Get best of the week

نقوم بتحليل توصيات لحماية البيانات الشخصية وأمن المعلومات - ما يجب الانتباه إليه

في اليوم الآخر نظرنا إلى عدد من الكتب حول المخاطر في تكنولوجيا المعلومات والهندسة الاجتماعية والفيروسات وتاريخ مجموعات القراصنة . سنحاول اليوم الانتقال من النظرية إلى الممارسة ومعرفة ما يمكن لكل منا القيام به لحماية البيانات الشخصية. في Habré وفي وسائل الإعلام ، يمكنك العثور على عدد كبير من النصائح الأساسية: من استخدام مديري كلمات المرور والمصادقة ذات العاملين إلى الموقف اليقظ تجاه الحروف والعلامات المحتملة للتصيد الاحتيالي.

مما لا شك فيه أن هذه الإجراءات مهمة كأساس للنظافة السيبرانية ، ولكن لا يجب أن تقتصر عليها فقط . نتحدث عن نقاط أقل وضوحا فيما يتعلق بأمن المعلومات عند العمل مع خدمات الإنترنت.


صور - بيانكا بيرج - Unsplash

عبارات المرور بدلاً من كلمات المرور


يزيل مديرو العمل باستخدام كلمات المرور المعقدة الحاجة إلى تذكرها. ومع ذلك ، فإن مدير كلمات المرور هو دائمًا حل وسط بين الراحة والموثوقية. في بعض الأحيان يكون لدى المطورين تسريبات. على سبيل المثال ، في عام 2015 ، سرق المتسللون عناوين البريد الإلكتروني LastPass وأسئلة أمان المستخدم.

مع أخذ ذلك في الاعتبار ، يفضل عدد من خبراء أمن المعلومات ( بما في ذلك ممثلو مكتب التحقيقات الفدرالي في بورتلاند) خيارًا بديلاً للعمل مع المصادقين - عبارات المرور. فهي أسهل للتذكر من كلمات السر أبجدية رقمية مع أحرف خاصة .

في الوقت نفسه ، تعتبر أكثر موثوقية - في عام 2015 ، أثبت خبير في مجال علوم الكمبيوتر Evgeny Panferov رياضيًا أنه لتعزيز الحماية ضد هجمات القوة الغاشمة ، من الضروري تمديد المعرّف ، وليس زيادة تعقيده بسبب الأرقام ، والمشابك والعلامات النجمية ( ص 2 ). تم توضيح هذا المفهوم أيضًا من قبل مؤلف كتاب xkcd المصورة حول أيام عمل المطورين.


الصورة - إريك ماكلين - Unsplash

E-Frontier Engineers (EFF) يدعم الفكرة بعبارات المرور. حتى أنهم اقترحوا طريقة غير عادية لتوليدها - باستخدام النرد. قام EFF بتجميع قائمة مكونة من 60 ألف كلمة إنجليزية ، مقارنة بكل منها سلسلة محددة من الأرقام التي تظهر على المكعب.

ما عليك سوى اختيار ست كلمات للحصول على معرف عشوائي من 25 إلى 30 حرفًا. يوصى بتدوير النرد لأن دماغ الإنسان غير قادر على توليد تسلسل عشوائي للأرقام. نحن نسعى بلا وعي لاختيار الأرقام التي لها أي معنى بالنسبة لنا. لذلك ، في عام 1890 ، كتب عالم النفس الإنجليزي فرانسيس جالتون أن النرد هو "المولد العشوائي" الأكثر فاعلية.

تدوير كلمة المرور غير مطلوب


لقد واجهنا جميعًا متطلبات تغيير كلمة المرور من حساب مرة واحدة في الشهر أو ستة أشهر. لكن رئيس شركة Spycloud الأمنية ، تيد روس ، يقول إن مثل هذا التناوب لا معنى له.

يشجع المستخدمين على تعديل كلمات المرور قليلاً وإعادة استخدام المعرّفات السابقة . كل هذا يضر بأمان حسابك. تم النظر فيه أيضًا في المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST). إنهم يطورون إطار عمل جديد لكلمة المرور. بالمناسبة ، تم تنفيذه بالفعل في Microsoft - منذ العام الماضي ، توقف Windows عن مطالبة المستخدمين بالخروج بانتظام ببيانات مصادقة جديدة.

يجب تغيير المعرّفات فقط في حالة اختراقها. هناك أدوات خاصة للتحقق من هذه الحقيقة - على سبيل المثال ، الخدمة المألوفة Many Have I Pwned . فقط أدخل عنوان بريدك الإلكتروني وسيظهر ما إذا كان "البريد الإلكتروني" قد تعرض في أي تسريبات. يمكنك أيضًا إعداد الإشعارات - في حالة حدوث "استنزاف" جديد ، سيتم تلقي إشعار.


Photo - Nijwam Swargiary - Unsplash

استبدال كلمات مرور الشبكة المتسربة يجب أن تكون للحسابات التي لم تكن نشطة لفترة طويلة. ولكن من الأفضل حذف هذه الحسابات تمامًا. إذا تُركت دون مراقبة ، فقد تتسبب في اختراق البيانات الشخصية. حتى قطعة صغيرة من المعلومات ستساعد المهاجمين على جمع المعلومات المفقودة حول "الضحية" في الخدمات الأخرى.

في بعض الموارد ، فإن إجراء إغلاق الحسابات ليس بهذه البساطة. في بعض الأحيان عليك التواصل مع الدعم الفني ، وأحيانًا - لفترة طويلة للبحث عن الزر المطلوب في الواجهة. ومع ذلك ، هناك أدوات يمكنها تبسيط هذه المهمة. على سبيل المثال ، JustDeleteMe هو دليل من التعليمات والروابط القصيرة لتعطيل الحسابات. هذا امتداد لـ Chrome يضيف زرًا خاصًا إلى omnibar. بالضغط عليها ، تفتح صفحة لتعطيل الحساب على المورد الحالي (إن أمكن). ثم يبقى اتباع التعليمات.

العمل مع المستندات على نظام تشغيل خاص


ما يقرب من 38 ٪ من الفيروسات تشكل ملفات إرساء. وهي اليوم واحدة من أكثر نواقل هجمات القراصنة شيوعًا. يمكنك حماية نفسك من البرامج الضارة الموزعة بهذه الطريقة إذا فتحت مستندات مريبة في برامج تحرير السحابة. يلاحظ خبراء EFF أنه في هذه الحالة ، يمكنك بالتأكيد منع تثبيت البرامج الضارة. لكن هذه الطريقة ليست مناسبة للوثائق السرية - هناك خطر من جعلها علنية. على سبيل المثال ، في عام 2018 ، سقطت مستندات Google الشخصية للمستخدمين في المجال العام - تمت فهرستها بواسطة محرك بحث.

يقول المهندسون من مؤسسة Electronic Frontier Foundation أن تثبيت نظام تشغيل خاص يمكن أن يكون طريقة واحدة لحماية نفسك من الفيروسات في PDF و DOC.(ممكن في سحابة مزود IaaS ) لقراءة المستندات الإلكترونية - على سبيل المثال ، Qubes . في ذلك ، يتم تنفيذ إجراءات نظام التشغيل والمستخدم على أجهزة افتراضية منفصلة. لذلك ، إذا تم اختراق أحد المكونات ، فسيتم عزل البرامج الضارة ولن تتمكن من الوصول إلى النظام بالكامل.

(NOT) تثبيت التحديث التلقائي


يوصي خبراء أمن المعلومات - على سبيل المثال ، مهندسون من Tech Solidarity و FOSS Linux - بإعداد التثبيت التلقائي لتحديثات الأمان لأنظمة التشغيل والتطبيقات. ومع ذلك ، لا يشارك الجميع هذا الرأي.


Photo - Rostyslav Savchyn - Unsplash

يمكن تجنب جزء كبير من أنظمة تكنولوجيا المعلومات للقرصنة إذا تم تحديثها في الوقت المحدد. ومن الأمثلة اللافتة تسرب البيانات الشخصية لـ 140 مليون مواطن أمريكي من Equifax. استخدم المهاجمون الثغرة الأمنية في إطار عمل Apache Struts ( CVE-2017-5638 ) المتعلقة بخطأ في معالجة الاستثناء. ظهر لها تصحيحقبل شهرين من الهجوم على Equifax. لكن التحديث التلقائي قد لا يؤدي إلى النتائج الأكثر متعة. هناك حالات عندما "تصحيحات" جديدة ، حل مشكلة واحدة ، وخلق مشكلة أخرى - أكثر خطورة . في عام 2018 ، اضطرت Microsoft إلى إيقاف توزيع إصدار جديد من نظام التشغيل بسبب خطأ في حذف الملفات الشخصية للمستخدمين.

يمكننا أن نستنتج أنه يجب تثبيت التحديثات في أقرب وقت ممكن ، ولكن كن حذرًا. قبل أن تبدأ في تصحيح المشكلة ، يجب عليك دراسة سلوكها وقراءة المراجعات واتخاذ القرار بناءً على المعلومات التي وجدتها.

في المرة القادمة ، نواصل الحديث عن توصيات غير عادية ستساعد في حماية أنظمة تكنولوجيا المعلومات من المتسللين. نحن مهتمون أيضًا بالاستماع إلى الحلول التي تستخدمها لزيادة أمن المعلومات - شاركها في التعليقات.

نحن في 1cloud.ru نقدم خدمة السحابة الخاصة . يمكنك استئجار بنية تحتية افتراضية لمشاريعك. للعملاء الجدد - اختبار مجاني.
نحن استخدام المعدات على مستوى المؤسسات من سيسكو، ديل، نت. تم بناء المحاكاة الافتراضية على برنامج VMware vSphere hypervisor.

More articles:


All Articles