку на практике это все-таки сложно реализуемо, нужно придумать уникальный пароль хотя бы для почтового ящика, который наиболее критичен с точки зрения необходимости защиты. Зачем нужен отдельный пароль? Очень часто случается так, что пользователи регистрируются на форумах, торрент-трекерах или еще каких-то ресурсах с низким уровнем защиты, которые потом подвергаются кибер-атаке. В результате злоумышленники получают доступ к целой базе паролей, а затем подбирают их к другим сервисам, в первую очередь, к ящикам, которые часто указываются в качестве логина или способа связи.
Каковы рекомендации по защите почтовых ящиков?
– Во-первых, к почтовому аккаунту надо обязательно привязать мобильный телефон. Для восстановления пароля он гораздо безопаснее, чем секретное слово, которое теоретически можно узнать или подобрать, или другой ящик, который можно взломать. Кроме того, нужно помнить, что ответ на секретный вопрос – это по сути еще один пароль, поэтому требования к нему – такие же, как и к обычному паролю. Наконец, следует постоянно держать на компьютере включенный антивирус и не запрещать ему обновления, поскольку увести пароль от электронной почты способен практически любой троянец. Очень часто пароль или ответ на секретный вопрос из пользователя пытаются "вытянуть" с помощью социальной инженерии или фишинга. Поэтому к вопросам незнакомых людей в мессенджере про девичью фамилию матери нужно относиться с здоровой подозрительностью. Что касается пароля от почты, помните: его нельзя вводить нигде, кроме формы авторизации в почтовом веб-интерфейсе или мобильном приложении.
Как эволюционирует система безопасности сервисов?
– Системы безопасности сервисов постоянно совершенствуются, чтобы адекватно противостоять кибер-атакам, которые становятся все более частыми и изощренными. Так, например, шифрование трафика – это уже практически must-have для большинства уважающих себя интернет-сервисов, особенно учитывая, какую популярность сегодня приобрели мобильные сети, где перехватить трафик особенно легко. Идет постоянное улучшение систем так называемого антибрутфорса (системы автоматического подбора пароля к аккаунту). Помимо этого, мы используем HTTP only cookie, Secure Cookie и разделение? пользовательских?сессий при доступе к различным?проектам единого?информационного?портала Mail.Ru. А также целый ряд «фич», о которых мы не хотим рассказывать публично, чтобы не облегчать жизнь злоумышленникам. Этой весной мы решили устроить нашим сервисам проверку на прочность и запустили программу поиска уязвимостей. Любой участник, нашедший проблему в безопасности определенных сервисов, получает вознаграждение, размер которого зависит от сложности и ценности выявленного бага. Такие программы – общемировая практика, их проводят, например, Facebook, Microsoft, Google и многие другие крупные игроки. Мы начали с конкурса продолжительностью в месяц, а сейчас трансформировали его в постоянно действующую программу. Причем, если в рамках конкурса верхний порог награды составлял 5 000$, то в рамках постоянной программы он поднялся до 10 000$. Это в принципе свидетельствует о том, что мы чувствуем себя довольно уверенно.
