Береги пароль смолоду

Пресс-служба правительства РФ

Доступ к аккаунту был восстановлен, администрация твиттера оказала все необходимые консультации, за что им спасибо. Меры безопасности усилены. К сожалению, как показывает мировая практика, никто не застрахован от взломов — ни политики, ни просто граждане, ни авторитетные средства массовой информации.

Дмитрий Песков, пресс-секретарь президента РФ («Эхо Москвы»)

Очевидно просто, что это хулиганская выходка хакеров. Она еще раз подтверждает необходимость постоянного соблюдения необходимого уровня безопасности. Информационной безопасности, цифровой безопасности и т. д.

К сожалению, все социальные сети и т.д. весьма уязвимы, с точки зрения безопасности. Конечно, когда речь идет об источниках уровня власти, руководителей государства, обеспечение безопасности ставят во главу угла.

Алексей Шелестенко, российский представитель Twitter

Подбирайте сложные пароли. Длинный пароль из слов лучше короткого запутанного (буквы-цифры-символы). При вводе пароля убедитесь, что вы находитесь именно на twitter.com, а не на фишинговом сайте.

Не храните пароль в легкодоступном месте (на бумажке, в почте) и помните, что ввод пароля при желании можно подсмотреть через плечо или через камеру наблюдения. Подключите двухфакторную авторизацию для входа.

Не авторизуйте неизвестные сомнительные приложения — они не украдут пароль, но могут слать с вашего аккаунта спам. Иногда проверяйте подключённые приложения и отключайте сомнительные и те, которыми не пользуетесь.

Доступ к аккаунту часто получают через взломанную электронную почту. При возможности привяжите аккаунт к своей почте на домене организации/компании — её реже взламывают, а восстановить проще. При взломе нужно восстановить доступ к почте (если она взломана) через механизмы сервиса, а также оставить заявку на восстановление доступа к твиттер-аккаунту на support.twitter.com/forms. Мы недавно перевели часть содержимого центра поддержки на русский язык, а также запустили аккаунт @podderzhka.

Альберт Усманов, евангелист «ВКонтакте», бывший глава отдела SMM в РИА Новости

Если вы работаете в компании, за которой следят тысячи человек в социальных сетях, вам необходимо разработать и внедрить требования к безопасности корпоративных и личных аккаунтов. Помимо обучения компьютерной грамотности сотрудников компании и правилам безопасности личных и корпоративных аккаунтов в социальных сетях, вам потребуется заранее разработать механизмы работы при нештатных ситуациях.

Регламент работы при нештатных ситуациях должен содержать информацию: «Что делать, если аккаунт был взломан?», «К кому и как необходимо обратиться, чтобы восстановить доступ?», «Как проинформировать пользователей о взломанном аккаунте?», «Какие данные необходимо собрать, чтобы обратиться в прокуратуру?» и так далее. Например, если корпоративный аккаунт в Twitter был взломан, вы публикуете на главной странице сайта сообщение «Доступ к аккаунту в Твиттере утерян» и даёте комментарии в СМИ по шаблону, а не бегаете и думаете, что вам делать. Заранее разберитесь с тем, как проходит процедура возврата аккаунта в случае, если его взломали или пароль стал известен широкому кругу людей.

Регулярно мониторьте то, что публикуется в ваших аккаунтах, а не ждите, пока на проблему обратят внимание сами пользователи. В РИА Новости у нас было сразу несколько человек в один момент времени, следящих за тем, что появляется на страницах в социальных сетях при помощи стандартных инструментов и специальных табло. Так можно оперативно отследить, если ситуация выйдет из-под контроля, и принять соответствующие меры с минимальными потерями.

1. Не регистрируйте аккаунты СМИ и персон на личные адреса электронной почты. Создайте отдельный корпоративный e-mail с ограниченным доступом.

2. Приобретите корпоративную SIM-карту и прикрепите её к аккаунту. Не используйте SIM-карту публично.

3. Включите двухэтапную аутентификацию.

4. Установите пароль на аккаунт не менее 13 символов: в нём должны быть случайные буквы, цифры разного регистра. Меняйте пароль не реже одного раза в три месяца.

5. Максимально ограничьте количество людей, которые могут использовать пароль. Не храните пароли в открытом доступе.

6. Не подключайте к вашему аккаунту в Twitter сомнительные приложения. Удаляйте приложения, которыми давно не пользовались.

7. При изменениях в штатном расписании незамедлительно меняйте пароль от учетной записи и сбрасывайте токены приложений для постинга твитов.

Александр Варской, хакер и специалист по информационной безопасности (РСН)

В одной из социальных сетей у Дмитрия Медведева года три назад был пароль — сорок звёздочек, это ни для кого не секрет. Сама модель сетевого поведения Медведева была свободная, он охотно регистрировался на чужих ресурсах. Пароль вряд ли могли добыть с помощью фишинга, скорее всего, это засвеченный пароль на одном из сервисов.

Георгий Лобушкин, пресс-секретарь «ВКонтакте»

Взлом аккаунтов в соцсетях в последнее время стал эпохальной проблемой. Для кого-то страницы являются основным средством коммуникации, для кого-то собственным рупором или СМИ, а иногда и серьёзным бизнесом. Совсем недавно «ВКонтакте» сделал значительный в шаг для усиления защиты профилей от несанкционированного вмешательства: мы категорически рекомендуем всем пользователям, для кого безопасность личного аккаунта имеет принципиальное значение, подключить в настройках двухфакторную аутентификацию — это делает страницу практически неуязвимой для злоумышленников.

Анна Артамонова, вице-президент Mail.Ru Group

Часто говорят, что взломать можно любой пароль, однако здесь важно помнить о следующем моменте. Атаки на пользовательские данные чаще всего бывают массовыми. То есть злоумышленники пытаются взломать не какой-то конкретный аккаунт (хотя, конечно, бывает и такое), а просто как можно больше аккаунтов.

Во-первых, к почтовому аккаунту надо обязательно привязать мобильный телефон. Для восстановления пароля он гораздо безопаснее, чем секретное слово, которое теоретически можно узнать или подобрать, или другой ящик, который можно взломать. Кроме того, нужно помнить, что ответ на секретный вопрос — это по сути еще один пароль, поэтому требования к нему такие же, как и к обычному паролю. Наконец, следует постоянно держать на компьютере включённый антивирус и не запрещать ему обновления, поскольку увести пароль от электронной почты способен практически любой троянец.

Системы безопасности сервисов постоянно совершенствуются, чтобы адекватно противостоять кибер-атакам, которые становятся все более частыми и изощренными. Так, например, шифрование трафика — это уже практически must-have для большинства уважающих себя интернет-сервисов, особенно учитывая, какую популярность сегодня приобрели мобильные сети, где перехватить трафик особенно легко. Буквально сегодня мы первыми из крупных российских почтовых сервисов включили защищенный протокол https на главной странице портала (раньше он работал только в почте). Идет постоянное улучшение систем так называемого антибрутфорса (системы автоматического подбора пароля к аккаунту). Помимо этого, мы используем HTTP only cookie, Secure Cookie и разделение пользовательских сессий при доступе к различным проектам единого информационного портала Mail.Ru. Кроме того, у нас есть целый ряд «фич», о которых мы не хотим рассказывать публично, чтобы не облегчать жизнь злоумышленникам.

Этой весной мы решили устроить нашим сервисам проверку на прочность и запустили программу поиска уязвимостей. Любой участник, нашедший проблему в безопасности определенных сервисов, получает вознаграждение, размер которого зависит от сложности и ценности выявленного бага. Такие программы – общемировая практика, их проводят, например, Facebook, Microsoft, Google и многие другие крупные игроки. Мы начали с конкурса продолжительностью в месяц, а сейчас трансформировали его в постоянно действующую программу. Причем, если в рамках конкурса верхний порог награды составлял 5 тысяч долларов, то в рамках постоянной программы он поднялся до 10 тысяч. Это в принципе свидетельствует о том, что мы чувствуем себя довольно уверенно.

Пресс-служба «Яндекса»

Безопасность в интернете — это ответственность не только сервиса, но и пользователя. Задача сервиса — обеспечить пользователю возможность обезопасить свою учетную запись от взлома. Например, дать возможность выбрать стойкий пароль, поддерживать работу по защищенным протоколам, развивать собственную инфраструктуру и устанавливать вовремя разные обновления безопасности.

Но и пользователю, при этом, необходимо соблюдать «гигиенический минимум»: выбирать стойкие пароли, никому их не передавать, не использовать одинаковые пароли для разных сервисов, содержать свой компьютер «в чистоте», не посещать сайты сомнительного содержания, с которых могут распространяться вредоносные программы. Ведь если пользователь будет халатно относиться к безопасности своего компьютера, то никакие меры со стороны сервиса его не спасут. По статистике, подавляющее число взломов связано как раз не с уязвимостями сервисов, а с действием «человеческого фактора».

В «Яндексе» мы стараемся соблюдать принцип, что безопасность — это комплексная вещь. Помимо базовых вещей, таких как работа по защищенному протоколу в важных сервисах типа Почты или рекомендации по выбору стойкого пароля при регистрации, мы активно используем свои технологии для разработки новых механизмов обеспечения безопасности учетных записей пользователей. Но мы считаем важным регулярно напоминать пользователям о том, что забота о безопасности лежит и в их руках тоже — с конкретными рекомендациями о том, как защитить свой аккаунт на «Яндексе».