Что же делать, если в очередной новости вы заметили, что ваш любимый сервис оказался взломан, а все данные пользователей продаются на хакерских форумах? В идеале к такой ситуации нужно быть готовым всегда. Основная проблема большинства пользователей интернета — это одинаковые пароли в нескольких сервисах, что позволяет злоумышленникам при первой удобной возможности заполучить доступ к вашим аккаунтам. 

Обычно люди используют одинаковые пароли из-за достаточно банальной причины — они их просто забывают. Однако это уже давно не может быть оправданием.

На рынке существует огромное количество разнообразных менеджеров паролей на любой вкус и цвет: от open-source-проектов типа KeePass до коммерческих кросс-платформенных приложений типа LastPass.

Мы понимаем, что находимся только в самом начале процесса диджитализации. Количество компьютеров увеличивается, что неизбежно приводит к возрастанию кибератак. Любой стартап должен с первого дня задумываться об этом, так как утечка данных из-за халатности команды и пренебрежения элементарными правилами кибербезопасности может убить такой бизнес.

Подобная проблема обсуждалась и на программе MOOVE by SKOLKOVO x MTS, где у нас проводился модуль по цифровой трансформации и платформенным бизнес-моделям. В ходе обучения возникла горячая дискуссия по поводу безопасности и частых ошибок стартапов с раскрытием приватных ключей к ноукод-базам данных в общедоступных приложениях. 

Получается, что стартаперы забывают о кибербезопасности, о том, что к ключам API вообще-то нужно ограничивать права доступа. Они выпускают веб-приложение, где записываются данные пользователей. Пользователь в браузере может забрать ключ и получить доступ ко всей базе данных.

Получается, стартап набирает обороты, а потом у него сливают базу данных. Можно представить себе сервис по подбору квартир, но при этом повесить ключ на видное место на входной двери в своем офисе. Любой человек может взять ключ и воспользоваться им. Едва ли такой подход устроит клиентов.

Как только вы услышали новость о том, что какой-то из используемых вами сервисов был взломан, необходимо в срочном порядке поменять пароль в этом сервисе. В случае если он используется где-то еще, поменяйте его абсолютно везде. И да, нужно поставить в этих сервисах разные пароли.

В целом подобное событие является очень хорошим стимулом для проведения «дня безопасности» и повышения уровня защищенности ваших аккаунтов. Вот краткий чек-лист:

1. Начните пользоваться менеджером паролей. Выберите тот, который подходит вам больше всего. Использование менеджера паролей — это очень удобно и просто, вы легко к этому привыкните.
2. Поменяйте пароли во всех сервисах, которые вы используете, на сгенерированные менеджером паролей. В каждом из них есть функция автогенерации сложного пароля, которую обязательно нужно использовать. Эти программы заточены на то, чтобы генерировать сложные для bruteforce-атак комбинации символов, которые будут еще и уникальными в рамках вашего портфеля паролей.
3. Начните по-настоящему использовать менеджер паролей и сохраняйте в нем каждую пару логин-пароль. Это значительно повысит ваш уровень безопасности и снизит персональные риски при утечке базы данных очередного сервиса.
4. Обязательно проверьте, что вы нигде не задублировали пароль. Если задублировали — срочно поменяйте его.
5. Продолжайте использовать менеджер паролей для каждого нового сервиса, сайта, компьютера или корпоративного сервера. Делайте только уникальные и сложные пароли. У вас должна закрепиться позитивная привычка использования менеджера паролей.
6. Зайдите в каждый из своих аккаунтов (хотя бы в топ-20 используемых сервисов) и включите двухфакторную аутентификацию. Использование двухфакторной аутентификации значительно увеличивает безопасность ваших аккаунтов и создает много сложностей для хакеров, даже если они завладели вашим паролем. Обратите особое внимание на аккаунты электронной почты, облачных сервисов, социальных сетей, мессенджеров и сервисов типа iCloud, которые привязаны к вашим персональным устройствам.
7. Начните использовать двухфакторную аутентификацию во всех сервисах, которыми вы пользуетесь, если такая опция доступна.
8. Проведите аудит безопасности ваших аккаунтов при помощи сервисов типа Have I been pwned и SpyCloud. Они отслеживают актуальные утечки и могут помочь вам понять, какие аккаунты могли быть скомпрометированы.
9. Используйте разные почты для разных целей и «не кладите все яйца в одну корзину». Принцип простой: в почте для спама — только спам, в корпоративной почте — только корпоративная почта. Особенное внимание стоит уделить почтам, к которым привязаны ваши облачные хранилища, бэкапы устройств, мессенджеры и мобильные девайсы. Лучше, чтобы вы вообще не использовали почты, к которым привязано что-то важное для сторонних целей.
10. Не раскрывайте сервисам больше данных, чем им нужно знать. Всегда есть риск, что любой сайт или платформа могут быть взломаны.
11. Прочитайте статьи специалистов по информационной безопасности и всегда будьте начеку. Чем раньше вы узнаете об утечке, тем больше у вас времени среагировать.
12. Будьте бдительны и помните: если кажется, что вы делаете что-то небезопасно, то, скорее всего, так и есть.

Эти простые действия значительно обезопасят вас в киберпространстве и продвинут на новый уровень компьютерной грамотности.

Читайте статью в первоисточнике: rb.ru