Aby zapobiec zhakowaniu haseł przez socjotechnikę, brutalną siłę lub ataki słownikowe oraz aby zapewnić bezpieczeństwo kont online, należy wziąć pod uwagę następujące kwestie:

1. Nie używaj tego samego hasła, pytania zabezpieczającego i odpowiedzi dla wielu ważnych kont.

2. Użyj hasła składającego się z co najmniej 16 znaków, użyj co najmniej jednej cyfry, jednej wielkiej litery, jednej małej litery i jednego znaku specjalnego.

3. Nie używaj imion i nazwisk rodziny, przyjaciół ani zwierząt domowych w hasłach.

4. Nie używaj kodów pocztowych, numerów domów, numerów telefonów, dat urodzenia, numerów identyfikacyjnych, numerów ubezpieczenia społecznego itp. w hasłach.

5. Nie używaj słów ze słownika w swoich hasłach. Przykłady silnych haseł: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6'FC%)sZ. Przykłady słabych haseł: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Nie używaj dwóch lub więcej podobnych haseł, których znaki są w większości takie same, takich jak ilovefreshflowersMac, ilovefreshflowersDropBox, ponieważ jeśli jedno z tych haseł zostanie skradzione, oznacza to, że wszystkie te hasła zostały skradzione.

7. Nie używaj haseł, które można sklonować (ale których nie można zmienić), takich jak odciski palców.

8. Nie pozwól, aby przeglądarki internetowe (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) zapamiętały hasła, ponieważ wszystkie hasła przechowywane w przeglądarkach internetowych można łatwo ujawnić.

9. Nie loguj się na ważne konta na komputerach innych osób lub po podłączeniu do publicznego hotspotu Wi-Fi, Tora, bezpłatnej sieci VPN lub serwera proxy.

10. Nie wysyłaj poufnych informacji online za pośrednictwem nieszyfrowanych połączeń (np. HTTP lub FTP), ponieważ wiadomości w tych połączeniach mogą być szpiegowane przy bardzo niewielkim wysiłku. Jeśli to możliwe, należy używać połączeń szyfrowanych, takich jak HTTPS, SFTP, FTPS, SMTPS, IPSec.

11. Podczas podróży możesz zaszyfrować połączenia internetowe, zanim opuszczą laptopa, tablet, telefon komórkowy lub router. Na przykład możesz skonfigurować i połączyć się z prywatną siecią VPN za pomocą protokołów takich jak WireGuard (lub IKEv2, OpenVPN, SSTP, L2TP przez IPSec) na własnym serwerze (komputer domowy, serwer dedykowany lub VPS). Alternatywnie możesz skonfigurować szyfrowany tunel SSH między komputerem a własnym serwerem i skonfigurować Chrome lub FireFox do korzystania z proxy Socks. Nawet jeśli ktoś przechwyci Twoje dane przesyłane między Twoim urządzeniem (np. laptopem, iPhonem, iPadem) a Twoim serwerem za pomocą sniffera pakietów, nie może ukraść Twoich danych i haseł z zaszyfrowanych danych przesyłanych strumieniowo.

12. Jak bezpieczne jest moje hasło? Możesz myśleć, że twoje hasła są bardzo silne i trudne do zhakowania. Ale jeśli haker ukradł twoją nazwę użytkownika i wartość skrótu MD5 twojego hasła z serwera firmowego, a tęczowa tabela hakera zawiera ten skrót MD5, twoje hasło zostanie szybko złamane.

Aby sprawdzić siłę swoich haseł i dowiedzieć się, czy znajdują się one w popularnych tęczowych tabelach, możesz przekonwertować hasła na skróty MD5 w generatorze skrótów MD5, a następnie odszyfrować hasła, wysyłając te skróty do usługi odszyfrowywania MD5 online. Przykład: Twoje hasło to "0123456789A". Używając metody brute force, złamanie hasła może zająć komputerowi prawie rok, ale jeśli odszyfrujesz je, wysyłając jego skrót MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) do strony deszyfrującej MD5, jak długo trwa złamanie? Możesz sam przystąpić do testu.

13. Zaleca się zmianę hasła co 10 tygodni.

14. Zaleca się zapamiętanie niektórych haseł głównych, zapisanie innych haseł w postaci zwykłego tekstu i zaszyfrowanie tego pliku za pomocą 7-Zip, GPG lub oprogramowania do szyfrowania dysku, takiego jak BitLocker, lub zarządzanie hasłami za pomocą oprogramowania do zarządzania hasłami.

15. Szyfruj i zabezpieczaj swoje hasła w różnych lokalizacjach. Następnie, jeśli utracisz dostęp do komputera lub konta, możesz szybko odzyskać hasła.

16. Jeśli to możliwe, włącz uwierzytelnianie 2-etapowe.

17. Nie przechowuj krytycznych haseł w chmurze.

18. Uzyskaj dostęp do ważnych stron internetowych (np. PayPal) bezpośrednio z zakładek. W przeciwnym razie dokładnie sprawdź nazwę domeny. Przed wprowadzeniem hasła warto sprawdzić popularność witryny za pomocą paska narzędzi Alexa, aby upewnić się, że nie jest to witryna wyłudzająca informacje.

19. Chroń swój komputer za pomocą zapory sieciowej i oprogramowania antywirusowego, blokuj wszystkie połączenia przychodzące i wszystkie niepotrzebne połączenia wychodzące z zaporą. Pobieraj oprogramowanie tylko z renomowanych witryn i, jeśli to możliwe, sprawdź sumę kontrolną MD5/SHA1/SHA256 lub podpis GPG pakietu instalacyjnego.

20. Zachowaj systemy operacyjne (np. Windows 7, Windows 10, Mac OS X, iOS, Linux) i przeglądarki internetowe (np. FireFox, Chrome, IE, Microsoft Edge) swoich urządzeń (np. Windows PC, Mac PC, iPhone, iPad, Android). Tablet ), instalując najnowszą aktualizację zabezpieczeń.

21. Wenn sich auf Ihrem Computer wichtige Dateien befinden und andere darauf zugreifen können, überprüfen Sie, ob Hardware-Keylogger (z. B. drahtloser Tastatur-Sniffer), Software-Keylogger und versteckte Kameras vorhanden sind, wenn Sie dies für erforderlich halten.

22. Wenn es in Ihrem Haus WLAN-Router gibt, können Sie die von Ihnen eingegebenen Passwörter (im Haus Ihres Nachbarn) erkennen, indem Sie die Gesten Ihrer Finger und Hände erkennen, da sich das empfangene WLAN-Signal ändert, wenn Sie Ihre Finger und Hände bewegen. Sie können in solchen Fällen eine Bildschirmtastatur verwenden, um Ihre Passwörter einzugeben. Es wäre sicherer, wenn diese virtuelle Tastatur (oder Soft-Tastatur) jedes Mal das Layout ändert.

23. Sperren Sie Ihren Computer und Ihr Mobiltelefon, wenn Sie sie verlassen.

24. Verschlüsseln Sie die gesamte Festplatte mit VeraCrypt, FileVault, LUKS oder ähnlichen Tools, bevor Sie wichtige Dateien darauf ablegen, und zerstören Sie die Festplatte Ihrer alten Geräte bei Bedarf physisch.

25. Greifen Sie im Privat- oder Inkognitomodus auf wichtige Websites zu, oder verwenden Sie einen Webbrowser, um auf wichtige Websites zuzugreifen, und verwenden Sie einen anderen, um auf andere Websites zuzugreifen. Oder greifen Sie auf unwichtige Websites zu und installieren Sie neue Software in einer virtuellen Maschine, die mit VMware, VirtualBox oder Parallels erstellt wurde.

26. Verwenden Sie mindestens 3 verschiedene E-Mail-Adressen, verwenden Sie die erste, um E-Mails von wichtigen Websites und Apps wie Paypal und Amazon zu erhalten, verwenden Sie die zweite, um E-Mails von unwichtigen Websites und Apps zu erhalten, verwenden Sie die dritte (von einem anderen E-Mail-Anbieter). , wie Outlook und GMail ), um Ihre E-Mail zum Zurücksetzen des Passworts zu erhalten, wenn die erste (z. B. Yahoo Mail ) gehackt wird.

27. Verwenden Sie mindestens 2 verschiedene Telefonnummern, teilen Sie anderen NICHT die Telefonnummer mit, die Sie verwenden, um Textnachrichten mit den Bestätigungscodes zu erhalten.

28. Klicken Sie nicht auf den Link in einer E-Mail oder SMS-Nachricht, setzen Sie Ihre Passwörter nicht zurück, indem Sie darauf klicken, es sei denn, Sie wissen, dass diese Nachrichten nicht gefälscht sind.

29. Teilen Sie Ihre Passwörter niemandem in der E-Mail mit.

30. Es ist möglich, dass eine der von Ihnen heruntergeladenen oder aktualisierten Software oder App von Hackern modifiziert wurde. Sie können dieses Problem vermeiden, indem Sie diese Software oder App nicht zum ersten Mal installieren, es sei denn, sie wird veröffentlicht, um Sicherheitslücken zu schließen. Sie können stattdessen webbasierte Apps verwenden, die sicherer und portabler sind.

31. Seien Sie vorsichtig, wenn Sie Online-Einfüge-Tools und Bildschirmaufnahme-Tools verwenden, und lassen Sie sie nicht Ihre Passwörter in die Cloud hochladen.

32. Wenn Sie ein Webmaster sind, speichern Sie die Passwörter, Sicherheitsfragen und Antworten der Benutzer nicht als Klartext in der Datenbank, sondern speichern Sie stattdessen die Salted-Hash-Werte (SHA1, SHA256 oder SHA512) dieser Zeichenfolgen. Es wird empfohlen, für jeden Benutzer eine eindeutige zufällige Salt-Zeichenfolge zu generieren. Darüber hinaus ist es eine gute Idee, die Geräteinformationen des Benutzers (z. B. Betriebssystemversion, Bildschirmauflösung usw.) zu protokollieren und die Salted-Hash-Werte davon zu speichern, wenn er/sie dann versucht, sich mit dem richtigen Passwort, aber seinem/ihrem Gerät anzumelden Informationen NICHT mit den zuvor gespeicherten übereinstimmen, lassen Sie diesen Benutzer seine/ihre Identität überprüfen, indem Sie einen anderen Bestätigungscode eingeben, der per SMS oder E-Mail gesendet wird.

33. Wenn Sie ein Softwareentwickler sind, sollten Sie das mit einem privaten Schlüssel signierte Update-Paket mit GnuPG veröffentlichen und die Signatur davon mit dem zuvor veröffentlichten öffentlichen Schlüssel überprüfen.

34. Um Ihr Online-Geschäft sicher zu halten, sollten Sie einen eigenen Domainnamen registrieren und ein E-Mail-Konto mit diesem Domainnamen einrichten, dann verlieren Sie Ihr E-Mail-Konto und alle Ihre Kontakte nicht, da Sie Ihren Mailserver überall hosten können , kann Ihr E-Mail-Konto nicht vom E-Mail-Anbieter deaktiviert werden.

35. Wenn eine Online-Shopping-Site nur die Zahlung mit Kreditkarten zulässt, sollten Sie stattdessen eine virtuelle Kreditkarte verwenden.

36. Schließen Sie Ihren Webbrowser, wenn Sie Ihren Computer verlassen, andernfalls können die Cookies mit einem kleinen USB-Gerät leicht abgefangen werden, wodurch es möglich wird, die zweistufige Verifizierung zu umgehen und sich mit gestohlenen Cookies auf anderen Computern in Ihr Konto einzuloggen.

37. Misstrauen Sie schlechten SSL-Zertifikaten und entfernen Sie sie aus Ihrem Webbrowser, da Sie sonst die Vertraulichkeit und Integrität der HTTPS-Verbindungen, die diese Zertifikate verwenden, NICHT gewährleisten können.

38. Zaszyfruj całą partycję systemową, w przeciwnym razie wyłącz funkcje stronicowania i hibernacji, ponieważ ważne dokumenty można znaleźć w plikach stronicowania.sys i hiberfil.sys.

39. Aby zapobiec atakom typu brute force login na serwerach dedykowanych, serwerach VPS lub serwerach w chmurze, możesz zainstalować oprogramowanie do wykrywania włamań i zapobiegania im, takie jak LFD (Login Failure Daemon) lub Fail2Ban.

40. Jeśli to możliwe, używaj oprogramowania opartego na chmurze zamiast instalować oprogramowanie na urządzeniu lokalnym, ponieważ coraz więcej ataków na łańcuch dostaw, w których złośliwe aplikacje lub aktualizacje są instalowane na urządzeniu w celu kradzieży haseł i uzyskania dostępu do ściśle tajnych danych.

41. Dobrym pomysłem jest generowanie sum kontrolnych MD5 lub SHA1 wszystkich plików na komputerze (przy użyciu oprogramowania takiego jak MD5Summer) i zapisywanie wyniku, a następnie sprawdzanie integralności plików (i znajdowanie plików trojańskich lub programów z wstrzykniętym backdoorem) każdego dnia, porównując ich sumy kontrolne z wcześniej zapisanym wynikiem.

42. Każde duże przedsiębiorstwo powinno wdrożyć i wdrożyć system wykrywania włamań oparty na sztucznej inteligencji (w tym narzędzia do wykrywania anomalii w zachowaniu sieci).

43. Zezwalaj tylko na adresy IP umieszczone na białej liście, aby łączyć się lub logować do ważnych serwerów i komputerów. Profesjonalne usługi tworzenia stron internetowych Używa również złożonego hasła.