Починаючи занурення в Metaverse треба подбати про такі базові речі як безпека персональної інформації та збереження віртуальних активів. Уяви, що одного разу ти вирішив зацінити новий квест в умовному The Sandbox - запускаєш гру, вводиш логін та пароль, а вони не підходять! Вітаю, тебе зламали та увели твій обліковий запис. А разом з ним і всі твої досягнення, зброю, обладунки та віртуальну валюту. Щоб такий сценарій залишився тільки у твоїй уяві, давай подбаємо про захист та належне керування своїми обліковими записами.
Збираючи інформацію для цієї статті, я спілкувався з кількома друзями, яких вважаю "просунутими користувачами ПК". І майже ніхто не приділяє належної уваги до захисту своїх облікових записів. Одна частина використовує паролі зі списку "Top 200 most common passwords", інші - використовують свою дату народження, або дату народження своїх дітей.
Думаю, не тільки в мене є такі друзі.
Щоб використовувати всі можливості якогось інтернет-сервісу (наприклад, соціальної мережі) користувач повинен створити обліковий запис (або аккаунт). Це дозволяє ідентифікувати особу та зберігати дані про її активність на такому ресурсі.
Щоб потрапити до свого облікового запису, зазвичай, треба ввести логін та пароль. Логін може бути у вигляді нікнейму, електронної пошти чи номера телефону, його може знати будь-хто. Пароль - це набір символів, який повинен знати тільки користувач.
Якщо хакеру з низьким рівнем соціальної відповідальності стане відома комбінація логіну та паролю, це може призвести до певних негативних наслідків для користувача:
крадіжка грошей з прив'язаної картки або з криптогаманця (всі ж зберігають пароль та резервну seed-фразу у нотатках на телефоні, правда);
зникнення даних з хмарних сховищ (приватні фото та відео, які соромно показати мамі, скан-копії документів);
втрата контролю над пристроєм.
Проте, дотримання кількох простих правил значно зменшує ризик потрапити у такі ситуації.
Якщо зловмисник захоче зламати твій обліковий запис, то почне він з пароля.
На сайті security.org можна перевірити, скільки часу (гіпотетично) потрібно вправному хакеру, щоб підібрати твій пароль.
Як він це зробить? По-перше, перевірить найпопулярніші паролі (123456, qwerty, password тощо) за допомогою готових добірок та звичайні слова зі стандартних словників різних мов. Наприклад, в Канаді один з найпопулярніших паролів - "hockey".
Надійний пароль повинен складатися з великих і маленьких літер, цифр та спеціальних символів (#@($&%).
Якщо прості паролі або популярні слова не підійдуть, зловмисник спробує використати твої особисті дані - імена домашніх улюбленців, дати народження тощо. Все це легко знайти в соціальних мережах та відкритих базах та реєстрах.
Зазвичай, люди використовують однаковий пароль для декількох облікових записів. Це зручно. Але небезпечно. Якщо хакер підібрав пароль до одного запису, то легко зможе зламати й інші.
Популярні сервіси періодично зламують і їх бази даних з паролями користувачів потрапляють в чужі руки. Якщо ти будеш періодично змінювати свій пароль, то навіть якщо він буде у злитих базах, то хакери отримують його стару версію і аккаунт буде в безпеці.
Користуйся спеціальними сервісами, які моніторять мережу для пошуку вкрадених даних.
Подумай над фразою, яку легко запам'ятати, а потім заміни декілька символів та додай кілька цифр. Наприклад: словосполучення Angry Bird можна перетворити у _@ngry_B1rd#. Не забудь перевірити, що такий пароль достатньо надійний.
Окей, бумере! Один пароль є, залишилось вигадати та запам'ятати ще 99.
Є два варіанти вирішити цю проблему: опанувати одну з мнемотехнік, або використовувати менеджер паролів.
Якщо ти впевнений у своїх здібностях у запам'ятовуванні, далі можеш не читати.
Менеджер паролів допоможе створювати та зберігати твої паролі у надійному та безпечному сховищі (так обіцяють розробники). Тобі потрібно запам'ятати лише один основний пароль (Мастер-пароль), щоб розблокувати менеджер і отримати доступ до інших збережених паролів. Зручно.
Надійні парольні менеджери шифрують паролі та назви облікових записів, а не зберігають їх "як є". Це значно знижує вірогідність, що такі дані зможуть використати сторонні особи.
Окрім зберігання, деякі менеджери самостійно перевіряють наявність твоїх паролів у злитих базах, мають вбудований генератор складних паролів та інші корисні функції.
На які менеджери паролів слід звернути увагу:
Додам ще HackenAI, який надихнув на створення цього матеріалу.
Пам'ятай, якщо ти користуєшся товаром безкоштовно, то ти і є товар. Це натяк на те, що за безпеку іноді краще заплатити ніж сподіватися на диво.
Додамо ще параноїдальності?
Окрім надійного пароля варто ще подумати над додатковою лінією оборони - багатофакторною автентифікацією.
Це процедура автентифікації, при якій для входу в обліковий запис потрібно два або більше кроків. Наприклад, твій пароль та одноразовий пароль з програми генерації Google Authenticator, СМС чи той, що прийде на пошту.
Так, це довго та незручно. Але надійно.
Найнадійнішим вважається одноразовий пароль з програми генерації, тому що хакери можуть отримати доступ до твого телефону чи поштової скриньки й відправити тобі "свій" пароль. А зламати Google Authenticator трохи складніше.
Якщо інтернет-сервіс підтримує багатофакторну автентифікацію, обов'язково використовуй її.
Питання не в тому, чи потрібен надійний та складний пароль для входу в аккаунт. Питання в тому, наскільки надійним та складним він повинен бути. Це базова, фундаментальна необхідність.
Давай підсумуємо, як захистити свій обліковий запис:
складний пароль з використанням великих та малих літер, цифр та спеціальних символів;
ніякого натяку на персональні дані у паролі;
періодична зміна паролю;
окремий пароль для кожного сервісу (менеджер паролів у поміч);
багатофакторна автентифікація.
Все.