Представления о мифах о кибербезопасности
5 ноября 2022 г.В мире, который становится все более связанным и онлайновым, люди хотят защитить себя и свое имущество. Однако выяснить, как это сделать, очень сложно в чрезвычайно технической и быстро развивающейся области. Сотни статей, корпоративных тренингов и постов в социальных сетях пытаются предложить руководство, но это только усугубляет путаницу. Даже с самыми лучшими намерениями это создает ряд мифов и неправильных представлений о безопасности в Интернете. Давайте развенчаем некоторые из самых популярных:
Лучшие пароли – сложные пароли
Самые безопасные пароли имеют длину 20 символов и содержат строчные и прописные буквы, много цифр и несколько специальных символов, верно? Правильно?
Технически говоря, да. Добавление длины и увеличение количества возможных символов замедлит атаки по подбору пароля. Но когда дело доходит до человеческого фактора, абсолютно нет. Безопасность пароля зависит от его уникальности.
Допустим, я выбираю сложный пароль, для перебора которого потребуется неоправданно много времени. Поскольку это такой отличный пароль, я собираюсь использовать его для всех своих учетных записей. К счастью для хакеров, подбор пароля — не единственный способ получить мой пароль. Если мои учетные данные будут включены в утечку, то через некоторое время другие мои учетные записи также будут скомпрометированы. Вброс паролей или попытка скомпрометировать учетную запись пользователя путем попытки утечки учетных данных из другой учетной записи была определена как виновник многих взломов учетных записей, включая блокировка бесчисленного количества пользователей Disney+ после запуска сайта потоковой передачи в 2019 году.
Учитывая, что средний человек имеет около 100 паролей, неудивительно, что примерно 60% повторно используют по крайней мере некоторые из них. Когда ваш сложный пароль трудно запомнить, последнее, что вы хотите сделать, это запомнить еще несколько паролей.
Лучший совет здесь — использовать диспетчер паролей и защитить его с помощью фразы-пароля и многофакторной аутентификации (MFA). Вместо того, чтобы запоминать десятки паролей, вам нужно запомнить только один набор учетных данных. Однако не используйте пароль (особенно тот, который вы использовали ранее), используйте кодовую фразу. Парольная фраза — это комбинация нескольких слов, которые имеют смысл для вас, но злоумышленнику будет сложно их угадать. Поскольку это не должно быть легко угадать, не используйте то, что вы разместили в Интернете, например, имена ваших детей. Ссылка на внутреннюю шутку или ваш самый сокровенный секрет, вероятно, будет хорошей ставкой. Добавление MFA к этому означает, что даже если кто-то угадает ваш пароль, он не получит доступ к вашему менеджеру паролей без второго кода.
Ваши пароли будут украдены, если вы их запишете
Следуя предыдущему мифу и безопасной альтернативе, я должен признать довольно противоречивое мнение: совершенно нормально использовать бумажный менеджер паролей, такой как журнал паролей в тех случаях, когда пользователям не нравятся цифровые менеджеры паролей.
Да, ваш пароль могут украсть коллеги, родственники или посетители, если вы запишете пароль и будете держать его на видном месте, например, на стикере на рабочем столе.
Однако, если учесть, что наибольший риск, связанный с паролями, исходит от сетевых злоумышленников, решение, которое позволяет пользователям использовать уникальные пароли для каждой учетной записи, является лучшей защитой от атак с подменой паролей, чем использование одной и той же пары паролей для всех ваших учетных записей.
Конечно, цифровой менеджер паролей идеален, но для людей, менее технически подкованных, журнал паролей служит адекватной защитой. Если вы опасаетесь, что коллега или член семьи может украсть ваш журнал, рекомендуется хранить его в запертом шкафу.
В конечном счете, при поиске компромисса между повторным использованием пароля и вероятностью того, что кто-то украдет блокнот с паролями, повторное использование пароля представляет собой наибольший риск для большинства пользователей. Решение, которое может помочь предотвратить это, не сообщая ваш пароль всему вашему офису, является довольно стоящей уступкой в моей книге.
VPN защитят вас от хакеров
Я вижу как минимум одну рекламу в неделю, в которой утверждается, что использование потребительской VPN защищает вас от хакеров, которые крадут ваши пароли, когда вы входите в учетную запись, находясь в общедоступном Wi-Fi, и каждый раз я разочарованно качаю головой. Поскольку 99 % просмотра в Google Chrome происходит по протоколу HTTPS, хакеру уже не так просто получить ваши учетные данные. через общедоступный Wi-Fi. Если сеть не использует прокси-сертификаты для расшифровки и проверки трафика (что требует усилий по настройке, но не редкость в корпоративных сетях), VPN, скорее всего, не принесет вам много пользы в плане безопасности.
Это не означает, что виртуальные частные сети бесполезны. VPN добавляют уровень конфиденциальности, скрывая вашу активность в Интернете от вашего интернет-провайдера и предотвращая использование трекеров, которые используют IP-адрес для проверки. Тем не менее, вы по-прежнему будете отслеживаться с помощью файлов cookie веб-сайтов. Не говоря уже о том, что заявления о конфиденциальности настолько хороши, насколько хороши методы ведения журналов VPN (или, в идеале, их отсутствие).
Наконец, есть не часто рекламируемый, но наиболее распространенный вариант использования VPN: обход географических ограничений на доступ к мультимедиа. Это уловка, известная тем, кто хочет транслировать телешоу, доступное только в другой стране из-за правил лицензирования. Хотя это все еще работает со многими сайтами, такие гиганты потокового вещания, как Netflix, освоили эту технику и пытаются ограничить этот трюк, блокируя известные IP-адреса VPN.
Виртуальные частные сети по-прежнему используются, особенно в исключительных случаях, но заявления о том, что если вы не используете VPN, хакеры могут легко отследить ваш браузер и украсть ваши пароли, невероятно устарели и в целом являются плохой практикой.
Сайты, использующие HTTPS, заслуживают доверия
Теперь, когда мы упомянули HTTPS, общий совет заключается в том, что перед входом на веб-сайт или вводом конфиденциальной информации вы должны убедиться, что сайт использует HTTPS (иногда этот совет принимает форму "ищите зеленый значок замка в адресной строке). Это серьезное руководство — я был бы невероятно осторожен, если бы мой вход в банк не происходил через зашифрованное соединение. Хотя в этом руководстве пользователям предлагается не доверять сайтам, не использующим HTTPS, пользователи могут предположить, что верно и обратное: вы можете доверять любому сайту, использующему HTTPS.
В целях развенчания этого мифа* все, что означает HTTPS, — это то, что соединение между вашим браузером и веб-сервером зашифровано, что гарантирует, что другие, перехватывающие ваш трафик, не смогут расшифровать или изменить содержимое. Это не означает, что HTTPS не важен, скорее наоборот; широкое внедрение HTTPS обеспечивает целостность и безопасность трафика сайта. При таком широком распространении технологии любой сайт без этой функции сразу становится подозрительным. Осознавая это, киберпреступники усилили свою игру: по состоянию на начало 2022 г. -phishing-sites/">три четверти фишинговых сайтов используют HTTPS. Поскольку пользователи знают, что HTTPS является признаком безопасности сайта, фишинговый сайт, использующий HTTPS, кажется гораздо более надежным и с меньшей вероятностью вызовет подозрения.
Хотя мы абсолютно не должны доверять сайтам, которые не используют HTTPS, мы должны напомнить пользователям, что HTTPS не означает, что сайт безопасен, это означает только то, что соединение защищено.
:::информация Помимо зашифрованной связи, протокол HTTPS также проверяет исходный сервер сайта с помощью SSL-сертификата сайта, предоставленного сторонним центром сертификации. Однако это выходит за рамки того, что нам здесь нужно.
:::
Анализируя эти мифы и заблуждения, мы видим, насколько многогранна кибербезопасность. Наши четыре мифа не так уж далеки от истины и, возможно, даже были точным советом пять-десять лет назад. Однако в мире, где злоумышленник может украсть ваш пароль, отправив вас на веб-сайт с измененным написанием всего одной буквы, важна каждая деталь.
Оригинал