Twój przewodnik do zabezpieczania swojego życia cyfrowego i ochrony prywatności
Lista kontrolna bezpieczeństwa osobistego
Uwierzytelnianie
Większość witryn internetowych korzysta z jakiejś formy śledzenia, często w celu uzyskania wglądu w zachowanie i preferencje użytkowników. Dane te mogą być niezwykle szczegółowe, a zatem są niezwykle cenne dla korporacji, rządów i złodziei własności intelektualnej. Naruszenia danych i wycieki są powszechne, a deanonimizacja aktywności użytkowników w sieci jest często trywialnym zadaniem.
Istnieją dwie podstawowe metody śledzenia: stanowe (oparte na plikach cookie) i bezstanowe (oparte na odciskach palców). Pliki cookie to małe fragmenty informacji, przechowywane w przeglądarce z unikalnym identyfikatorem, który służy do identyfikacji użytkownika. Odcisk palca przeglądarki to bardzo dokładny sposób identyfikacji i śledzenia użytkowników, gdziekolwiek są online. Zebrane informacje są dość obszerne i często obejmują szczegóły przeglądarki, system operacyjny, rozdzielczość ekranu, obsługiwane czcionki, wtyczki, strefę czasową, preferencje językowe i czcionkowe, a nawet konfiguracje sprzętowe.
W tej sekcji opisano kroki, które możesz podjąć, aby zwiększyć swoją ochronę przed zagrożeniami, ograniczyć śledzenie w sieci i poprawić prywatność.
ZAKRES
SZCZEGÓŁOWE DANE
POZIOM BEZPIECZEŃSTWA
Użyj silnego hasła
Jeśli Twoje hasło jest zbyt krótkie lub zawiera słowa ze słownika, miejsca lub nazwy, to może zostać łatwo złamane siłą lub odgadnięte przez kogoś. Najprostszym sposobem na stworzenie silnego hasła jest zrobienie go długim (12+ znaków) – rozważ użycie „frazy hasła”, składającej się z wielu słów. Alternatywnie, użyj generatora haseł, aby stworzyć długie, silne losowe hasło. Pobaw się z Security.org’s How Secure Is My Password?, aby dowiedzieć się, jak szybko można złamać popularne hasła. Przeczytaj więcej o tworzeniu silnych haseł: securityinabox.org
Nie używaj ponownie tych samych haseł
Jeśli ktoś miałby ponownie użyć hasła, a jedna strona, na której miał konto, uległaby wyciekowi, przestępca mógłby łatwo uzyskać nieautoryzowany dostęp do jego innych kont. Zwykle odbywa się to za pośrednictwem zautomatyzowanych żądań logowania na dużą skalę i nazywa się to Credential Stuffing. Niestety, jest to zbyt powszechne, ale łatwo się przed tym zabezpieczyć — używaj innego hasła do każdego ze swoich kont online
Użyj bezpiecznego menedżera haseł
Dla większości osób zapamiętanie setek silnych i unikalnych haseł będzie niemal niemożliwe. Menedżer haseł to aplikacja, która generuje, przechowuje i automatycznie wypełnia Twoje dane logowania. Wszystkie Twoje hasła będą szyfrowane za pomocą 1 hasła głównego (które musisz zapamiętać i powinno być bardzo silne). Większość menedżerów haseł ma rozszerzenia przeglądarki i aplikacje mobilne, więc niezależnie od tego, z jakiego urządzenia korzystasz, Twoje hasła mogą być automatycznie wypełniane. Dobrym wszechstronnym programem jest Bitwarden lub zobacz Zalecane menedżery haseł
Unikaj udostępniania haseł
Chociaż mogą zdarzyć się sytuacje, w których musisz udostępnić dostęp do konta innej osobie, generalnie powinieneś tego unikać, ponieważ ułatwia to przejęcie konta. Jeśli na przykład musisz udostępnić hasło, pracując w zespole z kontem współdzielonym, należy to zrobić za pomocą funkcji wbudowanych w menedżera haseł.
Włącz uwierzytelnianie dwuskładnikowe
2FA to sytuacja, w której musisz podać coś, co wiesz (hasło) i coś, co masz (np. kod w telefonie), aby się zalogować. Oznacza to, że jeśli ktoś uzyska Twoje hasło (np. poprzez phishing, malware lub naruszenie danych), nie będzie mógł zalogować się na Twoje konto. Łatwo jest zacząć, pobrać aplikację uwierzytelniającą na telefon, a następnie przejść do ustawień bezpieczeństwa konta i wykonać kroki, aby włączyć 2FA. Następnym razem, gdy zalogujesz się na nowym urządzeniu, zostaniesz poproszony o podanie kodu, który wyświetla się w aplikacji na telefonie (działa bez Internetu, a kod zwykle zmienia się co 30 sekund)
Przechowuj kody zapasowe w bezpiecznym miejscu
Po włączeniu uwierzytelniania wieloskładnikowego zazwyczaj otrzymasz kilka kodów, których możesz użyć, jeśli Twoja metoda 2FA zostanie zgubiona, uszkodzona lub będzie niedostępna. Przechowuj te kody w bezpiecznym miejscu, aby zapobiec ich utracie lub nieautoryzowanemu dostępowi. Powinieneś przechowywać je na papierze lub w bezpiecznym miejscu na dysku (np. w pamięci masowej offline lub w zaszyfrowanym pliku/dysku). Nie przechowuj ich w Menedżerze haseł jako źródeł i haseł 2FA i powinny być przechowywane osobno.
Zarejestruj się, aby otrzymywać aletry o naruszeniach
Po poważnym naruszeniu danych na stronie internetowej wyciekłe dane często trafiają do Internetu. Istnieje kilka stron internetowych, które gromadzą te wyciekłe rekordy i umożliwiają wyszukiwanie adresu e-mail w celu sprawdzenia, czy znajdujesz się na którejś z ich list. Firefox Monitor , Have I been pwned i DeHashed umożliwiają zapisanie się do monitorowania, w ramach którego otrzymasz powiadomienie, jeśli Twój adres e-mail pojawi się w nowych zestawach danych. Warto wiedzieć o tym jak najszybciej, aby móc zmienić hasła do kont, których to dotyczy. Have I been pwned ma również powiadomienia obejmujące całą domenę, dzięki czemu możesz otrzymywać alerty, jeśli pojawią się jakiekolwiek adresy e-mail w całej Twojej domenie.
Chroń swoje hasło / kod PIN
Podczas wpisywania hasła w miejscach publicznych upewnij się, że nie znajdujesz się w bezpośredniej linii widzenia kamery CCTV i że nikt nie może patrzeć przez twoje ramię. Zakryj hasło lub kod PIN podczas wpisywania i nie ujawniaj żadnych haseł w postaci zwykłego tekstu na ekranie.
Okresowo aktualizuj hasła krytyczne
Wycieki i naruszenia baz danych są powszechne i prawdopodobnie kilka Twoich haseł jest już gdzieś w sieci. Okazjonalna aktualizacja haseł kont o znaczeniu krytycznym dla bezpieczeństwa może pomóc złagodzić ten problem. Jednak pod warunkiem, że wszystkie Twoje hasła są długie, silne i unikalne, nie ma potrzeby robić tego zbyt często — raz w roku powinno wystarczyć. Wymuszanie obowiązkowych zmian haseł w organizacjach nie jest już zalecane , ponieważ zachęca to współpracowników do wybierania słabszych haseł.
Nie zapisuj swojego hasła w przeglądarkach
Większość nowoczesnych przeglądarek oferuje zapisywanie danych uwierzytelniających podczas logowania się do witryny. Nie zezwalaj na to, ponieważ nie zawsze są one szyfrowane, co może umożliwić komuś dostęp do Twoich kont. Zamiast tego użyj dedykowanego menedżera haseł do przechowywania (i automatycznego uzupełniania) haseł.
Unikaj logowania się na urządzeniu innej osoby
Unikaj logowania się na komputerach innych osób, ponieważ nie możesz mieć pewności, że ich system jest czysty. Zachowaj szczególną ostrożność w przypadku komputerów publicznych, ponieważ złośliwe oprogramowanie i śledzenie są tu bardziej powszechne. Korzystanie z urządzenia innej osoby jest szczególnie niebezpieczne w przypadku kont krytycznych, takich jak bankowość internetowa. Podczas korzystania z komputera innej osoby upewnij się, że jesteś w sesji prywatnej/incognito (użyj Ctrl+Shift+N/ Cmd+Shift+N). Spowoduje to, że przeglądarka nie będzie zapisywać Twoich danych uwierzytelniających, plików cookie i historii przeglądania.
Unikaj wskazówek dotyczących haseł
Niektóre witryny pozwalają na ustawienie wskazówek dotyczących hasła. Często bardzo łatwo jest odgadnąć odpowiedzi. W przypadkach, gdy wskazówki dotyczące hasła są obowiązkowe, użyj losowych odpowiedzi i zapisz je w menedżerze haseł ( Name of the first school: 6D-02-8B-!a-E8-8F-81)
Nigdy nie odpowiadaj szczerze na pytania dotyczące bezpieczeństwa w Internecie
Jeśli strona zadaje pytania bezpieczeństwa (takie jak miejsce urodzenia, nazwisko panieńskie matki lub pierwszy samochód itp.), nie udzielaj prawdziwych odpowiedzi. Dla hakerów znalezienie tych informacji online lub za pomocą inżynierii społecznej jest trywialnym zadaniem. Zamiast tego stwórz fikcyjną odpowiedź i przechowuj ją w swoim menedżerze haseł. Używanie prawdziwych słów jest lepsze niż losowe znaki, wyjaśniono tutaj
Nie używaj 4-cyfrowego kodu PIN
Nie używaj krótkiego kodu PIN, aby uzyskać dostęp do smartfona lub komputera. Zamiast tego użyj hasła tekstowego lub znacznie dłuższego kodu PIN. Hasła numeryczne są łatwe do złamania (4-cyfrowy kod PIN ma 10 000 kombinacji, w porównaniu do 7,4 miliona dla 4-znakowego kodu alfanumerycznego)
Unikaj używania SMS-ów do 2FA
Włączając uwierzytelnianie wieloskładnikowe, wybierz kody oparte na aplikacji lub token sprzętowy, jeśli są obsługiwane. SMS jest podatny na szereg typowych zagrożeń, takich jak podmiana karty SIM i przechwytywanie . Nie ma również gwarancji, jak bezpiecznie będzie przechowywany Twój numer telefonu ani do czego innego będzie używany. Z praktycznego punktu widzenia SMS będzie działać tylko wtedy, gdy masz sygnał i może być wolny. Jeśli strona internetowa lub usługa wymaga użycia numeru SMS do odzyskiwania, rozważ zakup drugiego numeru telefonu przedpłaconego, używanego tylko do odzyskiwania konta w takich przypadkach.
Unikaj odblokowania twarzą
Większość telefonów i laptopów oferuje funkcję uwierzytelniania za pomocą rozpoznawania twarzy, wykorzystując kamerę do porównania migawki Twojej twarzy z zapisanym hashem. Może to być bardzo wygodne, ale istnieje wiele sposobów, aby ją oszukać i uzyskać dostęp do urządzenia, za pomocą zdjęć cyfrowych i rekonstrukcji z nagrań CCTV. W przeciwieństwie do Twojego hasła – w Internecie prawdopodobnie znajdują się zdjęcia Twojej twarzy i filmy nagrane przez kamery monitorujące
Uważaj na keyloggery
Sprzętowy keylogger to fizyczne urządzenie umieszczone między klawiaturą a portem USB, które przechwytuje wszystkie naciśnięcia klawiszy, a czasami przekazuje dane do zdalnego serwera. Daje hakerowi dostęp do wszystkiego, co jest wpisywane, w tym haseł. Najlepszym sposobem na zachowanie ochrony jest po prostu sprawdzenie połączenia USB po pozostawieniu komputera bez nadzoru. Istnieje również możliwość umieszczenia keyloggerów wewnątrz obudowy klawiatury, więc poszukaj wszelkich oznak, że obudowa została naruszona, i rozważ zabranie własnej klawiatury do pracy. Dane wpisywane na wirtualnej klawiaturze, wklejane ze schowka lub automatycznie wypełniane przez menedżera haseł nie mogą zostać przechwycone przez sprzętowy keylogger.
Rozważ token sprzętowy
Klucz bezpieczeństwa U2F/FIDO2 to urządzenie USB (lub NFC), które wkładasz podczas logowania do usługi online, aby zweryfikować swoją tożsamość, zamiast wpisywać OTP z uwierzytelniacza. SoloKey i NitroKey to przykłady takich kluczy. Przynoszą one ze sobą kilka korzyści bezpieczeństwa, ponieważ przeglądarka komunikuje się bezpośrednio z urządzeniem i nie można jej oszukać co do tego, który host żąda uwierzytelnienia, ponieważ sprawdzany jest certyfikat TLS. Ten post jest dobrym wyjaśnieniem bezpieczeństwa korzystania z tokenów FIDO U2F. Oczywiście ważne jest, aby przechowywać klucz fizyczny w bezpiecznym miejscu lub mieć go przy sobie. Niektóre konta online umożliwiają włączenie kilku metod 2FA
Rozważ unikalne nazwy użytkowników
Posiadanie różnych haseł dla każdego konta to dobry pierwszy krok, ale jeśli używasz również unikalnej nazwy użytkownika, adresu e-mail lub numeru telefonu do logowania, będzie znacznie trudniej dla każdego, kto będzie próbował uzyskać nieautoryzowany dostęp. Najprostszą metodą dla wielu adresów e-mail jest używanie automatycznie generowanych aliasów do anonimowego przekazywania poczty. To tutaj [cokolwiek]@twojadomena.com trafi do Twojej skrzynki odbiorczej, umożliwiając Ci użycie innego adresu e-mail dla każdego konta (zobacz Dostawcy aliasów poczty ). Nazwy użytkowników są łatwiejsze, ponieważ możesz użyć swojego menedżera haseł do ich generowania, przechowywania i automatycznego wypełniania. Wirtualne numery telefonów można generować za pośrednictwem swojego dostawcy VOIP
Przydatne Linki
Zalecane oprogramowanie
