Береги пароль смолоду Статьи редакции

Представители правительства и интернет-компаний о безопасности аккаунтов в соцсетях

14 августа весь день бурлили обсуждения в соцсетях о взломе аккаунта премьер-министра Дмитрия Медведева в Твиттере, а затем о публикации якобы его почтовой переписки. TJournal обратился к представителям правительства и интернет-компаний, чтобы узнать их мнение по ситуации и рекомендации по обеспечению безопасности своих аккаунтов в социальных сетях и интернет-сервисах.

Пресс-служба правительства РФ

Доступ к аккаунту был восстановлен, администрация твиттера оказала все необходимые консультации, за что им спасибо. Меры безопасности усилены. К сожалению, как показывает мировая практика, никто не застрахован от взломов — ни политики, ни просто граждане, ни авторитетные средства массовой информации.

Дмитрий Песков, пресс-секретарь президента РФ («Эхо Москвы»)

Очевидно просто, что это хулиганская выходка хакеров. Она еще раз подтверждает необходимость постоянного соблюдения необходимого уровня безопасности. Информационной безопасности, цифровой безопасности и т. д.

К сожалению, все социальные сети и т.д. весьма уязвимы, с точки зрения безопасности. Конечно, когда речь идет об источниках уровня власти, руководителей государства, обеспечение безопасности ставят во главу угла.

Алексей Шелестенко, российский представитель Twitter

Подбирайте сложные пароли. Длинный пароль из слов лучше короткого запутанного (буквы-цифры-символы). При вводе пароля убедитесь, что вы находитесь именно на twitter.com, а не на фишинговом сайте.

Не храните пароль в легкодоступном месте (на бумажке, в почте) и помните, что ввод пароля при желании можно подсмотреть через плечо или через камеру наблюдения. Подключите двухфакторную авторизацию для входа.

Не авторизуйте неизвестные сомнительные приложения — они не украдут пароль, но могут слать с вашего аккаунта спам. Иногда проверяйте подключённые приложения и отключайте сомнительные и те, которыми не пользуетесь.

Доступ к аккаунту часто получают через взломанную электронную почту. При возможности привяжите аккаунт к своей почте на домене организации/компании — её реже взламывают, а восстановить проще. При взломе нужно восстановить доступ к почте (если она взломана) через механизмы сервиса, а также оставить заявку на восстановление доступа к твиттер-аккаунту на support.twitter.com/forms. Мы недавно перевели часть содержимого центра поддержки на русский язык, а также запустили аккаунт @podderzhka.

Альберт Усманов, евангелист «ВКонтакте», бывший глава отдела SMM в РИА Новости

Если вы работаете в компании, за которой следят тысячи человек в социальных сетях, вам необходимо разработать и внедрить требования к безопасности корпоративных и личных аккаунтов. Помимо обучения компьютерной грамотности сотрудников компании и правилам безопасности личных и корпоративных аккаунтов в социальных сетях, вам потребуется заранее разработать механизмы работы при нештатных ситуациях.

Регламент работы при нештатных ситуациях должен содержать информацию: «Что делать, если аккаунт был взломан?», «К кому и как необходимо обратиться, чтобы восстановить доступ?», «Как проинформировать пользователей о взломанном аккаунте?», «Какие данные необходимо собрать, чтобы обратиться в прокуратуру?» и так далее. Например, если корпоративный аккаунт в Twitter был взломан, вы публикуете на главной странице сайта сообщение «Доступ к аккаунту в Твиттере утерян» и даёте комментарии в СМИ по шаблону, а не бегаете и думаете, что вам делать. Заранее разберитесь с тем, как проходит процедура возврата аккаунта в случае, если его взломали или пароль стал известен широкому кругу людей.

Регулярно мониторьте то, что публикуется в ваших аккаунтах, а не ждите, пока на проблему обратят внимание сами пользователи. В РИА Новости у нас было сразу несколько человек в один момент времени, следящих за тем, что появляется на страницах в социальных сетях при помощи стандартных инструментов и специальных табло. Так можно оперативно отследить, если ситуация выйдет из-под контроля, и принять соответствующие меры с минимальными потерями.

1. Не регистрируйте аккаунты СМИ и персон на личные адреса электронной почты. Создайте отдельный корпоративный e-mail с ограниченным доступом.

2. Приобретите корпоративную SIM-карту и прикрепите её к аккаунту. Не используйте SIM-карту публично.

3. Включите двухэтапную аутентификацию.

4. Установите пароль на аккаунт не менее 13 символов: в нём должны быть случайные буквы, цифры разного регистра. Меняйте пароль не реже одного раза в три месяца.

5. Максимально ограничьте количество людей, которые могут использовать пароль. Не храните пароли в открытом доступе.

6. Не подключайте к вашему аккаунту в Twitter сомнительные приложения. Удаляйте приложения, которыми давно не пользовались.

7. При изменениях в штатном расписании незамедлительно меняйте пароль от учетной записи и сбрасывайте токены приложений для постинга твитов.

Александр Варской, хакер и специалист по информационной безопасности (РСН)

В одной из социальных сетей у Дмитрия Медведева года три назад был пароль — сорок звёздочек, это ни для кого не секрет. Сама модель сетевого поведения Медведева была свободная, он охотно регистрировался на чужих ресурсах. Пароль вряд ли могли добыть с помощью фишинга, скорее всего, это засвеченный пароль на одном из сервисов.

Георгий Лобушкин, пресс-секретарь «ВКонтакте»

Взлом аккаунтов в соцсетях в последнее время стал эпохальной проблемой. Для кого-то страницы являются основным средством коммуникации, для кого-то собственным рупором или СМИ, а иногда и серьёзным бизнесом. Совсем недавно «ВКонтакте» сделал значительный в шаг для усиления защиты профилей от несанкционированного вмешательства: мы категорически рекомендуем всем пользователям, для кого безопасность личного аккаунта имеет принципиальное значение, подключить в настройках двухфакторную аутентификацию — это делает страницу практически неуязвимой для злоумышленников.

Анна Артамонова, вице-президент Mail.Ru Group

Часто говорят, что взломать можно любой пароль, однако здесь важно помнить о следующем моменте. Атаки на пользовательские данные чаще всего бывают массовыми. То есть злоумышленники пытаются взломать не какой-то конкретный аккаунт (хотя, конечно, бывает и такое), а просто как можно больше аккаунтов.

Во-первых, к почтовому аккаунту надо обязательно привязать мобильный телефон. Для восстановления пароля он гораздо безопаснее, чем секретное слово, которое теоретически можно узнать или подобрать, или другой ящик, который можно взломать. Кроме того, нужно помнить, что ответ на секретный вопрос — это по сути еще один пароль, поэтому требования к нему такие же, как и к обычному паролю. Наконец, следует постоянно держать на компьютере включённый антивирус и не запрещать ему обновления, поскольку увести пароль от электронной почты способен практически любой троянец.

Системы безопасности сервисов постоянно совершенствуются, чтобы адекватно противостоять кибер-атакам, которые становятся все более частыми и изощренными. Так, например, шифрование трафика — это уже практически must-have для большинства уважающих себя интернет-сервисов, особенно учитывая, какую популярность сегодня приобрели мобильные сети, где перехватить трафик особенно легко. Буквально сегодня мы первыми из крупных российских почтовых сервисов включили защищенный протокол https на главной странице портала (раньше он работал только в почте). Идет постоянное улучшение систем так называемого антибрутфорса (системы автоматического подбора пароля к аккаунту). Помимо этого, мы используем HTTP only cookie, Secure Cookie и разделение пользовательских сессий при доступе к различным проектам единого информационного портала Mail.Ru. Кроме того, у нас есть целый ряд «фич», о которых мы не хотим рассказывать публично, чтобы не облегчать жизнь злоумышленникам.

Этой весной мы решили устроить нашим сервисам проверку на прочность и запустили программу поиска уязвимостей. Любой участник, нашедший проблему в безопасности определенных сервисов, получает вознаграждение, размер которого зависит от сложности и ценности выявленного бага. Такие программы – общемировая практика, их проводят, например, Facebook, Microsoft, Google и многие другие крупные игроки. Мы начали с конкурса продолжительностью в месяц, а сейчас трансформировали его в постоянно действующую программу. Причем, если в рамках конкурса верхний порог награды составлял 5 тысяч долларов, то в рамках постоянной программы он поднялся до 10 тысяч. Это в принципе свидетельствует о том, что мы чувствуем себя довольно уверенно.

Пресс-служба «Яндекса»

Безопасность в интернете — это ответственность не только сервиса, но и пользователя. Задача сервиса — обеспечить пользователю возможность обезопасить свою учетную запись от взлома. Например, дать возможность выбрать стойкий пароль, поддерживать работу по защищенным протоколам, развивать собственную инфраструктуру и устанавливать вовремя разные обновления безопасности.

Но и пользователю, при этом, необходимо соблюдать «гигиенический минимум»: выбирать стойкие пароли, никому их не передавать, не использовать одинаковые пароли для разных сервисов, содержать свой компьютер «в чистоте», не посещать сайты сомнительного содержания, с которых могут распространяться вредоносные программы. Ведь если пользователь будет халатно относиться к безопасности своего компьютера, то никакие меры со стороны сервиса его не спасут. По статистике, подавляющее число взломов связано как раз не с уязвимостями сервисов, а с действием «человеческого фактора».

В «Яндексе» мы стараемся соблюдать принцип, что безопасность — это комплексная вещь. Помимо базовых вещей, таких как работа по защищенному протоколу в важных сервисах типа Почты или рекомендации по выбору стойкого пароля при регистрации, мы активно используем свои технологии для разработки новых механизмов обеспечения безопасности учетных записей пользователей. Но мы считаем важным регулярно напоминать пользователям о том, что забота о безопасности лежит и в их руках тоже — с конкретными рекомендациями о том, как защитить свой аккаунт на «Яндексе».

0
35 комментариев
Популярные
По порядку
Написать комментарий...
Крошечный холод

время вспомнить советы от МГИМО http://tjournal.ru/paper/embassys-twitter

10
Крошечный холод

Комментарий удален по просьбе пользователя

6
Крошечный холод

Десятитриллиардный, Вы хотели сказать?

2
Крошечный холод

поздравляшки, слово "десятитриллиардный" гуглит только эту статью

0
Крошечный холод

А Вы тендер искали?)

0
Крошечный холод

PutinPa$$w0rd

1
Крошечный холод

Комментарий удален по просьбе пользователя

9
Крошечный холод

вроде недавно ж выяснили что по английски надо через К "чтобы подчеркнуть и выделить "Х "и не путать с "г"- ptnKhlo хотя конечно ptn он и с К hlo и без К hlo

1
Крошечный холод

Комментарий удален по просьбе пользователя

2
Крошечный холод

Прописные истины. Все почитают и такие: "Да, надо заботиться о безопасности" и пойдут вбивать qwerty123 на Рутрекере.
Должны быть другие принципы и механизмы - тот же Touch ID от Apple. Мой пароль для Apple ID сложный как скотина, сенсор выручает. Обламывает только его отсутствие на iPad и Mac. Но, надеюсь, и там скоро будет.

1
Крошечный холод

Я сто лет пользуюсь SuperGenPass — генерирует пароль на основе домена сайта и мастер-пароля. Очень удобно, не нужно запоминать кучу паролей, достаточно одного. Удобно еще тем, что не нужно ничего бекапить, ведь пароли нигде не хранятся. Аналогов SuperGenPass достаточно много, но именно SuperGenPass есть как standalone-приложение, как браузерный плагин, как буркмалет и как андроид-приложение, что достаточно удобно.

2
Крошечный холод

Генерируешь сложный пароль, а на сайте ограничение 8 символов максимум, без спецсимволов.

10

Комментарий удален

Крошечный холод

Комментарий удален по просьбе пользователя

1
Крошечный холод

У KeePass слишком муторно настроить синхронизацию между устройствами

Зачастую это приходиться делать в ручную.

0
Крошечный холод

ValdikSS,
сгенерированный пароль не имеет большую сложность, чем мастер-пароль. Собственно, узнав мастер-пароль не составит труда "взломать" все остальные пароли.

Или я не прав?

1
Крошечный холод

Для этого нужно знать алгоритм, как минимум.

1
Крошечный холод

Приведу пример.
Злоумышленник введет мастер-пароль "qwerty" и получит пароль вида "i8e112y9Fz" на целевом домене. И все, кто имел данный простой мастер-пароль будут уязвимы.

0
Крошечный холод

про пароль согласен,но Touch ID взломать не так уж и сложно,что не раз доказывали народные умельцы

0

Комментарий удален

Крошечный холод

Двухфакторная верификация спасет мир.

2

Комментарий удален

Крошечный холод

Надо двухфакторную авторизацию не по СМС, а по TOTP-токенам.

1
Крошечный холод

Безусловно. Люблю сайты, где можно использовать OTP/Yubikey, хоть и их критически мало.

1
Крошечный холод

Не спасёт. Всегда есть слабое звено (и это юзер, ага).

0
Крошечный холод

Или так.

0
Крошечный холод

Наивных(Закон от 1 Августа) пользователей не что не спасёт!

0
Крошечный холод

* _(

* №97-ФЗ от 5 мая 2014

* ничто

3
Крошечный холод

где комментарий ведущего аналитика?!

2
Крошечный холод
2

Комментарий удален

Крошечный холод

Комментарий удален по просьбе пользователя

0

Комментарий удален

Крошечный холод

Комментарий удален по просьбе пользователя

1
Крошечный холод

Комментарий удален по просьбе пользователя

1
Крошечный холод

Да я так, к слову.

0
Крошечный холод

Храните пароли в недоступном для детей месть.

1
Крошечный холод

Комментарий удален по просьбе пользователя

1
Крошечный холод

Пресс-служба правительства РФ: «Это мировая практика».

Океей

0
Крошечный холод

Мой аккаунт на Твиттере взломали давным давно, не имею понятия как, теперь там уже несколько лет чередуются спам и какие-то афоризмы (https://twitter.com/KikkerRus).
Восстановление пароля не работает, вводил там адрес почты, на которую регистрировался (точно та почта), Твиттер посылает меня, как бы с этой почты никто не регистрировался, а техподдержка отказывается что-либо делать.
Настолько меня огорчают повести о "механизмах сервиса" Алексея Шелестенко. :/

0
Читать все 35 комментариев
null