Для того чтобы предотвратить взлом ваших паролей с помощью социальной инженерии, метода грубой силы или атаки по словарю и обеспечить безопасность ваших онлайн-аккаунтов, обратите внимание на следующие меры:
1. Не используйте одинаковые пароли, секретные вопросы и ответы для нескольких важных аккаунтов.
2. Используйте пароль, содержащий не менее 16 символов, как минимум одну цифру, одну прописную и одну заглавную букву, а также один специальный символ.
3. Не используйте имена своих родственников, друзей или животных в паролях.
4. Избегайте использования в паролях почтовых индексов, номеров домов, телефонных номеров, дат рождения, номеров удостоверений личности, номеров социального страхования и т.д.
5. Не используйте словарные слова в паролях. Примеры надежных паролей: ePYHc~dS*)8$+V-', qzRtC{6rXN3N\RgL, zbfUMZPE6`FC%)sZ. Примеры слабых паролей: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.
6. Не используйте два или более похожих пароля, в которых большая часть символов одинакова, например, ilovefreshflowersMac, ilovefreshflowersDropBox. Если один из таких паролей будет украден, значит, все эти пароли будут украдены.
7. Не используйте что-либо, что может быть клонировано (но вы не можете изменить) в качестве паролей, например, отпечатки пальцев.
8. Не разрешайте веб-браузерам (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) сохранять ваши пароли, так как все пароли, сохраненные в веб-браузерах, могут быть легко раскрыты.
9. Не входите важные аккаунты на компьютерах других людей или при подключении к общедоступной точке Wi-Fi, через Tor, бесплатный VPN или веб-прокси.
10. Не отправляйте конфиденциальную информацию онлайн через незашифрованные соединения (например, HTTP или FTP), так как сообщения в таких соединениях могут быть легко перехвачены. Используйте зашифрованные соединения, такие как HTTPS, SFTP, FTPS, SMTPS, IPSec, всегда когда это возможно.
11. Во время путешествий вы можете зашифровать свои интернет-соединения до их отправки с вашего ноутбука, планшета, мобильного телефона или маршрутизатора. Например, вы можете настроить частную VPN с протоколами, такими как WireGuard (или IKEv2, OpenVPN, SSTP, L2TP over IPSec) на вашем собственном сервере (домашний компьютер, выделенный сервер или VPS) и подключиться к нему. Альтернативно, вы можете настроить зашифрованный SSH-туннель между вашим компьютером и собственным сервером и настроить Chrome или FireFox на использование прокси socks. Тогда, даже если кто-то перехватывает ваши данные, передаваемые между вашим устройством (например, ноутбуком, iPhone, iPad) и вашим сервером с помощью сниффера пакетов, им не удастся украсть ваши данные и пароли из зашифрованных потоков данных.
12. Насколько безопасен мой пароль? Возможно, вы считаете, что ваши пароли очень надежны и сложно взломать. Но если злоумышленник украл ваше имя пользователя и хеш-значение MD5 вашего пароля с сервера компании, и его радужная таблица содержит этот хеш-значение MD5, то ваш пароль будет быстро взломан. Чтобы проверить надежность ваших паролей и узнать, есть ли они в популярных радужных таблицах, вы можете преобразовать свои пароли в хеш-значения MD5 с помощью генератора хешей MD5, а затем расшифровать свои пароли, отправив эти хеши на онлайн-сервис расшифровки MD5. Например, ваш пароль "0123456789A". Используя метод грубой силы, компьютеру может потребоваться около года, чтобы взломать ваш пароль. Но если вы расшифруете его, отправив его хеш-значение MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) на сайт расшифровки MD5, сколько времени потребуется для его взлома? Вы можете провести тест самостоятельно.
13. Рекомендуется менять пароли каждые 10 недель.
14. Рекомендуется запомнить несколько основных паролей, хранить другие пароли в обычном текстовом файле и зашифровывать этот файл с помощью 7-Zip, GPG или программного обеспечения для шифрования диска, такого как BitLocker, или управлять своими паролями с помощью программного обеспечения для управления паролями.
15. Шифруйте и делайте резервные копии ваших паролей в разных местах, чтобы в случае потери доступа к вашему компьютеру или аккаунту вы могли быстро восстановить свои пароли.
16. Включите двухфакторную аутентификацию, если это возможно.
17. Не храните критические пароли в облаке.
18. Переходите на важные веб-сайты (например, PayPal) напрямую через закладки, иначе тщательно проверьте его доменное имя. Рекомендуется проверить популярность веб-сайта с помощью панели инструментов Alexa, чтобы убедиться, что это не фишинговый сайт, прежде чем вводить свой пароль.
19. Защитите свой компьютер с помощью брандмауэра и антивирусного программного обеспечения, блокируйте все входящие соединения и все ненужные исходящие соединения с помощью брандмауэра. Загружайте программное обеспечение только с надежных сайтов и проверяйте контрольные суммы MD5/SHA1/SHA256 или GPG-подпись установочного пакета, если это возможно.
20. Держите операционные системы (например, Windows 7, Windows 10, Mac OS X, iOS, Linux) и веб-браузеры (например, FireFox, Chrome, IE, Microsoft Edge) своих устройств (например, Windows PC, Mac PC, iPhone, iPad, планшет на Android) в актуальном состоянии, устанавливая последние обновления безопасности.
21. Если на вашем компьютере хранятся важные файлы, к которым может получить доступ другой человек, проверьте наличие аппаратных и программных шпионов, а также скрытых камер, когда это необходимо. Если у вас в доме есть WIFI-роутеры, то можно узнать введенные вами пароли (в доме соседа), обнаружив жесты ваших пальцев и рук, так как сигнал WIFI, который они принимают, меняется при движении ваших пальцев и рук. В таких случаях можно использовать экранную клавиатуру для ввода паролей, и это будет безопаснее, если эта виртуальная клавиатура (или программа-клавиша) меняет раскладки каждый раз.
23. Блокируйте свой компьютер и мобильный телефон, когда вы уходите от них.
24. Шифруйте весь жесткий диск с помощью VeraCrypt, FileVault, LUKS или аналогичных инструментов, прежде чем сохранять на нем важные файлы, и физически уничтожайте жесткий диск старых устройств, если это необходимо.
25. Доступ к важным веб-сайтам (например, Paypal) осуществляйте в режиме приватности или инкогнито, или используйте один веб-браузер для доступа к важным веб-сайтам и другой - для доступа к другим сайтам. Или доступайтесь к неважным веб-сайтам и устанавливайте новое программное обеспечение в виртуальной машине, созданной с помощью VMware, VirtualBox или Parallels.
26. Используйте не менее 3-х разных адресов электронной почты. Используйте первый для получения электронной почты от важных сайтов и приложений, таких как PayPal и Amazon, используйте второй для получения электронной почты от неважных сайтов и приложений, используйте третий (от другого почтового провайдера, такого как Outlook и GMail) для получения писем с инструкциями по сбросу пароля, когда ваш первый адрес (например, Yahoo Mail) был взломан.
27. Используйте не менее 2-х разных телефонных номеров. Не сообщайте другим номер, который вы используете для получения текстовых сообщений с кодами подтверждения.
28. Не нажимайте на ссылки в электронной почте или SMS-сообщении, не сбрасывайте свои пароли, переходя по ссылкам, если только вы уверены, что эти сообщения не являются поддельными.
29. Не сообщайте свои пароли кому-либо по электронной почте.
30. Возможно, что одно из программного обеспечения или приложений, которое вы загрузили или обновили, было изменено хакерами. Вы можете избежать этой проблемы, не устанавливая это программное обеспечение или приложение впервые, если оно необходимо только для исправления уязвимостей безопасности. Вместо этого вы можете использовать веб-приложения, которые более безопасны и переносимы.
31. Будьте осторожны при использовании онлайн-инструментов для вставки текста и инструментов для снятия скриншотов, не позволяйте им загружать ваши пароли в облако.
32. Если вы являетесь веб-мастером, не храните пароли пользователей, секретные вопросы и ответы в виде обычного текста в базе данных. Сохраняйте хешированные (с помощью SHA1, SHA256 или SHA512) значения этих строк. Рекомендуется генерировать уникальную случайную строку соль для каждого пользователя. Кроме того, рекомендуется регистрировать информацию об устройстве пользователя (например, версия ОС, разрешение экрана и т.д.) и сохранять хешированные значения этих данных. При попытке пользователя войти с правильным паролем, но если информация об его устройстве не соответствует сохраненной ранее, позвольте пользователю подтвердить свою личность, введя другой код подтверждения, отправленный по SMS или электронной почте.
33. Если вы являетесь разработчиком программного обеспечения, вы должны публиковать пакет обновления, подписанный частным ключом с помощью GnuPG, и проверять подпись с помощью ранее опубликованного открытого ключа.
34. Чтобы обеспечить безопасность вашего онлайн-бизнеса, рекомендуется зарегистрировать собственное доменное имя и настроить учетную запись электронной почты с этим доменным именем, тогда вы не потеряете свою электронную почту и все ваши контакты, так как вы можете размещать свой почтовый сервер в любом месте, и ваша электронная почта не может быть отключена поставщиком электронной почты.
35. Если в интернет-магазине доступна только оплата кредитными картами, то рекомендуется использовать виртуальную кредитную карту вместо реальной.
36. Закрывайте веб-браузер, когда вы покидаете компьютер, иначе куки могут быть перехвачены с помощью небольшого USB-устройства, что позволит обойти двухфакторную аутентификацию и войти в вашу учетную запись с украденными куками на других компьютерах.
37. Не доверяйте и удалите недействительные SSL-сертификаты из вашего веб-браузера, иначе вы не сможете гарантировать конфиденциальность и целостность HTTPS-соединений, которые используют эти сертификаты.
38. Шифруйте всю системную партицию, иначе отключите функции файла подкачки и гибернации, так как возможно обнаружить ваши важные документы в файлах pagefile.sys и hiberfil.sys.
39. Чтобы предотвратить атаки перебора паролей при входе на выделенные серверы, VPS-серверы или облачные серверы, вы можете установить систему обнаружения и предотвращения вторжений, такую как LFD (Login Failure Daemon) или Fail2Ban.
40. Если возможно, используйте облачное программное обеспечение вместо установки программного обеспечения на локальное устройство, так как все больше атак через цепочку поставок, которые устанавливают вредоносное приложение или обновление на ваше устройство, чтобы украсть ваши пароли и получить доступ к секретным данным.
41. Рекомендуется сгенерировать контрольные суммы MD5 или SHA1 для всех файлов на вашем компьютере (с помощью программного обеспечения, такого как MD5Summer) и сохранить результат, затем ежедневно проверять целостность ваших файлов (и находить троянские файлы или программы с встроенными задними дверями) сравнивая их контрольные суммы с ранее сохраненными.
42. Каждая большая компания должна реализовать и применять систему искусственного интеллекта, основанную на обнаружении и предотвращении вторжений (включая инструменты для обнаружения аномалий в сетевом поведении).
43. Разрешайте подключаться или входить только с тех IP-адресов, которые находятся в белом списке для важных серверов и компьютеров.