Береги пароль смолоду Статьи редакции

Представители правительства и интернет-компаний о безопасности аккаунтов в соцсетях

14 августа весь день бурлили обсуждения в соцсетях о взломе аккаунта премьер-министра Дмитрия Медведева в Твиттере, а затем о публикации якобы его почтовой переписки. TJournal обратился к представителям правительства и интернет-компаний, чтобы узнать их мнение по ситуации и рекомендации по обеспечению безопасности своих аккаунтов в социальных сетях и интернет-сервисах.

Пресс-служба правительства РФ

Доступ к аккаунту был восстановлен, администрация твиттера оказала все необходимые консультации, за что им спасибо. Меры безопасности усилены. К сожалению, как показывает мировая практика, никто не застрахован от взломов — ни политики, ни просто граждане, ни авторитетные средства массовой информации.

Дмитрий Песков, пресс-секретарь президента РФ («Эхо Москвы»)

Очевидно просто, что это хулиганская выходка хакеров. Она еще раз подтверждает необходимость постоянного соблюдения необходимого уровня безопасности. Информационной безопасности, цифровой безопасности и т. д.

К сожалению, все социальные сети и т.д. весьма уязвимы, с точки зрения безопасности. Конечно, когда речь идет об источниках уровня власти, руководителей государства, обеспечение безопасности ставят во главу угла.

Алексей Шелестенко, российский представитель Twitter

Подбирайте сложные пароли. Длинный пароль из слов лучше короткого запутанного (буквы-цифры-символы). При вводе пароля убедитесь, что вы находитесь именно на twitter.com, а не на фишинговом сайте.

Не храните пароль в легкодоступном месте (на бумажке, в почте) и помните, что ввод пароля при желании можно подсмотреть через плечо или через камеру наблюдения. Подключите двухфакторную авторизацию для входа.

Не авторизуйте неизвестные сомнительные приложения — они не украдут пароль, но могут слать с вашего аккаунта спам. Иногда проверяйте подключённые приложения и отключайте сомнительные и те, которыми не пользуетесь.

Доступ к аккаунту часто получают через взломанную электронную почту. При возможности привяжите аккаунт к своей почте на домене организации/компании — её реже взламывают, а восстановить проще. При взломе нужно восстановить доступ к почте (если она взломана) через механизмы сервиса, а также оставить заявку на восстановление доступа к твиттер-аккаунту на support.twitter.com/forms. Мы недавно перевели часть содержимого центра поддержки на русский язык, а также запустили аккаунт @podderzhka.

Альберт Усманов, евангелист «ВКонтакте», бывший глава отдела SMM в РИА Новости

Если вы работаете в компании, за которой следят тысячи человек в социальных сетях, вам необходимо разработать и внедрить требования к безопасности корпоративных и личных аккаунтов. Помимо обучения компьютерной грамотности сотрудников компании и правилам безопасности личных и корпоративных аккаунтов в социальных сетях, вам потребуется заранее разработать механизмы работы при нештатных ситуациях.

Регламент работы при нештатных ситуациях должен содержать информацию: «Что делать, если аккаунт был взломан?», «К кому и как необходимо обратиться, чтобы восстановить доступ?», «Как проинформировать пользователей о взломанном аккаунте?», «Какие данные необходимо собрать, чтобы обратиться в прокуратуру?» и так далее. Например, если корпоративный аккаунт в Twitter был взломан, вы публикуете на главной странице сайта сообщение «Доступ к аккаунту в Твиттере утерян» и даёте комментарии в СМИ по шаблону, а не бегаете и думаете, что вам делать. Заранее разберитесь с тем, как проходит процедура возврата аккаунта в случае, если его взломали или пароль стал известен широкому кругу людей.

Регулярно мониторьте то, что публикуется в ваших аккаунтах, а не ждите, пока на проблему обратят внимание сами пользователи. В РИА Новости у нас было сразу несколько человек в один момент времени, следящих за тем, что появляется на страницах в социальных сетях при помощи стандартных инструментов и специальных табло. Так можно оперативно отследить, если ситуация выйдет из-под контроля, и принять соответствующие меры с минимальными потерями.

1. Не регистрируйте аккаунты СМИ и персон на личные адреса электронной почты. Создайте отдельный корпоративный e-mail с ограниченным доступом.

2. Приобретите корпоративную SIM-карту и прикрепите её к аккаунту. Не используйте SIM-карту публично.

3. Включите двухэтапную аутентификацию.

4. Установите пароль на аккаунт не менее 13 символов: в нём должны быть случайные буквы, цифры разного регистра. Меняйте пароль не реже одного раза в три месяца.

5. Максимально ограничьте количество людей, которые могут использовать пароль. Не храните пароли в открытом доступе.

6. Не подключайте к вашему аккаунту в Twitter сомнительные приложения. Удаляйте приложения, которыми давно не пользовались.

7. При изменениях в штатном расписании незамедлительно меняйте пароль от учетной записи и сбрасывайте токены приложений для постинга твитов.

Александр Варской, хакер и специалист по информационной безопасности (РСН)

В одной из социальных сетей у Дмитрия Медведева года три назад был пароль — сорок звёздочек, это ни для кого не секрет. Сама модель сетевого поведения Медведева была свободная, он охотно регистрировался на чужих ресурсах. Пароль вряд ли могли добыть с помощью фишинга, скорее всего, это засвеченный пароль на одном из сервисов.

Георгий Лобушкин, пресс-секретарь «ВКонтакте»

Взлом аккаунтов в соцсетях в последнее время стал эпохальной проблемой. Для кого-то страницы являются основным средством коммуникации, для кого-то собственным рупором или СМИ, а иногда и серьёзным бизнесом. Совсем недавно «ВКонтакте» сделал значительный в шаг для усиления защиты профилей от несанкционированного вмешательства: мы категорически рекомендуем всем пользователям, для кого безопасность личного аккаунта имеет принципиальное значение, подключить в настройках двухфакторную аутентификацию — это делает страницу практически неуязвимой для злоумышленников.

Анна Артамонова, вице-президент Mail.Ru Group

Часто говорят, что взломать можно любой пароль, однако здесь важно помнить о следующем моменте. Атаки на пользовательские данные чаще всего бывают массовыми. То есть злоумышленники пытаются взломать не какой-то конкретный аккаунт (хотя, конечно, бывает и такое), а просто как можно больше аккаунтов.

Во-первых, к почтовому аккаунту надо обязательно привязать мобильный телефон. Для восстановления пароля он гораздо безопаснее, чем секретное слово, которое теоретически можно узнать или подобрать, или другой ящик, который можно взломать. Кроме того, нужно помнить, что ответ на секретный вопрос — это по сути еще один пароль, поэтому требования к нему такие же, как и к обычному паролю. Наконец, следует постоянно держать на компьютере включённый антивирус и не запрещать ему обновления, поскольку увести пароль от электронной почты способен практически любой троянец.

Системы безопасности сервисов постоянно совершенствуются, чтобы адекватно противостоять кибер-атакам, которые становятся все более частыми и изощренными. Так, например, шифрование трафика — это уже практически must-have для большинства уважающих себя интернет-сервисов, особенно учитывая, какую популярность сегодня приобрели мобильные сети, где перехватить трафик особенно легко. Буквально сегодня мы первыми из крупных российских почтовых сервисов включили защищенный протокол https на главной странице портала (раньше он работал только в почте). Идет постоянное улучшение систем так называемого антибрутфорса (системы автоматического подбора пароля к аккаунту). Помимо этого, мы используем HTTP only cookie, Secure Cookie и разделение пользовательских сессий при доступе к различным проектам единого информационного портала Mail.Ru. Кроме того, у нас есть целый ряд «фич», о которых мы не хотим рассказывать публично, чтобы не облегчать жизнь злоумышленникам.

Этой весной мы решили устроить нашим сервисам проверку на прочность и запустили программу поиска уязвимостей. Любой участник, нашедший проблему в безопасности определенных сервисов, получает вознаграждение, размер которого зависит от сложности и ценности выявленного бага. Такие программы – общемировая практика, их проводят, например, Facebook, Microsoft, Google и многие другие крупные игроки. Мы начали с конкурса продолжительностью в месяц, а сейчас трансформировали его в постоянно действующую программу. Причем, если в рамках конкурса верхний порог награды составлял 5 тысяч долларов, то в рамках постоянной программы он поднялся до 10 тысяч. Это в принципе свидетельствует о том, что мы чувствуем себя довольно уверенно.

Пресс-служба «Яндекса»

Безопасность в интернете — это ответственность не только сервиса, но и пользователя. Задача сервиса — обеспечить пользователю возможность обезопасить свою учетную запись от взлома. Например, дать возможность выбрать стойкий пароль, поддерживать работу по защищенным протоколам, развивать собственную инфраструктуру и устанавливать вовремя разные обновления безопасности.

Но и пользователю, при этом, необходимо соблюдать «гигиенический минимум»: выбирать стойкие пароли, никому их не передавать, не использовать одинаковые пароли для разных сервисов, содержать свой компьютер «в чистоте», не посещать сайты сомнительного содержания, с которых могут распространяться вредоносные программы. Ведь если пользователь будет халатно относиться к безопасности своего компьютера, то никакие меры со стороны сервиса его не спасут. По статистике, подавляющее число взломов связано как раз не с уязвимостями сервисов, а с действием «человеческого фактора».

В «Яндексе» мы стараемся соблюдать принцип, что безопасность — это комплексная вещь. Помимо базовых вещей, таких как работа по защищенному протоколу в важных сервисах типа Почты или рекомендации по выбору стойкого пароля при регистрации, мы активно используем свои технологии для разработки новых механизмов обеспечения безопасности учетных записей пользователей. Но мы считаем важным регулярно напоминать пользователям о том, что забота о безопасности лежит и в их руках тоже — с конкретными рекомендациями о том, как защитить свой аккаунт на «Яндексе».

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0441\u0442\u0430\u0442\u044c\u044f","\u0441\u043e\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435_\u0441\u0435\u0442\u0438","\u0440\u0438\u0430_\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e_\u0440\u0444","\u043a\u0430\u043a_\u043e\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u0438\u0442\u044c_\u0441\u0432\u043e\u0438_\u0430\u043a\u043a\u0430\u0443\u043d\u0442\u044b_\u0432_\u0441\u043e\u0446\u0441\u0435\u0442\u044f\u0445","\u0434\u043c\u0438\u0442\u0440\u0438\u0439_\u043f\u0435\u0441\u043a\u043e\u0432","\u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f_\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f_\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f","\u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0430\u044f_\u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044f","\u0433\u0435\u043e\u0440\u0433\u0438\u0439_\u043b\u043e\u0431\u0443\u0448\u043a\u0438\u043d","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c_\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c_twitter","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","\u0430\u043d\u043d\u0430_\u0430\u0440\u0442\u0430\u043c\u043e\u043d\u043e\u0432\u0430","\u0430\u043b\u044c\u0431\u0435\u0440\u0442_\u0443\u0441\u043c\u0430\u043d\u043e\u0432","\u0430\u043b\u0435\u043a\u0441\u0435\u0439_\u0448\u0435\u043b\u0435\u0441\u0442\u0435\u043d\u043a\u043e","\u0430\u043b\u0435\u043a\u0441\u0430\u043d\u0434\u0440_\u0432\u0430\u0440\u0441\u043a\u043e\u0439","mail_ru_group","https_\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b"], "comments": 37, "likes": 14, "favorites": 0, "is_advertisement": false, "subsite_label": "internet", "id": 52011, "is_wide": true, "is_ugc": true, "date": "Thu, 14 Aug 2014 21:34:56 +0400", "is_special": false }
0
37 комментариев
Популярные
По порядку
Написать комментарий...

Средний магнит

10

время вспомнить советы от МГИМО http://tjournal.ru/paper/embassys-twitter

Ответить

Свежий рак

6

Комментарий удален по просьбе пользователя

Ответить

Развитый лолипоп

DELETED
2

Десятитриллиардный, Вы хотели сказать?

Ответить

Всероссийский украинец

Варя
0

поздравляшки, слово "десятитриллиардный" гуглит только эту статью

Ответить

Развитый лолипоп

Влад
0

А Вы тендер искали?)

Ответить

Повседневный Илья

DELETED
1

PutinPa$$w0rd

Ответить

Свежий рак

Шизофреник
9

Комментарий удален по просьбе пользователя

Ответить

Индивидуальный парфюмер

DELETED
1

вроде недавно ж выяснили что по английски надо через К "чтобы подчеркнуть и выделить "Х "и не путать с "г"- ptnKhlo хотя конечно ptn он и с К hlo и без К hlo

Ответить

Свежий рак

Старр
2

Комментарий удален по просьбе пользователя

Ответить

Простой супер_стар

1

Прописные истины. Все почитают и такие: "Да, надо заботиться о безопасности" и пойдут вбивать qwerty123 на Рутрекере.
Должны быть другие принципы и механизмы - тот же Touch ID от Apple. Мой пароль для Apple ID сложный как скотина, сенсор выручает. Обламывает только его отсутствие на iPad и Mac. Но, надеюсь, и там скоро будет.

Ответить

Напряженный коктейль

Wylsacom
2

Я сто лет пользуюсь SuperGenPass — генерирует пароль на основе домена сайта и мастер-пароля. Очень удобно, не нужно запоминать кучу паролей, достаточно одного. Удобно еще тем, что не нужно ничего бекапить, ведь пароли нигде не хранятся. Аналогов SuperGenPass достаточно много, но именно SuperGenPass есть как standalone-приложение, как браузерный плагин, как буркмалет и как андроид-приложение, что достаточно удобно.

Ответить

Целесообразный калькулятор

ValdikSS
10

Генерируешь сложный пароль, а на сайте ограничение 8 символов максимум, без спецсимволов.

Ответить

Комментарий удален

Свежий рак

ValdikSS
1

Комментарий удален по просьбе пользователя

Ответить

Прежний татарин

DELETED
0

У KeePass слишком муторно настроить синхронизацию между устройствами

Зачастую это приходиться делать в ручную.

Ответить

Геологический украинец

ValdikSS
1

ValdikSS,
сгенерированный пароль не имеет большую сложность, чем мастер-пароль. Собственно, узнав мастер-пароль не составит труда "взломать" все остальные пароли.

Или я не прав?

Ответить

Напряженный

Алексей
1

Для этого нужно знать алгоритм, как минимум.

Ответить

Геологический

Алексей
0

Приведу пример.
Злоумышленник введет мастер-пароль "qwerty" и получит пароль вида "i8e112y9Fz" на целевом домене. И все, кто имел данный простой мастер-пароль будут уязвимы.

Ответить

Шахматный меч

Wylsacom
0

про пароль согласен,но Touch ID взломать не так уж и сложно,что не раз доказывали народные умельцы

Ответить

Комментарий удален

Отдельный пистолет

2

Двухфакторная верификация спасет мир.

Ответить

Комментарий удален

Жидкий огонь

Vadim
1

Надо двухфакторную авторизацию не по СМС, а по TOTP-токенам.

Ответить

Напряженный

Влад
1

Безусловно. Люблю сайты, где можно использовать OTP/Yubikey, хоть и их критически мало.

Ответить

Элементарный бокал

Arturs
0

Не спасёт. Всегда есть слабое звено (и это юзер, ага).

Ответить

Простой супер_стар

Arturs
0

Или так.

Ответить

Должный коктейль

Arturs
0

Наивных(Закон от 1 Августа) пользователей не что не спасёт!

Ответить

Элементарный бокал

habrahabrHabr
3

* _(

* №97-ФЗ от 5 мая 2014

* ничто

Ответить

Ручной татарин

2

где комментарий ведущего аналитика?!

Ответить

Согласный Кирилл

2
Ответить

Комментарий удален

Свежий рак

Cyril
0

Комментарий удален по просьбе пользователя

Ответить

Комментарий удален

Свежий рак

Vadim
1

Комментарий удален по просьбе пользователя

Ответить

Многие шар

DELETED
1

Побрутфорси мне тут 44 бита энтропии.

Ответить

Согласный Кирилл

DELETED
0

Да я так, к слову.

Ответить

Валютный парфюмер

1

Храните пароли в недоступном для детей месть.

Ответить

Честной алмаз

1

Комментарий удален по просьбе пользователя

Ответить

Могучий калькулятор

0

Пресс-служба правительства РФ: «Это мировая практика».

Океей

Ответить

Иностранный колос

0

Мой аккаунт на Твиттере взломали давным давно, не имею понятия как, теперь там уже несколько лет чередуются спам и какие-то афоризмы (https://twitter.com/KikkerRus).
Восстановление пароля не работает, вводил там адрес почты, на которую регистрировался (точно та почта), Твиттер посылает меня, как бы с этой почты никто не регистрировался, а техподдержка отказывается что-либо делать.
Настолько меня огорчают повести о "механизмах сервиса" Алексея Шелестенко. :/

Ответить
Обсуждаемое
Новости
Алексей Навальный вернулся в Россию
Самолёт приземлился в Шереметьево, а не во Внуково.
Новости
«Его в Германии задержали?»: реакция Пескова на задержание Навального после возвращения в Россию
А у президента отпуск.
Разборы
Имеет ли право оппозиция врать?
Доначу, смотрю, участвую в митингах вместе с ФБК. Я слежу за их деятельностью и всячески пытаюсь их поддерживать, НО
Популярное за три дня
Новости
Алексея Навального задержали после возвращения в Россию
На паспортном контроле в Шереметьево.
Twitter
Разборы
Имеет ли право оппозиция врать?
Доначу, смотрю, участвую в митингах вместе с ФБК. Я слежу за их деятельностью и всячески пытаюсь их поддерживать, НО

Комментарии

null