Пасфразы и правильные пароли. Как не стать кибер-жертвой. Памятка от специалиста.

Памятка — это выжимка работы профессионалов кибербезопасности, с колоссальным опытом построения, проверки, этичного взлома компьютерных систем и сетей.

Не нажимайте Бяку

Что это значит? Не тыкайте, не открывайте, и не запускайте непонятные подозрительные файлы, ссылки, программы. Есть простое правило: если письмо, которое вам пришло, вы не ожидали, это уже причина для подозрения. 

Подозрительные файлы

Не открывайте странные подозрительные файлы, вложения и-мейлов, или архивы, если вы не доверяете источнику, откуда вы их получили. Кидайте такие письма сразу в спам, письма и файлы, от людей, которых вы не знаете — вредные по-умолчанию. 

Проверяйте полученные файлы по другому каналу, чем тот по которому файл пришел. Если вы получили документ MS Excel по почте, напишите отправителю через вайбер и спросите, что это за файл и отправял ли он его вам. Да, это иногда кажется лишней волокитой, но поверьте, лучше лишний раз проверить, чем потом лечить уйму вирусов.

Группа риска:

• Исполняемые файлы: EXE, BAT, COM, SWFб CMD, PS1, JAR и тд.
• Документы MS Office, особенно с макросами: DOC/DOCX/DOCM, XLS/XSLX/XLSM и т.д.
• PDF документы: PDF.
• Файлы векторной графики, с встроенным кодом: SVG.
• Архивы файлов, особенно с паролем.

Иногда, в текучке времени, очень сложно отличить нормальные файлы от вредных. Пользуйтесь сервисом VirusTotal для проверки подозрительных файлов, он сканирует файл сразу более чем 50 антивирусами. Это намного эффективнее чем локальное сканирование, но имейте в виду, что загружая файлы на ВирусТотал вы даете доступ к файлам третьей стороне.

VirusTotal: https://virustotal.com

ОБСЛУЖИВАНИЕ КОМПЬЮТЕРОВ, СЕРВЕРОВ, СЕТЕЙ (АУТСОРСИНГ)

Подозрительные ссылки

Не нажимайте и не переходите по подозрительным ссылкам (URL), особенно если там сайты, на которых вы обычно не бываете. Обязательно проверяйте доменное имя сайте, прежде чем кликнуть по ссылке, мошенники часто маскируют домен, на первый взгляд схожий с популярными сайтами (facelook.com, gooogle.com и тд).

Используйте протокол HTTPS и проверяйте SSL-сертификат сайта, чтоб наверняка быть уверенным, что это не копия или "фейк" .

Вредоносные ссылки могут быть спрятаны за любым текстом в HTML-файлах, документах и электронной почте. В браузере или почтовой программе наведите курсор на ссылку, не нажимая, и подождите пару секунд, пока не появиться реальный URL. Также можно просто скопировать правой кнопкой мышки и скопировать ссылку куда-нибудь, в идеале вставить в Вирус Тотал и проверить на наличие вирусов. Да, ссылки он тоже проверяет. 

Вредные URL-ы могут быть закодированы и в банальных QR-кодах, на бумаге или в электронном виде. Также будьте аккуратны с всякими сервисами сокращения ссылок вроде bit.ly, tinyurl.com, ow.ly и прочих. Не вводите подобные ссылки и не сканируйте их телефоном, если не уверены на 100% в их источнике.

Вы можете расшифровать укороченные адреса с помощью этих сервисов:

• http://checkshorturl.com/
• http://www.expandurl.net/

Эти расширения умеют это автоматически:

• Google Chrome, URL Unshortener
• Mozilla Firefox, Long URL Please Mod

Подозрительные всплывающие окна

Нужно быть внимательным и осторожным с всякими непонятными окнами в браузере, программах и в целом в операционке, которые всплывают. Очень желательно читать содержания всплывающих окон и не "смахивать" / "тыкать, чтоб закрыть" мимолетом. 

Всплывающие окна могут причинить вред разными способами.

• Установить поддельный SSL-сертификат и перехватывать трафик, в своих целях.
• Установить вредоносные программы на компьютер или телефон и переадресовывать браузер на вредоносные веб-сайты, ставящие программы, что заражают вирусом или прочим рекламным софтом.

Подозрительные устройства, флешки

С осторожностью пользуйтесь флешками и переносными жесткими дисками, да и любым переносимым источником информации, вроде CD, DVD, если не уверены в источнике, из которого их получили. Ваш компьютер могут взломать еще до того, как вы откроете файл на флешке, и задолго до того как ваш антивирус просканирует ее. Если вы нашли флешку, которая где-то безхозно валяется, в офисе, на улице, и при этом вы не знаете кто это сделал и почему, наверняка с этой флешкой "не все так просто". Доверяйте своим устройствам и будьте осторожны с чужими флешками и прочим, с чем приходится сталкиваться в работе. 

ИСПОЛЬЗУЙТЕ ПАСФРАЗУ ВМЕСТО ПАРОЛЕЙ

Что такое Пасфраза?

Используйте пасфразу вместо паролей, чтоб избежать проблем со слабыми паролями. Пароли, основаные на словах из словаря, легко подбираются. 

Вместо этого, попробуйте выбрать фразу, которую не сможете легко забыть в ближайшие дни: строчка стиха или песни, слоган и т.д. Потом уберите пробелы, замените некоторые буквы похожими на них цифрами или спецсимволами: A->4, B->8, C->(, E->3, I->1, L->7, S->5, T->7 и тд Добавляйте цифры и спецсимволы, и также перевод некоторых букв в верхний регистр, сделает пасфразу сильнее.

Как создать сильную пасфразу?

Используйте рецепты создания сильных, уникальных фраз. Рецепт — алгоритм, который вы можете использовать для формирования различных пасфраз для разных систем, с общей основой. К примеру:

1. Выберите, надежную основу, например, пасфразу w3llD0nem8'
2. Придумайте способ привязки фразы к сервису, например добавлять его название в начало или конец.

w3llD0nem8'google

Или разделение имени на 2 части, и вставка части в начале, а части в конце.

goow3llD0nem8'gle

glew3llD0nem8'goo

3. Можно еще немного "перекрутить" фразу, изменив последнюю букву сервиса на цифру, если возможно, и добавив знак восклицания или прочий спецсимвол. 

goow3llD0nem8'gl3!

Держите пасфразы в секрете

Никто кроме вас не должен знать ваши пасфразы. Не раскрывайте их никому, даже боссу, админу или службе поддержки, детям, жене и тд. У них нет никаких логических и законных полномочий для получения ваших пасфраз. С технической стороны, даже система, в которой вы используете эту самую пассфразу не имеет доступа к ней в первоначальном виде. Система использует "хеш" вашего пароля - зашифрованный и защищенный вариант. 

Не записывайте ваши пасфразы на клочках бумаги или где-либо еще, в незашифрованном виде. Защищенный паролем файл Excel - это не шифрование. Архив, с паролем - тоже не достаточно защищенный файл. Используйте только надежные менеджеры паролей для сохранения пасфраз, если необходимо. 

Обновление пасфраз

Меняйте пасфразы довольно часто и как минимум раз в год.  Ваши корпоративные пасфразы и пароли, что вы используете чаще всего (например, 2-3 раза в день) нужно менять каждый 1-2 месяца. 

Основное правило: Чем чаще пользуешься, тем чаще нужно менять. 

Менеджеры пароли

Используйте ПО для сохранения и защиты паролей —парольные менеджеры—и используйте эти правила:

1. Создавайте сильные, случайно сгенерированные пароли от 20 символов.
2. Убедитесь, что ваш мастер-пароль, которым вы защищаете все остальные, является сильной пасфразой.
3. Используйте облачные сервисы, которые хранят ваши пароли где-то там "в облаках"
4. Чаще, желательно в автоматическом режиме, делать резервные копии базы паролей. 

Хорошие менеджеры:

• Pasword
• KeePass
• Password Safe
• LastPass

ОБСЛУЖИВАНИЕ КОМПЬЮТЕРОВ, СЕРВЕРОВ, СЕТЕЙ (АУТСОРСИНГ)

Все еще хотите использовать пароли?

Надежные пароли очень долгие, сложные и уникальные. Значит, что они должны быть длинее 12 символов, иметь разные типы символов (и буквы, и цифры, и спецсимволы) и быть разными для каждой системы, сайта или службы. Пароли не могут быть основаны на простых словах, из словарей. Пароли не должны содержать данных о пользователе, даты рождение, день свадьбы и т.д. В противном случае любые данные про вас, помогут с легкостью вскрыть ваш пароль. 

ИСПОЛЬЗУЙТЕ ДВУХЭТАПНУЮ АВТОРИЗАЦИЮ

Большинство уважающих себя интернет сервисов уже давно поддерживают двухфакторную авторизацию. Используйте программный генератор временных паролей (в Google, Facebook, Twitter...) или с помощью пароля, который приходит в смс.

Ссылки на на настройки двухэтапной авторизации популярных сервисов:

• Apple https://support.apple.com/en-us/HT204915
• Google https://myaccount.google.com/security/signinoptions/two-step-verification
• Facebook https://www.facebook.com/settings?tab=security§ion=approvals
• Twitter https://twitter.com/settings/security
• Dropbox https://www.dropbox.com/account/#security

Подборка сервисов, которые поддерживают 2-этаную авторизацию: https://twofactorauth.org

SMS — это ненадежно

Используйте Google Authenticator, физический токен или проверку через мобильное приложение. SMS - не самый лучший способ получение, ибо легко перехватывается опытным специалистом. 

Читайте продолжение во второй части статьи...

 G SUITE 

 ГУГЛ ИНСТРУМЕНТЫ ДЛЯ БИЗНЕСА