Как защитить от кражи ваши аккаунты на сайтах и в сервисах

SULHACK

Шалом, хакерята! Сегодня дядя Сулхак покажет вам как защитить себя от взломов!

Все активные пользователи сети имеют десятки важных и нужных учетных записей на разных сайтах.

Большинство из них защищены банальным паролем, который при этом совпадает с кодом доступа от ряда других ресурсов.

Если у вас один пароль на все учётки без дополнительной защиты, самое время исправить это и защитить личную информацию.


Как обезопасить любую учётку

SULHACK

Во-первых, проверьте пароль на повторения. Такая довольно полезная фишка появилась еще в iOS 12.

Перейдите по пути Настройки – Пароли и учетные записи – Пароли сайтов и программ. Авторизуйтесь при помощи Face ID или Touch ID и введите название сайта в окне поиска.

Если пароль будет неоригинальным (повторяться с другими сайтами и сервисами), iPhone подскажет это.

SULHACK

Во-вторых, настройте скрытие текста сообщений, чтобы их не смогли прочитать без разблокировки смартфона.

Перейдите в меню Настройки – Уведомления – Показ миниатюр и измените параметр на Если разблокировано или Никогда.

Если смартфон окажется в чужих руках, то злоумышленники не смогут получить приходящий по СМС или в уведомлении пароль для авторизации.

SULHACK

В-третьих, установите пароль на СИМ-карту.

Эта опция доступна по пути Настройки – Сотовые данные – SIM-PIN. Простой четырехзначный пароль не позволит мошенникам использовать сим-карту в другом телефоне для получения одноразового пароля по СМС.

Эти три простых шага позволят минимизировать риск потери доступа к своим учётным записям на сайтах и сервисах с двухфакторной аутентификацией.

Как еще усилить защиту

SULHACK

Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.

Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.

Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.

Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.

Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.

Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.


Какие приложения можно использовать для двухфакторной аутентификации

Если нужные вам сервисы работают с любыми 2FA-приложениями, на выбор доступны следующие альтернативы:

1. Google Authenticator

Одно из самых популярных приложений для двухфакторной аутентификации от компании Google кажется слишком простым и недоделанным.

В основном окне программы можно добавить токен для авторизации на новом сайте или удалить один из существующих. У программы нет абсолютно никаких настроек и параметров.

В приложении нет дополнительной авторизации при запуске по паролю, Face ID или Touch ID. Однако, больше всего расстраивает отсутствие средств для резервного копирования.

В случае смены гаджета придется заново переподключать все сайты к программе.


2. Microsoft Authenticator

SULHACK

Приложение от Microsoft сильно похоже на предыдущую программу, но здесь разработчики немного постарались. Пользователю можно скрыть любые добавленные токены, чтобы они не были видны сразу при запуске приложения.

Кроме этого при авторизации на сайтах и сервисах Microsoft можно не вводить генерируемый код, а просто нажать на кнопку подтверждения прямо в программе.

Из других приятных фишек – бекап данных в iCloud и блокировка приложения по паролю или отпечатку.


3. FreeOTP Authenticator

SULHACK

Компания Red Hat, которая занимается выпуском ПО на основе операционной системы Linux, разработала свое приложение для двухфакторной аутентификации.

Программа не имеет дополнительной защиты, но зато предлагает пользователю расширенные параметры создаваемого токена. Самые отъявленные параноики могут вручную выбрать алгоритм шифрования, тип защиты и длину генерируемого кода.

Еще приложение FreeOTP имеет открытый исходный код, который изучается энтузиастами на предмет уязвимостей и ошибок.


4. Яндекс.Ключ

SULHACK

Разработчики из Яндекс используют отличную от других подобных сервисов схему шифрования, которая подробно описана здесь. К сожалению, собственные сервисы компании работают лишь с фирменным приложением Яндекс.

Программу можно защитить паролем или сканером Touch ID.

К минусам приложения можно отнести тот факт, что программу не обновляли несколько лет, а еще разработчикам не рассказали о выходе iPhone X с новым соотношением сторон экрана.


5. Authy

SULHACK

Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.

В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.

Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.

Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.

Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.

Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.


Как настроить двухфакторную аутентификацию

Рассмотрим процедуру включения защиты на примере учетной записи Gmail.

1. Выберите подходящее приложение аутентификатор и установите его на смартфон или компьютер.

2. Включите двухфакторную аутентификацию в своей учетной записи Gmail.

3. В настройках двухэтапной аутентификации укажите способ авторизации через приложение.

SULHACK

4. Отсканируйте предоставленный QR-код через приложение и сохраните токен для входа.

5. Подтвердите привязку аккаунта путем ввода пароля из приложения.

Теперь для авторизации в своей учетной записи на новом устройстве или на старом после разлогинивания кроме пароля потребуется ввести код из приложения аутентификатора.

Так ваши данные будут максимально защищены в случае кражи или утери смартфона, либо, если злоумышленники узнают пароль.