“Потому и не кусают!”: простые вещи для тех, кто не хочет, чтобы их взломали

Почему я решил это написать? Представьте себе: вы лежите в постели, читая очередную новостную ленту и готовясь отойти ко сну. Вдруг ленту мессенджера пронизывает истошный вопль: “О, нет! Меня взломали! 😱😱😱”

Остаться в стороне я не смог, поэтому вот несколько советов.

Используйте стойкие пароли (и да, везде разные!)

Итак, самый простой способ доказать какому-либо сервису или сайту, что вы - это вы. Пароль.

Хороший пароль - это такой, который:

• просто запомнить,
• сложно подобрать,
• и он никогда не используется в нескольких местах (один пароль - один сайт! - что? - да!)

И вот тут мы встречаем первую проблему. Как сделать пароль одновременно запоминающимся и сложным для подбора злоумышленником?

Простой для запоминания пароль - это не qwerty и не 12345, и даже не кличка вашего кота (хотя, если вы назвали своего кота, например, moonbeam-barrack-dispose-tranquil – я могу вам обоим только посочувствовать ;-). Стоп… а почему я буду звать своего кота именно так…?

Кличка для кота, мягко говоря, хреновая… а вот пароль хороший. Только, пожалуйста, не нужно использовать именно этот пароль везде, где только вздумается – этот окажется во всех словарях для подбора через несколько микросекунд после того, как я нажму кнопку “Опубликовать”.

Все просто: берем четыре случайных английских слова и получаем то, что относительно легко запомнить и очень сложно подобрать. Если вы ленивый и все еще доверяете интернету, то это можно сделать, например, здесь.

Отлично, теперь мы знаем, как сделать себе классный пароль. Но ведь нам нужен…

Пароль, который никогда не используется больше чем на одном сайте. О, боже! Что? Ведь у меня два десятка аккаунтов! Я же вам не Гугл, чтобы все это запоминать! А у меня для вас хорошие новости, запоминать все это и не придется, всю работу для нас сделает… менеджер паролей.

Менеджер паролей. Храним тысячу секретов за одним ключом. BitWarden.

Менеджер паролей – это такая программа, которая умеет безопасно хранить все ваши разные, уникальные и сложные пароли от разных сайтов и сервисов под одним “замком” - мастер-паролем, который вы выберете. А еще умеет их создавать, автоматически заполнять, проверять, не угнал ли кто ваши учетки, и вообще всячески облегчать вам жизнь.

Вам нужно будет помнить только один пароль, который вы сами себе придумали, а все остальные будет за вас делать и обслуживать менеджер паролей. Причем эти пароли хоть и будут храниться “где-то” (в облаке или в файле у вас на диске), но будут там уютно зашифрованы и не доступны никому, кто не знает ваш (надеюсь, сложный и уникальный только для этого менеджера) мастер-пароль.

Лично я использую Bitwarden. К тому же, премиум с разными возможностями (включая использование аппаратных ключей) стоит всего 10 баксов в год. Рекомендую 🐾.

После регистрации в BitWarden, чтобы было удобнее пользоваться - поставьте себе расширение в браузер и мобильное приложение:

• Расширение для Chrome/Edge/Brave/Яндекс Браузера/Атом
• Расширение для Firefox
• Приложение для телефонов (здесь для Android, а вот здесь - для iOS)

Поменяйте свои пароли и проверьте, кто еще заходил в ваши сервисы.

Отлично! Мы с вами только что сделали себе уникальный пароль для менеджера, сделали учетную запись в Bitwarden (например). А теперь пришла пора активно пройтись по всем сервисам, обязательно поменять все пароли на те, которые вы сделали в менеджере, и - внимание! - проверить, все ли устройства, которые вы увидите в настройках сервиса, вам знакомы.

Важная информация для Telegram! ОБЯЗАТЕЛЬНО поставьте сложный и уникальный (!) пароль в дополнение к SMS-авторизации! Именно учетки без дополнительного пароля “на раз” ломаются всеми, кому надо. Как это сделать - можно посмотреть здесь.

Проверяем сеансы

Вот ссылки на ресурсы, где можно посмотреть, как проверить сессии и поменять пароль в разных популярных сервисах. Итак:

• Telegram - как проверить сессии и сменить пароль.
• Google
• Facebook
• VK
• Mail.ru
• Яндекс

Если нужного сайта здесь нет - то просто поищите в разделе “Безопасность” на сайте пункт “Сеансы” или “Подключенные устройства” - идем туда и проверяем, нет ли там чего подозрительного. Если вы находитесь в Москве, а у вас зачем-то там “светится” браузер из Северной Кореи – безжалостно нажимаем кнопку “удалить” и обязательно меняем пароль на новый, ведь менеджер паролей позволяет это сделать очень просто и абсолютно бесплатно.

Меняем пароли

Cправка у BitWarden тут (пока есть только на английском).

Как создать новый пароль в BitWarden:

1. Заходим в сервис, где нужно поменять пароль
2. Заходим на bitwarden.com, открываем свое хранилище с помощью имени пользователя и пароля.
3. Жмем на ➕, вбиваем название для сайта и жмем кнопку ↩️ со стрелочками. Теперь у нас есть новый и сложный пароль, который нам сделал BitWarden и который однозначно уникален только для этого сайта.
4. Жмем кнопку рядом с паролем чтобы этот пароль скопировать и сохраняем запись
5. Идем на нужный нам сайт где хотим сменить пароль и вбиваем там этот пароль в качестве нового.

А если вы поставите расширение для браузера или приложение на телефон, как это описано выше - то BitWarden будет даже автоматически заполнять пароли для вас и позволять быстро делать новые без лишних телодвижений.

Включите двухфакторную авторизацию. Защитите ей ваши почтовые учетные записи!

Что это такое? Это такая штука, которая не позволит злому хакеру просто так войти на сервис, даже если он знает ваш пароль. Для этого ему еще придется, как минимум, завладеть вашим телефоном (или еще сложнее - аппаратным ключом) и вычитать оттуда дополнительный одноразовый код.

1. Обязательно ставим на телефон Google Authenticator (здесь для Android, а вот здесь для Apple).
2. Обязательно добавляем возможность дополнительной проверки входа с приложением в свой менеджер паролей.
3. Желательно - добавляем возможность дополнительной проверки входа во все важные аккаунты. Обязательно защищаем вторым кодом свою почту.

Теперь каждый раз при входе с нового устройства, вам потребуется достать телефон и ввести одноразовый код из него в дополнение к вашему паролю. Звучит сложно? На самом деле, не очень. Зато, поставив одно приложение, вы отсекаете 90% простых атак с “угоном” учеток, даже если ваш пароль где-то засветился.

Важная информация. НЕ НАДО использовать дополнительную авторизацию по SMS, если есть хоть какой-то другой способ. SMS очень легко перехватываются, в том числе и вашим покорным слугой, который мог это делать просто по работе. Используйте Google Authenticator или (что намного лучше) - аппаратный ключ (напишу про аппаратные ключи немного позже).

Ну вот! Теперь у нас появилось больше уверенности в том, что наши учетные записи никто не уведет. А об аппаратных ключах и почему они круче всего остального - напишу в следующей части.

Ссылки для дальнейшнего ознакомления

• BitWarden - неплохой менеджер паролей, в махинациях пока не замечен
• Yubico Store - магазин Yubico, производителя аппаратных ключей
• Секьюрно - сайт с подробной информацией о том, что еще можно сделать, чтобы интернет стал для вас более безопасным.
• Медуза тоже хорошо описала, что надо делать, особенно если вы живете в “неспокойном” государстве.