Сегодня, во времена слежки со стороны NSA, кибер-атак со стороны SEA, корпоративного шпионажа и кибер-мошенничества, вопросы цифровой безопасности должны занимать всех.
Если кто-нибудь получит несанкционированный доступ к какой-нибудь вашей учетной записи, то вы (и ваш работодатель) можете потерять авторитет, а ваша финансовая безопасность и репутация могут оказаться под угрозой. А когда вы обрабатываете конфиденциальную информацию, предоставленную вам вашими источниками, контактными лицами и клиентами, на кону стоят их средства к существованию — или даже сама жизнь.
Многие организованные, хорошо финансируемые группы — конкуренты, преступники и правительственные органы — заинтересованы в том, чтобы добраться до ваших данных. По мере распространения цифровых технологий безопасность нашей информации будет становиться все более важной.
Проблема вот в чем: в вопросах безопасности очень легко скатиться я небрежности, а обеспечение безопасности часто означает отказ от некоторого удобства. Для обеспечения безопасности данных требуется постоянная бдительность. Также не всегда понятно, каковы ваши уязвимые стороны и когда ваши данные - или ваша личность - может быть в опасности.
К счастью, есть некоторые основные принципы, которых вы можете придерживаться, и некоторые методы, которые можно использовать для того, чтобы оставаться в безопасности в Интернете.
1. Большая часть Интернета не является безопасной по умолчанию
Большинство протоколов, на которых основан Интернет - в том числе HTTP (веб), FTP (передача файлов) и SMTP (электронная почта) - не являются безопасными. Это означает, что данные, передаваемые с помощью этих технологий, открыты для практически кого угодно. В каком-то смысле, именно благодаря этому Интернет и Веб — замечательная вещь: это означает открытый доступ к знаниям. Но в случае личной или конфиденциальной информации, открытость приносит больше вреда, чем пользы.
Проблему при онлайн-общении составляет ложное чувство конфиденциальности личной жизни, когда мы, скажем, отправляем другу электронное сообщение или заходим на сайт. Хотя мы видим только конечного получателя, с которым общаемся, на самом деле, прежде чем наше послание достигнет места назначения, оно "в открытом виде" проходит через любое количество других компьютеров. В принципе, любой, кто имеет доступ к этим компьютерам, может отслеживать сообщения, которые через них проходят. Мы думаем, что посылаем запечатанное письмо, но на самом деле это открытка.
2. Многие проблемы решает шифрование
К счастью, для некоторых из самых распространенных Интернет-протоколов есть безопасные альтернативы. Эти опции обеспечивают те же функции, а кроме того - еще и шифрование данных перед их отправкой и расшифровку — после получения.
Наиболее важным защищенным протоколом является HTTPS. Это та технология, благодаря которой становится возможно передавать номера кредитных карт и другие конфиденциальные данные в Интернете. HTTPS, который в одно время ограничивался только электронной коммерцией, быстро становится по крайней мере вариантом - если не обязательным условием — для входа в свой аккаунт. Шифрование может замедлить соединение, но на этом фронте происходят быстрые улучшения. Вы всегда можете узнать, доступно ли соединение по протоколу HTTPS для какого-либо сайта, введя https:// вместо http:// в адресной строке браузера. Одним из способов использования HTTPS всегда, когда это возможно — это применение плагина HTTPS Everywhere для браузера.
Если вы ведете веб-сайт, который предполагает вход пользователей в свои учетные записи или на которых они предоставляют какую-нибудь конфиденциальную информацию, по умолчанию HTTPS не включается — вам нужно будет приобрести и установить SSL-сертификат для обеспечения безопасности своего сайта. Этот сертификат привлекает третью сторону, которая подтверждает вашу идентификацию как хозяина сайта. Это также позволяет посетителям увидеть не только то, что их общение с вами зашифровано, но также то, что вы именно тот, за кого себя выдаете.
3. Слабые пароли — всегда угроза для безопасности
Нарушения безопасности часто начинаются со слабых паролей. Слабый пароль — это тот, который легко угадать при помощи социальной инженерии либо атаки «грубой силы», когда перебираются многие тысячи возможных комбинаций. Исследования показывают, что самые распространенные пароли — самые слабые.
Даже не усиливая наши пароли, веб-сайты могут предоставлять определенные меры по ограничению эффективности атак «грубой силы», такие как ограничение количества вводов неправильных паролей на протяжении определенного периода времени. Но эти меры мы не контролируем, поэтому всегда остается возможность того, что кто-то может угадать пароль. Лучше всего сразу использовать надежный пароль.
К счастью, для повышения надежности пароля есть четкие указания. Один из факторов — его длина; лучше всего использовать восемь или более символов. Полезно использовать различные буквы, цифры и символы, а также комбинации заглавных и строчных букв. Важно также избегать правильно написанных слов (а также самых типичных орфографических ошибок).
Один из лучших советов, которые мне попадались — использовать не пароли, а ключевые фразы. Используя фразу, вы создаете надежный, но относительно легко запоминающийся пароль, соединяя четыре-пять слов, перемежая их числами, применяя «креативную» орфографию и расставляя заглавные буквы случайным образом.
4. Самый важный пароль — к вашей электронной почте
Электронная почта — это отмычка. Тот, кто получит несанкционированный доступ к вашей электронной почте, сможет быстро получить доступ к любым другим учетным записям. Это потому, что большинство сайтов позволяют сбросить пароль, нажав на ссылку подтверждения в электронной почте.
Чтобы сбросить пароли, потенциальному злоумышленнику даже не нужно знать ваше имя пользователя, потому что такие подтверждающие ссылки могут быть получены, если непосредственно указать адрес электронной почты. Тем более необходимо использовать сложные пароли, прежде всего к электронной почте.
5. Уровень безопасности повышает использование разных учетных записей электронной почты для разных целей
Иногда лучший способ повышения безопасности состоит в сведении вреда от нарушения к минимуму. Этого можно достичь, если использовать одну учетную запись электронной почты для большинства коммуникаций, а другой адрес электронной сохранять в секрете и использовать для более важного общения. Ограничивая количество тех, кто знает о вашей личной электронной почте, можно уменьшить свою уязвимость. И если безопасность вашего "общественного" адреса будет нарушена, вред будет ограниченным.
Можно также использовать одноразовые или "спамовые" учетные записи электронной почты, когда адрес электронной почты нужен для подтверждения регистрации, но другой личной информации вы предоставлять не хотите. Такие сервисы - одним из самых популярных является Mailinator - позволяют создать адрес электронной почты «на лету» и получать сообщения по этому адресу без входа. Сообщения автоматически удаляются через несколько часов.
6. Для лучшей безопасности, используйте менеджер паролей и запоминайте только «супер пароль»
Надежные пароли имеют важное значение для цифровой безопасности. Использовать при этом разные пароли для разных учетных записей еще лучше. Объедините эти подходы и получите рецепт от «головной боли». Кто может запомнить много разных и сложных паролей? И у кого не возникнет соблазн использовать разные простые пароли или один надежный пароль, что ослабит их безопасность?
Альтернатива этим подходам: используйте менеджер паролей. Этот инструмент автоматически создает очень надежные пароли. Затем он шифрует эти пароли, а также информацию о сайтах, которым они принадлежат, запрещая доступ, пока не будет предоставлен основной пароль.
Этот единственный пароль — который должен быть надежным и который нужно запомнить — открывает хранилище и обеспечивает доступ ко всем учетным данным, хранящимся в нем. Хороший вариант управления паролями - KeePass. Этот менеджер бесплатен, предоставляется с открытым исходным кодом (см. ниже) и является кросс-платформенным.
7. При прочих равных условиях, приложения с открытым исходным кодом более безопасны
Инструменты и платформы с открытым исходным кодом заслуженно имеют репутацию безопасных. Парадоксально, но открытый исходный код более безопасен, по той простой причине, что любой может точно узнать, что делает программное обеспечение, как оно управляет данными, и где могут находиться потенциальные уязвимости. С другой стороны, проприетарное программное обеспечение с закрытым исходным кодом — это черный ящик.
Потенциальные уязвимости трудно понять, а потенциально значимые нарушения безопасности или приватности скрыты. Дополнительным преимуществом проектов с открытым кодом является то, что в них задействованы многие участники, которые закрывают бреши в безопасности по мере их обнаружения.
8. Программное обеспечение с открытым кодом — это хорошо, но его нужно поддерживать в актуальном состоянии
При обнаружении брешей в безопасности программного обеспечения с открытым кодом оно может быть быстро исправлено при помощи быстрого обновления, но в большинстве случаев вы не получите этих преимуществ автоматически. Поэтому необходимо устанавливать обновления по мере их выпуска. Большинство программ воспринимает изменения, касающиеся безопасности, как "критически важные".
Другими словами, пока эти обновления не будут применены, сайт остается уязвимым. Процедура обновления на разных платформах может отличаться; в некоторых случаях рекомендуется перед запуском обновления выполнить резервное копирование данных.
9. Хранение и передача данных неизбежно снижает уровень безопасности
Прекрасным инструментом является шифрование. Хорошие пароли могут иметь большое значение для обеспечения безопасности наших данных. Но как только вы решаете, что какую-нибудь информацию нужно оцифровать и (тем более) передать кому-нибудь, вы создаете возможности для нарушения. Поэтому в первую очередь необходимо решить, нужно ли такую информацию оцифровывать. Возможно, лучше встретиться лично?
10. Нарушения безопасности могут случаться немедленно, а могут через несколько месяцев и даже лет
Цифровые коммуникации, хотя они и мимолетны, при этом остаются постоянными. Как только вы публикуете что-нибудь в Интернете, лучше всего это сообщение рассматривать общение как более или менее нестираемое.
Конечно, сообщения приходят и уходят, и никто их больше не увидит, но многое из того, что вы выкладываете онлайн, в той или иной форме сохраняется. Даже если не будет нарушена первоначальная передача, можно считать, что вашу информацию сохраняет кто угодно, и принять соответствующие меры, чтобы ее защитить, особенно когда речь идет о шифровании.
11. Некоторые проблемы безопасности может решить анонимность
Шифрование — не единственный способ повысить безопасность (и защитить частную информацию). Анонимизация - процесс, при котором ваши действия не обязательно являются зашифрованными, но их нельзя проследить и установить связь с вами — это еще один инструмент в вашем арсенале.
Анонимизация включает в себя использование таких технологий, как прокси-серверы и виртуальные частные сети (VPN). Один из популярных инструментов анонимизации — Tor — использует комбинацию шифрования и передаточных узлов, которая позволяет скрыть данные и отправить их окольными путями к пункту назначения. Благодаря этому общение становится как анонимным, так и безопасным. Некоторые веб-сервисы, такие какAnonymouse.org, позволяют использовать прокси-сервер без установки какого-либо программного обеспечения.
12. Открытые сети Wi-Fi могут создавать проблемы
В общем, HTTPS значительно повышает безопасность, даже для коммуникаций с использованием незащищенных беспроводных сетей. Тем не менее, риски остаются. В незашифрованных WiFi сетях чужой трафик могут просматривать все, кто к ней подключен. Информация, зашифрованная с помощью HTTPS, не будет видна, но на некоторых веб-сайтах функциональность HTTPS реализована не полностью — страницы входа (и, следовательно, имена пользователей и пароли) могут быть защищены, а другая информация - нет.
К сожалению, в некоторых случаях на безопасность может повлиять еще одна часть информации — сеансовые куки. Куки — это уникальный идентификатор, который сообщает сайту, кто вы и «доказывает», что у вас есть санкционированный доступ.
Если кто-то узнает, что из себя представляет ваш куки, ваш сеанс может быть "угнан". Другими словами, кто-то другой входит вместо вас. И даже без угона сеанса злоумышленник может подслушать частные сообщения, если вы не используете HTTPS или сайт, на котором вы находитесь, не полностью его реализует.
13. Многофакторная аутентификация повышает безопасность
Это замысловатая фраза означает, попросту говоря, что безопасность повышается, когда у вас есть два или более способов подтверждения своей личности при доступе к защищенной системе. Одна из хорошо знакомых реализаций многофакторной аутентификации — это двухэтапный процесс подтверждения, который использует Google.
Этот процесс требует предоставления не только правильного пароля, но и правильного кода проверки — который передается на телефонный номер, указанный в процессе начальной регистрации. Двухэтапная проверка заметно повышает безопасность, потому что недостаточно ввести правильное имя пользователя и пароль — нужно также иметь реальный телефон в своем распоряжении.
14. Важное значение имеет защита несанкционированного доступа к вашим физическим устройствам
Все эти усилия по обеспечению вашей деятельности в Интернете могут оказаться напрасными, если ваш компьютер не защищен физически. Если вы не выходите из учетных записей в браузере и приложениях, защищено ли паролем само устройство? Если ваш ответ «нет», не потребуется много времени для того, чтобы получить доступ к конфиденциальным данным или даже заблокировать вас в ваших собственных аккаунтах.
Все основные операционные системы обеспечивают защиту доступа паролем, и их стоит изучить. Может надоедать каждый раз вводить пароль, когда нужно «разбудить» устройство, но высокая безопасность предполагает отказ от некоторых удобств.
15. Максимальную безопасность для текущих конфиденциальных данных обеспечивает зашифрованная электронная почта и чат без протоколирования
К сожалению, преимущества шифрования HTTPS не распространяются на коммуникации, которые происходят в онлайновом режиме, но за пределами веб-приложений — например, на электронную почту и обмен мгновенными сообщениями. Если отправить письмо с зашифрованной веб-страницы, это не означает, что само сообщение будет зашифровано — это означает только то, что ваше соединение с удаленным сервером является безопасным.
Такое шифрование важно - оно означает, что ваше имя пользователя и пароль защищены - но оно не защищает ваши сообщения после того, как они покидают сервер, по пути и по прибытию в пункт назначения.
Когда конфиденциальным является содержание ваших сообщений, хорошей идеей является переход на безопасные каналы, такие как PGP-шифрование электронной почты и обмен сообщениями без протоколирования.
К сожалению, эти меры могут быть несколько громоздки в настройке, по сравнению с другими рассмотренными методами, и при этом обе стороны должны предпринять шаги для обеспечения безопасности коммуникаций. Тем не менее, если вам нужно общаться с кем-нибудь по-настоящему конфиденциальным образом, стоит приложить дополнительные усилия и установить безопасные каналы связи.
Редактура, перевод: Редакторский портал