Информационная безопасность
Часть 1: Пароли и аккаунты
ГЛАВА 1
Почему важно заботиться о сохранности аккаунтов и паролей, и что с ними может произойти?
Мы постоянно пользуемся паролями: они защищают наши рабочие и личные компьютеры, социальные сети, электронную почту, фотографии и документы. Чтобы завести аккаунт на любом интернет-ресурсе, нам приходится придумывать новый пароль, а потом хранить его или запоминать.
Часто мы недостаточно заботимся о безопасности своих паролей, ведь нам кажется, что мы не представляем интереса для «хакеров». Но хакер — это обычный преступник, мошенник или вор. Его цель — не сломать ваш компьютер или испортить жизнь с помощью вируса, а украсть деньги. Или украсть информацию, с помощью которой можно украсть деньги где-то еще: например, в компании, где вы работаете.
Часто мы недостаточно заботимся о безопасности своих паролей, ведь нам кажется, что мы не представляем интереса для «хакеров». Но хакер — это обычный преступник, мошенник или вор. Его цель — не сломать ваш компьютер или испортить жизнь с помощью вируса, а украсть деньги. Или украсть информацию, с помощью которой можно украсть деньги где-то еще: например, в компании, где вы работаете.
Зачем кому-то меня «взламывать»?
Получив доступ, например, к вашей электронной почте, злоумышленник завладеет огромным количеством информации о вас и вашей жизни: почтовыми адресами, которые вы оставляли в интернет-магазинах, персональными данными и копиями документов, регистрационными данные на других сайтах и многим другое. С электронной почтой часто связаны личные кабинеты онлайн-банков и платежных систем.
Получив доступ к электронной почте всего на несколько часов, мошенники способны разослать спам, собрать персональную информацию о вас, получить доступ к другим аккаунтам и завладеть вашими деньгами. А за несколько дней — подготовить целевую атаку на компанию, где вы работаете, и нанести ей серьезный ущерб.
Получив доступ к электронной почте всего на несколько часов, мошенники способны разослать спам, собрать персональную информацию о вас, получить доступ к другим аккаунтам и завладеть вашими деньгами. А за несколько дней — подготовить целевую атаку на компанию, где вы работаете, и нанести ей серьезный ущерб.
И как же мошенники могут похитить мой пароль?
- 1Один из самых простых для злоумышленников способов взлома аккаунта — подбор пароля. Этому способствует то, что несмотря на рекомендации специалистов по информационной безопасности, многие до сих пор используют простые пароли, например, состоящие из комбинации имени, фамилии и даты рождения. Такие пароли подбираются за несколько минут.
- 2
Наверняка, каждый наблюдал в офисе картину: на мониторе коллеги наклеен яркий желтый стикер, на котором записан набор букв и цифр. Иногда такая запись сопровождается припиской «Пароль от компьютера».
Неправильное хранение пароля — верный способ «подарить» его мошенникам. Ведь даже если среди ваших коллег нет злоумышленников, пароль может легко попасть на «офисное селфи» и быть опубликованным в социальных сетях на всеобщее обозрение.
- 3
Ещё один популярный способ похищения пароля — методы социальной инженерии, когда вы, сами того не подозревая, сообщаете пароль мошеннику или вводите его в форму, к которой мошенник имеет доступ.
К этому способу относятся, например, «письма счастья» с сообщением о крупном выигрыше, для получения которого достаточно просто авторизоваться на специальном сайте (естественно, созданном мошенником), или фальшивые сообщения от Apple, Google или Microsoft с требованием, якобы в целях защиты аккаунта, перейти по ссылке и ввести там свои данные.
- 4
Нередки случаи, когда вы сами готовы поделиться своим паролем с другим человеком, будь то коллега, которому срочно нужен документ из вашей электронной почты, или член семьи, забывший свой пароль от Netflix.
Даже если человек, которому вы передаёте свой пароль, не имеет никаких злых намерений, такой пароль считается скомпрометированным. Например, злоумышленник может перехватить сообщение или банально подслушать, как вы диктуете пароль по телефону.
Как вы видите, угроз довольно много, а мы рассмотрели только самые популярные из них. К счастью, соблюдение несложных правил информационной безопасности, о которых мы расскажем в этом курсе, поможет предотвратить большинство киберпреступлений и сохранить ваши данные в секрете от злоумышленников.
Приступим!
Приступим!
ГЛАВА 2
Создайте надёжный пароль
Зачем использовать сложные пароли?
Первое, что нужно сделать — придумать надёжные пароли для всех своих аккаунтов.
Наверняка, вы слышали, что пароль должен быть длиной не менее восьми символов и в нём должны присутствовать не только буквы, но и цифры.
По этой причине надежными считались пароли вроде 1qaz2wsx, который стал одним из самых распространенных паролей 2017 года.
Однако сегодня этих условий недостаточно. Киберпреступники стали профессиональнее, а методы подбора усовершенствовались. В этой главе мы рассмотрим правила составления современных сложных паролей.
Наверняка, вы слышали, что пароль должен быть длиной не менее восьми символов и в нём должны присутствовать не только буквы, но и цифры.
По этой причине надежными считались пароли вроде 1qaz2wsx, который стал одним из самых распространенных паролей 2017 года.
Однако сегодня этих условий недостаточно. Киберпреступники стали профессиональнее, а методы подбора усовершенствовались. В этой главе мы рассмотрим правила составления современных сложных паролей.
Что такое сложный пароль?
Есть несколько правил, соблюдение которых усложнит злоумышленникам подбор пароля:
- 1
Чем пароль длиннее, тем сложнее его подобрать
Допустимый минимум — 8 знаков. Но всё хорошо в меру, ведь очень длинный пароль трудно запомнить. - 2В пароле должны использоваться и прописные, и строчные буквы, цифры и специальные символы (например, @, #, $, % )
Использование различных символов и других специальных символов в разы усложняют автоматический подбор пароля, ведь злоумышленникам придётся перебирать миллионы комбинаций.
- 3В пароле не должны использоваться данные, которые можно проассоциировать с вами
Например, фамилия, имя, дата рождения, любимое блюдо или фильм (эти данные легко почерпнуть из ваших социальных сетей).
- 4Пароль не должен содержать в себе паттернов
Самые популярные паттерны — соседние клавиши на клавиатуре, например, qwerty или zxcvb.
- 5Пароль не должен повторять другие, использованные ранее или популярные пароли.
Как правило, старые или часто используемые пароли, попадают в «словари» — базы данных, которыми обмениваются мошенники, чтобы быстрее подбирать пароли. К таким паролям относятся названия мест, имена знаменитостей, известные события или даты.
- 6В качестве пароля может выступать бессмысленная, но запоминающаяся фраза.Например, если взять фразу «Зеленый тракторист свистит Пепси», записать её транслитом, а буквы «a» и «i» заменить на «@» и «1» соответственно, то получившаяся фраза «Zelen1y_tr@ktor1st_sv1st1t_peps1» будет легко запоминающейся, но при этом устойчивой ко взлому.
Преступники заинтересованы в аккаунтах, защищенных простыми паролями. Они массово запускают специальные программы, подбирающие пароли, и ждут, пока кто-нибудь попадется. Для подбора паролей используются готовые словари и простые сочетания букв с цифрами.
Например, «Mashenka2017» — вариант, который программа взлома проверит наверняка, если почта заведена в 2017 году, а имя пользователя — marya.zinovieva. Также программы-взломщики способны обнаружить инвертированную раскладку. Они легко взломают пароли «Vfitymrf» или «vjqgfhjkm» (набранные в английской раскладке клавиатуры слова «Машенька» и «мойпароль»).
Главное преимущество сложного пароля в том, что его подбор занимает много времени и попыток. Преступникам просто невыгодно это делать:
Это дорого. Если пароль нужно подбирать несколько лет, усилия себя не окупят.
Многие ресурсы умеют отслеживать неоднократные некорректные попытки входа. Личные кабинеты большинства банков допускают не более пяти неудачных попыток подряд, после чего временно блокируют доступ к аккаунту.
Например, «Mashenka2017» — вариант, который программа взлома проверит наверняка, если почта заведена в 2017 году, а имя пользователя — marya.zinovieva. Также программы-взломщики способны обнаружить инвертированную раскладку. Они легко взломают пароли «Vfitymrf» или «vjqgfhjkm» (набранные в английской раскладке клавиатуры слова «Машенька» и «мойпароль»).
Главное преимущество сложного пароля в том, что его подбор занимает много времени и попыток. Преступникам просто невыгодно это делать:
Это дорого. Если пароль нужно подбирать несколько лет, усилия себя не окупят.
Многие ресурсы умеют отслеживать неоднократные некорректные попытки входа. Личные кабинеты большинства банков допускают не более пяти неудачных попыток подряд, после чего временно блокируют доступ к аккаунту.
Тест
Сложный ли это пароль?
Давайте потренируемся отличать простые пароли от сложных. Мы предложим вам несколько вариантов, а вам нужно выбрать, какие из этих паролей можно назвать надёжными, а какие — нет.
| Начать тест |
Отметьте все пароли, которые можно использовать
Этот пароль притворяется сложным, но по сути, представляет собой немного замаскированные персональные данные, которые могут быть известны злоумышленнику. Такой пароль не сложно подобрать опытному хакеру.
Это один из самых ненадёжных паролей в мире. Мало того, что он состоит из расположенных рядом на клавиатуре символов, так ещё и включен во все базы данных популярных паролей.
Это — отличный пароль! Он довольно длинный, состоит из различных символов, при этом его легко запомнить. Если, конечно, смириться с тем, что 12 и 24 не равно 56...
Это — хороший пароль, ведь он состоит из абсолютно бессмысленного набора разнообразных символов. На подбор такого пароля у хакера могут уйти годы. Одно «но»: такой пароль сложно запомнить.
Вы думаете, что среди хакеров нет фанатов Леди Гаги, которые знают её год рождения? Уверяем вас — есть.
Этот пароль состоит из самых доступных персональных данных: имени и даты рождения, а значит, его всё равно, что нет. Даже начинающий хакер подберёт такой пароль за пару минут.
| Дальше |
| Проверить |
| Узнать результат |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Отлично
Ты хорошо усвоил материал, можем двигаться дальше
| Еще раз |
Как же придумать сложный пароль?
Самый простой способ создать сложный пароль — это использовать генератор паролей.
Генератор паролей — это сервис, который формирует пароли из случайных символов. Вы можете задавать параметры пароля: его длину, наличие в пароле цифр, специальных символов или букв разного регистра.
В Интернете можно найти множество генераторов паролей. Например, бесплатные сервисы onlinepasswordgenerator.ru и randstuff.ru позволяют сгенерировать надёжный пароль за несколько кликов. Достаточно указать требования к паролю: его длину, использовать ли в пароле буквы разных регистров, цифры или специальные символы, и готово!
Генератор паролей — это сервис, который формирует пароли из случайных символов. Вы можете задавать параметры пароля: его длину, наличие в пароле цифр, специальных символов или букв разного регистра.
В Интернете можно найти множество генераторов паролей. Например, бесплатные сервисы onlinepasswordgenerator.ru и randstuff.ru позволяют сгенерировать надёжный пароль за несколько кликов. Достаточно указать требования к паролю: его длину, использовать ли в пароле буквы разных регистров, цифры или специальные символы, и готово!
Поставлю надёжный пароль на все свои аккаунты!
Итак, надёжный сложный пароль создан, теперь можно запомнить его и использовать всегда и везде, ведь подобрать такой пароль практически невозможно?
Нет, нет и ещё раз нет! Даже самый надёжный пароль может быть похищен не простым подбором, а одним из других способов.
Похитив пароль от, например, электронной почты, злоумышленники попробуют с его помощью получить доступ ко всем остальным аккаунтам: социальным сетям, интернет-банкам и даже к вашему корпоративному аккаунту. Если пароли одинаковые, у них это получится.
Ваша задача — максимально усложнить жизнь злоумышленникам. Поэтому всегда используйте разные, несвязанные между собой пароли, для своих аккаунтов, в том числе, корпоративных. Пароли никак не должны иметь между собой никакого внешнего сходства, буквенной, мнемонической или логической связи.
Нет, нет и ещё раз нет! Даже самый надёжный пароль может быть похищен не простым подбором, а одним из других способов.
Похитив пароль от, например, электронной почты, злоумышленники попробуют с его помощью получить доступ ко всем остальным аккаунтам: социальным сетям, интернет-банкам и даже к вашему корпоративному аккаунту. Если пароли одинаковые, у них это получится.
Ваша задача — максимально усложнить жизнь злоумышленникам. Поэтому всегда используйте разные, несвязанные между собой пароли, для своих аккаунтов, в том числе, корпоративных. Пароли никак не должны иметь между собой никакого внешнего сходства, буквенной, мнемонической или логической связи.
-
Как делать не надоПароли WORK-Fs7#, FB-Fs7# и MAIL-Fs7# хоть и являются сложными, содержат в себе общую часть: Fs7#. Завладев одним из таких паролей, злоумышленник легко подберет аналогичные пароли для остальных сервисов, изменяя только слово вначале.
Пароли BuDmCha9NC1, BuDmCha9NC2, BuDmCha9NC3 называются инкрементными (отличаются «номерами» — идущими подряд числами), поэтому также очень легко поддаются подбору. Такие пароли использовать нельзя. -
А как надоПароли @0xVqZJs5% и mixRXvdd{L сгенерированы случайно, поэтому никакой связи между ними нет, а знание одного пароля никак не поможет злоумышленнику подобрать второй.
Тест
Проверь себя!
А теперь давайте проверим, как вы запомнили правила составления сложных паролей.
| Начать тест |
Какие знаки должны быть в пароле, чтобы он считался сложным?
(выберите все правильные ответы)
(выберите все правильные ответы)
Сочетание латиницы и символов национальных алфавитов — это плохая идея. Символы национальных алфавитов в пароле поддерживаются не всеми программами и браузерами.
Верно!
Верно!
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Перед вами несколько паролей. Как вы думаете, какой из них самый надёжный?
Самый подходящий вариант — это Ba3NSt%3Kl9. Длина пароля — одиннадцать символов, которые включают четыре прописные буквы, три строчные буквы, три цифры и один специальный символ. Этот пароль заметно проще.
Верно! Длина пароля — одиннадцать символов, которые включают четыре прописные буквы, три строчные буквы, три цифры и один специальный символ. Этот пароль лучше других.
Самый подходящий вариант — это Ba3NSt%3Kl9. Длина пароля — одиннадцать символов, которые включают четыре прописные буквы, три строчные буквы, три цифры и один специальный символ. Этот пароль заметно проще.
Самый подходящий вариант — это Ba3NSt%3Kl9. Длина пароля — одиннадцать символов, которые включают четыре прописные буквы, три строчные буквы, три цифры и один специальный символ. Этот пароль заметно проще.
Самый подходящий вариант — это Ba3NSt%3Kl9. Длина пароля — одиннадцать символов, которые включают четыре прописные буквы, три строчные буквы, три цифры и один специальный символ. Этот пароль заметно проще.
Самый подходящий вариант — это Ba3NSt%3Kl9. Длина пароля — одиннадцать символов, которые включают четыре прописные буквы, три строчные буквы, три цифры и один специальный символ. Этот пароль заметно проще.
| Дальше |
| Проверить |
| Узнать результат |
Алексей получил корпоративный пароль pq#6kOI980Zl. Какие из приведенных ниже паролей он может безопасно использовать для социальной сети?
(выберите все правильные ответы)
(выберите все правильные ответы)
Верно!
Пароли для личного и корпоративного аккаунтов должны быть абсолютно разными. Они не могут быть даже отчасти похожими или логически связанными.
Верно!
Пароли для личного и корпоративного аккаунтов должны быть абсолютно разными. Они не могут быть даже отчасти похожими или логически связанными.
| Дальше |
| Проверить |
| Узнать результат |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Отлично
Ты хорошо усвоил материал, можем двигаться дальше
| Еще раз |
Крупные компании часто находится под прицелом преступников, поэтому злоумышленники заинтересованы в похищении личных и корпоративных аккаунтов их сотрудников, и, если им это удаётся, в течение долгого времени могут никак не проявлять себя, дожидаясь удобного момента или занимаясь разведкой.
Однако рано или поздно злоумышленники воспользуются своим доступом. Мошенник может разослать с рабочей почты поддельные письма вашим коллегам с просьбой сообщить пароль или другие корпоративные данные, и они не заподозрят подвоха.
Примерно так и начинаются сложные многоступенчатые кибератаки: сначала у злоумышленника есть доступ к одному аккаунту, а потом через него он получает доступ к внутренним системам предприятия, счетам и другиой конфиденциальной информации.
Масштаб возможных неприятностей несопоставим с усилиями по придумыванию и запоминанию или записыванию еще одного пароля.
Однако рано или поздно злоумышленники воспользуются своим доступом. Мошенник может разослать с рабочей почты поддельные письма вашим коллегам с просьбой сообщить пароль или другие корпоративные данные, и они не заподозрят подвоха.
Примерно так и начинаются сложные многоступенчатые кибератаки: сначала у злоумышленника есть доступ к одному аккаунту, а потом через него он получает доступ к внутренним системам предприятия, счетам и другиой конфиденциальной информации.
Масштаб возможных неприятностей несопоставим с усилиями по придумыванию и запоминанию или записыванию еще одного пароля.
1
Всегда используйте только сложные пароли. Для их создания используйте специальные оффлайн программы — генераторы паролей.
2
Никогда не используйте похожие или одинаковые пароли для личных и корпоративных ресурсов.
ГЛАВА 3
Храните пароли правильно
Я всё запомню!
В 2016 году редактор портала Wired Марк Фрауэнфельдер купил биткойны на общую сумму 3000 $. Когда биткойн начал расти, Марк обеспокоился безопасностью своих активов и решил хранить средства на USB-устройстве Trezor, специальной флешке-«кошельке». Такой «кошелек» можно подключить к любому компьютеру, набрать PIN-код и получить доступ к деньгам.
Для восстановления утерянного доступа к Trezor используется случайный набор из 24 слов. Марк записал и сам PIN-код, и слова для его восстановления на одном листе бумаги. В марте 2017 года он поехал в командировку, оставив USB-кошелек и листок с запиской своей дочери, чтобы та могла воспользоваться биткойнами. Дочь не поняла инструкций и выбросила бумажку.
Марк не помнил свой PIN-код и не мог воспользоваться биткойнами. Полгода он искал способ вернуть потерянные средства — а за это время их количество выросло уже до 31 000$! В итоге Марк восстановил доступ к кошельку, но нервы наверняка восстанавливал гораздо дольше.
Для восстановления утерянного доступа к Trezor используется случайный набор из 24 слов. Марк записал и сам PIN-код, и слова для его восстановления на одном листе бумаги. В марте 2017 года он поехал в командировку, оставив USB-кошелек и листок с запиской своей дочери, чтобы та могла воспользоваться биткойнами. Дочь не поняла инструкций и выбросила бумажку.
Марк не помнил свой PIN-код и не мог воспользоваться биткойнами. Полгода он искал способ вернуть потерянные средства — а за это время их количество выросло уже до 31 000$! В итоге Марк восстановил доступ к кошельку, но нервы наверняка восстанавливал гораздо дольше.
Лучше всего пароли запоминать. Никто не сможет забраться в вашу голову и достать оттуда пароль. С точки зрения безопасности нет ничего надёжнее.
Однако забывание — один из важнейших процессов памяти. Если вы редко пользуетесь своим паролем и постоянно получаете новые порции информации, то вы его забудете. Так что целиком полагаться на память нельзя. Пароли приходится записывать — тут-то и кроется опасность.
Однако забывание — один из важнейших процессов памяти. Если вы редко пользуетесь своим паролем и постоянно получаете новые порции информации, то вы его забудете. Так что целиком полагаться на память нельзя. Пароли приходится записывать — тут-то и кроется опасность.
Как нельзя хранить пароли
I.Хранить пароли в явном виде
Самая популярная ошибка — хранить пароль в его «натуральном» виде без изменений. Это очень сильно упростит жизнь злоумышленнику, если он получит доступ к записи вашего пароля. Решение: придумать запись-напоминание пароля.
Самая популярная ошибка — хранить пароль в его «натуральном» виде без изменений. Это очень сильно упростит жизнь злоумышленнику, если он получит доступ к записи вашего пароля. Решение: придумать запись-напоминание пароля.
- 1
Видоизмененный пароль
Есть несколько способов это сделать, но самых простых и надежных три. Например, ваш пароль — Ser12Zim!. Для записи можно сделать следующее:
- Вставить в середину, начало или конец пароля несколько произвольных символов: Ser12qw9Zim!
- Заменить несколько знаков: Ter12Sim}. Главное — не забыть, что именно заменено.
- Записать только часть пароля (например, Ser12), а оставшуюся часть запомнить.
- 2Вопрос, ответ на которые знаете только вы
Например, ваш пароль — max12!wint%, где Макс — имя вашего первого кота. Напоминанием может служить вопрос «Кто первый и когда?». Прочитав его вы вспомните, что вашим первым котом был Макс, а появился он у вас зимой.
- 3Иллюстрация, которая наведет вас на мысль о вашем пароле
Для пароля max12!wint% это может быть картинка с изображением кота зимой: вы вспомните слова max и winter, а по ним восстановите и пароль.
II.Хранить пароль там, где его могут подсмотреть
Пароль может оказаться у другого человека без вашего разрешения. Это случится, если вы храните его на видном месте — например, на приклеенной к монитору бумажке.
Это же касается любых незапирающихся ящиков, задних стенок шкафов, надписей на столе и так далее. Нельзя хранить пароль там, где его может, пусть даже случайно, увидеть другой человек.
Это же касается любых незапирающихся ящиков, задних стенок шкафов, надписей на столе и так далее. Нельзя хранить пароль там, где его может, пусть даже случайно, увидеть другой человек.
III.Хранить пароль там, где его легко потерять
Не стоит держать записки в карманах — такой пароль легко выронить на ходу или уничтожить во время стирки. Не нужно записывать их на USB-накопители — они входят в пятерку наиболее часто теряемых предметов.
IV.Хранить имя пользователя рядом с паролем
Некоторые люди записывают ПИН-код от банковской карты прямо на обороте карты — ничего хуже придумать нельзя. При потере такой карты, нашедший ее человек сразу получит возможность снять деньги с карты в банкомате. Записать пароль рядом с именем пользователя и названием ресурса — это то же самое, что записать ПИН-код на обороте карты.
Решение: запись-напоминание пароля следует хранить так, чтобы никто не имел к ней доступа, и чтобы вы сами не потеряли эту запись.
Лучше всего для этого подходит ценная вещь, которую вы постоянно держите при себе. Например, можно положить бумажку с записью-напоминанием в кошелек. Или записать её в свой смартфон. В таком случае, записью-напоминание можно защитить дополнительной биометрической идентификацией или кодом-паролем смартфона.
Лучше всего для этого подходит ценная вещь, которую вы постоянно держите при себе. Например, можно положить бумажку с записью-напоминанием в кошелек. Или записать её в свой смартфон. В таком случае, записью-напоминание можно защитить дополнительной биометрической идентификацией или кодом-паролем смартфона.
V.Рассказывать, где вы храните пароль
Никогда не сообщайте посторонним, в том числе сотрудникам службы безопасности, где вы храните пароль. Только мошенники могут запросить место или способ хранения пароля.
Тест
Проверь себя!
Вы запомнили все правила хранения паролей? Если да, то вам не составит труда ответить на эти три вопроса:
| Начать тест |
Валентина придумала сложный пароль для корпоративной почты, одну половину запомнила, а вторую хочет записать в качестве подсказки. Как ей следует поступить с записью-подсказкой?
Верно, пароль, даже видоизмененный, нельзя оставлять у всех на виду на мониторе. И даже в ящике стола — туда может заглянуть кто угодно. Хранить запись в блокноте вместе с пояснением, что это за пароль, тоже опасно. А вот носить пароль в кошельке, как ни странно, можно — и скоро вы узнаете, почему.
Хранить пароль в ящике стола опасно — туда может заглянуть кто угодно
Пароль, даже видоизмененный, нельзя оставлять у всех на виду на мониторе.
Хранить запись в блокноте вместе с пояснением, что это за пароль - опасно.
| Дальше |
| Проверить |
| Узнать результат |
Для разных интернет-ресурсов Александр использует разные пароли. Он записывает их, чтобы не забыть. Как должна выглядеть запись?
Не верно. Записывать пароль нужно отдельно от имени пользователя и не указывать, к какому ресурсу пароль относится.
Верно! Записывать пароль нужно отдельно от имени пользователя и не указывать, к какому ресурсу пароль относится.
Не верно. Записывать пароль нужно отдельно от имени пользователя и не указывать, к какому ресурсу пароль относится.
| Дальше |
| Проверить |
| Узнать результат |
Максим завел электронную почту maxim-s@mail.ru и придумал пароль aMx#im!ka. Какая запись этого пароля будет надежной?
(выберите все правильные ответы)
(выберите все правильные ответы)
Верно!
Верно!
Надежная запись — та, где к паролю добавлены лишние символы, некоторые символы изменены или записана только часть пароля. Если пароль записан целиком и без изменений — это неправильно.
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Отлично
Ты хорошо усвоил материал, можем двигаться дальше
| Еще раз |
1
Не храните пароль в явном виде, а видоизменяйте его при записи: добавляйте лишние символы, заменяйте некоторые элементы, записывайте одну половину, а вторую — запоминайте.
2
Храните запись-напоминание в месте, к которому вы относитесь внимательно, например, в кошельке рядом или в смартфоне. И никому не рассказывайте, где храните пароль.
3
Не храните название ресурса и имя пользователя рядом с паролем.
ГЛАВА 4
Никому не сообщайте пароль
2 декабря 2017 года член британского парламента, консерватор Надин Доррис написала в своем «Твиттере» следующее:
Что можно перевести как: «У всех моих сотрудников есть мои данные для входа. Когда мне удается сесть за стол, я часто кричу: «Какой пароль?»
Эти строки вызвали бурю негодования среди читателей Доррис. Скандал не повлек за собой какой-либо официальной реакции, но вызвал массу негатива со стороны, как электората, так и других членов парламента. Лейбористы же использовали скандал в своих целях, применив риторику уровня «консерваторы беспечны и не ценят персональные данные», что добавило им очков на политической арене.
Эти строки вызвали бурю негодования среди читателей Доррис. Скандал не повлек за собой какой-либо официальной реакции, но вызвал массу негатива со стороны, как электората, так и других членов парламента. Лейбористы же использовали скандал в своих целях, применив риторику уровня «консерваторы беспечны и не ценят персональные данные», что добавило им очков на политической арене.
Зачем мне кому-то говорить свой пароль?
Есть несколько причин, по которым мы сообщаем свои пароли другим людям.
- 1
Доверие
Мы делимся своим паролем с близкими родственниками, друзьями или коллегами, которым доверяем.
- 2Важность ситуации
Например, ваш коллега делает что-то крайне значимое, и для завершения задачи ему нужен ваш пароль
- 3Третья причина — авторитет
Если некто испытывает страх перед другим человеком или очень его уважает, например, руководителя или представителя власти, то он может дать свой пароль просто по требованию, без выяснения причин подобной просьбы.
Как вы думаете, в какой из перечисленных ситуаций допустимо поделиться своим паролем?
| Ответить |
Как вы думаете, в какой из перечисленных ситуаций допустимо поделиться своим паролем?
Пароль нельзя давать никому и никогда. Всегда есть другой выход. Например, для дочери можно завести отдельную учетную запись, на время командировки от общения в мессенджере отказаться, а другу просто перевести деньги на счет.
Пароль нельзя давать никому и никогда. Всегда есть другой выход. Например, для дочери можно завести отдельную учетную запись, на время командировки от общения в мессенджере отказаться, а другу просто перевести деньги на счет.
Пароль нельзя давать никому и никогда. Всегда есть другой выход. Например, для дочери можно завести отдельную учетную запись, на время командировки от общения в мессенджере отказаться, а другу просто перевести деньги на счет.
Верно! Пароль нельзя давать никому и никогда. Всегда есть другой выход. Например, для дочери можно завести отдельную учетную запись, на время командировки от общения в мессенджере отказаться, а другу просто перевести деньги на счет.
| Дальше |
| Проверить |
| Узнать результат |
Давай изучим тему подробнее
| Еще раз |
Близкий человек или коллега, сам того не желая, может случайно нанести вам ущерб. Например, посетить потенциально опасный сайт, установить на компьютер вредоносную программу или ненамеренно предоставить ваши данные мошенникам. А вы не будете об этом знать и никак не сможете это предотвратить.
Другая группа людей, заслуживающая доверия — это специалисты по информационной безопасности. Ответственным за безопасность ваш пароль не нужен. Если некто, предоставляется специалистом по информационной безопасности и простит вас передать ему свой пароль — это мошенник.
Ещё одна категория людей, которые могут попросить у вас пароль — мошенники или «хакеры».
Они изобретают самые разные способы завладеть вашим паролем — присылают обманные письма, поддельные сообщения в социальных сетях и даже звонят по телефону. При этом они знают обо всех описанных раньше причинах — доверии, важности задачи, авторитете — и пользуются этими знаниями.
Психологический подход к обману называется социальной инженерией. Благодаря ей можно получить любую информацию, пользуясь человеческими слабостями и недостатками.
Другая группа людей, заслуживающая доверия — это специалисты по информационной безопасности. Ответственным за безопасность ваш пароль не нужен. Если некто, предоставляется специалистом по информационной безопасности и простит вас передать ему свой пароль — это мошенник.
Ещё одна категория людей, которые могут попросить у вас пароль — мошенники или «хакеры».
Они изобретают самые разные способы завладеть вашим паролем — присылают обманные письма, поддельные сообщения в социальных сетях и даже звонят по телефону. При этом они знают обо всех описанных раньше причинах — доверии, важности задачи, авторитете — и пользуются этими знаниями.
Психологический подход к обману называется социальной инженерией. Благодаря ей можно получить любую информацию, пользуясь человеческими слабостями и недостатками.
Что такое "фишинг"?
Фишинг (или «рыбалка») — один из методов социальной инженерии. Мошенники создают ситуации, когда вы якобы можете избежать опасности или, наоборот, получить существенные выгоды, если быстро и не задумываясь выполните их указания.
Например, мошенники присылают письма, в которых предлагают принять участие в конкурсе с крупными призами — сделать это нужно немедленно, а для «проверки личности» нужно ввести пароль на заранее созданном злоумышленниками сайте.
Мошенники рассчитывают на то, что, соблазнившись возможностью легко получить крупную сумму, вы не станете задумываться о странном условии.
Например, мошенники присылают письма, в которых предлагают принять участие в конкурсе с крупными призами — сделать это нужно немедленно, а для «проверки личности» нужно ввести пароль на заранее созданном злоумышленниками сайте.
Мошенники рассчитывают на то, что, соблазнившись возможностью легко получить крупную сумму, вы не станете задумываться о странном условии.
Что же делать, чтобы не попасться на удочку?
Спокойствие, только спокойствие! Если кто-то просит у вас сообщить или ввести пароль, сделайте глубокий вдох и подумайте:
- Кто это?
- Зачем ему нужен ваш пароль?
- Может ли он обойтись без него?
Что делать, если мне нужно сообщить кому-то свой пароль?
Действительно, в жизни нередко бывает так, что никто не просит у вас пароль, но вы сами хотите им поделиться. Например, вас просят отправить важный документ, а вы уже уехали с работы.
Как быть? Найти другой выход. Можно вернуться на работу. Можно подумать о проблеме заранее и запросить у специалистов компании удаленный доступ к рабочему компьютеру.
А пароль всегда держите в секрете.
Как быть? Найти другой выход. Можно вернуться на работу. Можно подумать о проблеме заранее и запросить у специалистов компании удаленный доступ к рабочему компьютеру.
А пароль всегда держите в секрете.
Тест
Проверь себя!
А теперь ответьте на несколько простых вопросов, чтобы закрепить полученные знания.
| Начать тест |
Вам пришло письмо от Google, с просьбой подтвердить данные вашей учетной записи. Если вы этого не сделаете, учетная запись будет удалена. Как следует поступить?
Не верно! Это письмо — на все 100% подделка. Писать в Google или спрашивать совета у друга ни к чему: никакие сервисы никогда не запрашивают пароли пользователей по электронной почте. Письмо нужно удалить.
Верно! Это письмо — на все 100% подделка. Писать в Google или спрашивать совета у друга ни к чему: никакие сервисы никогда не запрашивают пароли пользователей по электронной почте. Письмо нужно удалить.
Не верно! Это письмо — на все 100% подделка. Писать в Google или спрашивать совета у друга ни к чему: никакие сервисы никогда не запрашивают пароли пользователей по электронной почте. Письмо нужно удалить.
Не верно! Это письмо — на все 100% подделка. Писать в Google или спрашивать совета у друга ни к чему: никакие сервисы никогда не запрашивают пароли пользователей по электронной почте. Письмо нужно удалить.
| Дальше |
| Проверить |
| Узнать результат |
Вечером вы уехали с работы и вдруг вспомнили, что сегодня должны были отправить клиенту важную презентацию — но совершенно забыли! Презентация сохранена на вашем рабочем компьютере, защищенном паролем, а до работы вам возвращаться 50 минут. Что делать?
(выберите все правильные ответы)
(выберите все правильные ответы)
Верно!
Верно!
Не верно. Чтобы не принести фирме убытка, презентацию стоит отправить клиенту до начала следующего рабочего дня — вечером или утром. А вот сообщив свой пароль другому человеку, вы подвергнете опасности и собственные, и корпоративные ресурсы.
| Дальше |
| Проверить |
| Узнать результат |
Единственное исключение, кому можно дать свой пароль, это ...
Не верно. Пароль нельзя передавать никому.
Не верно. Пароль нельзя передавать никому.
Не верно. Пароль нельзя передавать никому.
Верно! Конечно, пароль нельзя передавать никому.
| Дальше |
| Проверить |
| Узнать результат |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Отлично
Ты хорошо усвоил материал, можем двигаться дальше
| Еще раз |
Ваш пароль должны знать только вы
ГЛАВА 5
Принимайте меры
Если вы заподозрили, что кто-то узнал ваш пароль, но своевременно не приняли меры, посторонний человек получит доступ ко всем вашим аккаунтам — электронной почте, личному кабинету онлайн-банка и внутренней сети компании. Например, к ее электронному документообороту. А это повлечет за собой множество неприятностей.
Неважно, кто без спроса зашел в вашу учетную запись — друг, близкий родственник или злоумышленник. Навредить вам — случайно или намеренно — может кто угодно.
Неважно, кто без спроса зашел в вашу учетную запись — друг, близкий родственник или злоумышленник. Навредить вам — случайно или намеренно — может кто угодно.
Как понять, что посторонний получил доступ к моей учетной записи?
Есть два характерных признака того, что к вашему аккаунту получил доступ посторонний человек:
- 1
Сервис присылает вам сообщение о попытке несанкционированного доступа к вашей учетной записи
Такие уведомления есть у многих других социальных сетей, у личных кабинетов банков и так далее.
Вам может показаться, что слова «попытка несанкционированного доступа» означают, что злоумышленник пытался войти в ваш аккаунт, но не смог. Это — заблуждение. Вы не знаете, получилось у него или нет. Поэтому в любом случае смените пароль и сообщите о произошедшем ответственному за безопасность.
- 2Действия в аккаунте, совершенные не вами
Представьте, что вы заходите в аккаунт социальной сети и вдруг видите, что вам написал кто-то из друзей, ответив на сообщение, которого вы не отправляли. Письма, которые вы не читали, вдруг стали прочитанными? Поменялась картинка в профиле?
Любое действие в аккаунте, совершенное не вами — это повод срочно сменить пароль. Скорее всего, в вашем аккаунте побывал кто-то другой.
Что делать если я обнаружил, что кто-то получил доступ к моему аккаунту?
Шаг 1. Незамедлительно смените пароль.
Ключевой фактор — время. Чем дольше вы не меняете пароль, тем больше времени появляется у злоумышленников, и тем больше неприятностей они могут причинить вам, вашим знакомым или вашей компании.
Шаг 2. Сообщите о взломе ответственному за информационную безопасность в компании
Да-да, и при взломе личного аккаунта тоже. Ведь взлом аккаунта может означать то, что одно или несколько из ваших устройств заражены вредоносным программным обеспечением, а значит, все ваши пароли, в том числе корпоративные, под угрозой. Только специалисты по информационной безопасности смогут определить, угрожает ли этот инцидент интересам компании.
Если вас беспокоит то, что ваши руководители узнают об использовании рабочего компьютера для личных целей, подумайте о том, что взлом может привести к финансовым потерям компании, а это не понравится руководству гораздо больше, чем использование рабочего компьютера для частной переписки в Facebook.
Шаг 3. Если неизвестный успел разослать спам вашим друзьям или коллегам, предупредите их, что ваш аккаунт был взломан, чтобы они не стали жертвами мошенников или вымогателей.
Ключевой фактор — время. Чем дольше вы не меняете пароль, тем больше времени появляется у злоумышленников, и тем больше неприятностей они могут причинить вам, вашим знакомым или вашей компании.
Шаг 2. Сообщите о взломе ответственному за информационную безопасность в компании
Да-да, и при взломе личного аккаунта тоже. Ведь взлом аккаунта может означать то, что одно или несколько из ваших устройств заражены вредоносным программным обеспечением, а значит, все ваши пароли, в том числе корпоративные, под угрозой. Только специалисты по информационной безопасности смогут определить, угрожает ли этот инцидент интересам компании.
Если вас беспокоит то, что ваши руководители узнают об использовании рабочего компьютера для личных целей, подумайте о том, что взлом может привести к финансовым потерям компании, а это не понравится руководству гораздо больше, чем использование рабочего компьютера для частной переписки в Facebook.
Шаг 3. Если неизвестный успел разослать спам вашим друзьям или коллегам, предупредите их, что ваш аккаунт был взломан, чтобы они не стали жертвами мошенников или вымогателей.
Тест
Проверь себя
Мы почти закончили. Осталось ответить на последнюю тройку вопросов, чтобы завершить первую часть курса — «Пароли и аккаунты»!
| Начать тест |
Нужно ли обращаться к ответственным за информационную безопасность, если вы подозреваете, что ваш личный почтовый ящик взломали?
Не верно. Воспользовавшись данными из вашей личной почты, злоумышленник может получить доступ к корпоративной информации. Так что сообщить ответственным за безопасность необходимо.
Верно!
| Дальше |
| Проверить |
| Узнать результат |
Вы считаете, что ваш пароль от Facebook стал известен другому человеку. Отметьте все правильные действия в этом случае:
Верно!
Верно!
Верно!
Не верно. Пароль нужно сменить сразу же, как только вы обнаружили проблему.
| Дальше |
| Проверить |
| Узнать результат |
Вашу электронную почту пытались взломать, но похоже, что безуспешно. Нужно ли в таком случае сменить пароль, если он соответствует все требованиям надёжности?
(выберите все правильные ответы)
(выберите все правильные ответы)
Верно!
Не верно. Вы не можете на 100% знать, была ли успешной попытка несанкционированного входа или нет. Может, преступник узнал пароль, но повел себя аккуратно и не наследил. И следующую попытку входа вы тоже можете не заметить.
Верно
| Дальше |
| Проверить |
| Узнать результат |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Есть ошибка!
Рекомендуем повторить материал этой главы
| Еще раз |
Отлично
Ты хорошо усвоил материал, можем двигаться дальше
| Еще раз |
1
Всегда следите за подозрительной активностью во всех ваших аккаунтах
2
Если вам кажется, что в вашем аккаунте кто-то побывал, то незамедлительно смените пароль и обратитесь к ответственным за информационную безопасность, даже если это был личный аккаунт
Поздравляем, вы прошли последнюю главу темы «Пароли и аккаунты». Мы надеемся, вам было интересно. Увидимся в следующей части курса «Информационная безопасность»!
