Get best of the week

Wir analysieren Empfehlungen zum Schutz personenbezogener Daten und zur Informationssicherheit - worauf Sie achten sollten

Neulich haben wir uns eine Reihe von Büchern über Risiken in den Bereichen IT , Social Engineering, Viren und die Geschichte der Hacker-Gruppen angesehen . Heute werden wir versuchen, von der Theorie zur Praxis überzugehen und zu sehen, was jeder von uns tun kann, um personenbezogene Daten zu schützen. Auf Habré und in den Medien finden Sie eine Vielzahl grundlegender Tipps: von der Verwendung von Passwort-Managern und der Zwei-Faktor-Authentifizierung bis zur aufmerksamen Einstellung zu Briefen und möglichen Anzeichen von Phishing.

Zweifellos sind diese Maßnahmen als Grundlage für die Cyber-Hygiene wichtig, aber Sie sollten sich nicht nur auf sie beschränken . Wir sprechen über weniger offensichtliche Punkte in Bezug auf Informationssicherheit bei der Arbeit mit Internetdiensten.


Fotos - Bianca Berg - Unsplash

Passphrasen statt Passwörter


Manager für die Arbeit mit komplexen Passwörtern müssen sich diese nicht mehr merken. Der Passwort-Manager ist jedoch immer ein Kompromiss zwischen Komfort und Zuverlässigkeit. Entwickler haben manchmal Lecks. Beispielsweise haben Hacker 2015 LastPass-E-Mail-Adressen und Fragen zur Benutzersicherheit gestohlen .

Vor diesem Hintergrund bevorzugen eine Reihe von Experten für Informationssicherheit ( einschließlich Vertreter des FBI-Büros in Portland) eine alternative Option für die Arbeit mit Authentifikatoren - Passphrasen. Sie sind leichter zu merken als alphanumerische Passwörter mit Sonderzeichen .

Gleichzeitig gelten sie als zuverlässiger - bereits 2015 hat ein Experte auf dem Gebiet der Informatik, Evgeny Panferov, mathematisch bewiesen, dass es zur Stärkung des Schutzes vor Brute-Force-Angriffen erforderlich ist, die Kennung zu erweitern und ihre Komplexität aufgrund von Zahlen, Gittern und Sternchen nicht zu erhöhen ( S. 2 ). Dieses Konzept wurde auch vom Autor des xkcd-Comics über Entwicklerarbeitstage illustriert .


Foto - Erik Mclean - Unsplash

E-Frontier Engineers (EFF) unterstützen die Idee mit Passphrasen. Sie schlugen sogar einen ungewöhnlichen Weg vor, um sie zu erzeugen - mit Würfeln. Der EFF stellte eine Liste mit 60.000 englischen Wörtern zusammen , in der jeweils eine bestimmte Folge von Zahlen auf dem Würfel verglichen wurde.

Wählen Sie einfach sechs Wörter aus, um eine zufällige Kennung von 25 bis 30 Zeichen zu erhalten. Es wird empfohlen, die Würfel zu würfeln, da das menschliche Gehirn keine zufällige Folge von Zahlen erzeugen kann. Wir bemühen uns unbewusst, Zahlen zu wählen, die für uns eine Bedeutung haben. Daher schrieb der englische Psychologe Francis Galton bereits 1890, dass Würfel der effektivste „Zufallsgenerator“ sind.

Passwortrotation nicht erforderlich


Wir alle standen vor der Anforderung, das Passwort eines Kontos einmal im Monat oder sechs Monate zu ändern. Der Leiter der Sicherheitsfirma von Spycloud, Ted Ross , sagt jedoch , eine solche Rotation sei sinnlos.

Es ermutigt Benutzer, Kennwörter nur geringfügig zu ändern und frühere Kennungen wiederzuverwenden . All dies schadet der Sicherheit Ihres Kontos. Wird auch am US-amerikanischen National Institute of Standards and Technology (NIST) berücksichtigt. Sie entwickeln ein neues Passwort-Framework. Übrigens wurde es bereits in Microsoft implementiert - seit letztem Jahr verlangt Windows nicht mehr , dass Benutzer regelmäßig neue Authentifizierungsdaten bereitstellen.

Bezeichner sollten nur geändert werden, wenn sie kompromittiert sind. Es gibt spezielle Tools, um diese Tatsache zu überprüfen - zum Beispiel den bekannten Dienst Many Have I Pwned . Geben Sie einfach Ihre E-Mail-Adresse ein und es wird angezeigt, ob die E-Mail in einem Leck "freigelegt" wurde. Sie können auch Benachrichtigungen einrichten - im Falle eines neuen "Abflusses" wird eine Benachrichtigung empfangen.


Foto - Nijwam Swargiary - Unsplash

Ersetzen Sie durchgesickerte Netzwerkkennwörter für Konten, die schon lange nicht mehr aktiv waren. Es ist jedoch besser, diese Konten vollständig zu löschen. Unbeaufsichtigt können sie einen Kompromiss bei personenbezogenen Daten verursachen. Selbst eine kleine Information hilft Angreifern, die fehlenden Informationen über das „Opfer“ in anderen Diensten zu sammeln.

Bei einigen Ressourcen ist das Verfahren zum Schließen von Konten nicht so einfach. Manchmal muss man mit dem technischen Support kommunizieren und manchmal - lange Zeit, um nach der gewünschten Schaltfläche in der Benutzeroberfläche zu suchen. Es gibt jedoch Tools, die diese Aufgabe vereinfachen können. Zum Beispiel JustDeleteMe ist ein Verzeichnis von kurzen Anweisungen und Links für Konten zu sperren. Dies ist eine Erweiterung für Chrome, die der Omnibar eine spezielle Schaltfläche hinzufügt. Durch Klicken darauf wird eine Seite geöffnet, auf der das Konto für die aktuelle Ressource deaktiviert wird (falls möglich). Dann bleibt es den Anweisungen zu folgen.

Arbeiten Sie mit Dokumenten auf einem speziellen Betriebssystem


Ungefähr 38% der Viren stellen sich als Dock-Dateien dar. Heute ist es einer der häufigsten Überträger von Hackerangriffen. Sie können sich vor auf diese Weise verteilter Malware schützen, wenn Sie verdächtige Dokumente in Cloud-Editoren öffnen. EFF-Experten weisen darauf hin, dass Sie in diesem Fall mit ziemlicher Sicherheit die Installation von Malware verhindern können. Diese Methode eignet sich jedoch nicht für vertrauliche Dokumente - es besteht die Gefahr, dass sie veröffentlicht werden. Beispielsweise wurden im Jahr 2018 persönliche Google-Dokumente von Nutzern gemeinfrei - sie wurden von einer Suchmaschine indiziert .

Ingenieure der Electronic Frontier Foundation sagen, dass die Installation eines speziellen Betriebssystems eine Möglichkeit sein kann, sich vor Viren in PDF und DOC zu schützen.(möglich in der Cloud des IaaS-Anbieters ) zum Lesen elektronischer Dokumente - zum Beispiel Qubes . Darin werden die Aktionen des Betriebssystems und des Benutzers auf separaten virtuellen Maschinen ausgeführt. Wenn daher eine der Komponenten kompromittiert wird, wird die Malware isoliert und kann nicht auf das gesamte System zugreifen.

(NICHT) automatische Update-Installation


Experten für Informationssicherheit - beispielsweise Ingenieure von Tech Solidarity und FOSS Linux - empfehlen, die automatische Installation von Sicherheitsupdates für Betriebssysteme und Anwendungen einzurichten. Diese Ansicht wird jedoch nicht von allen geteilt.


Foto - Rostyslav Savchyn - Unsplash

Ein erheblicher Teil des Hackens von IT-Systemen kann wirklich vermieden werden, wenn Sie sie rechtzeitig aktualisieren. Ein bemerkenswertes Beispiel ist das Auslaufen personenbezogener Daten von 140 Millionen US-Einwohnern aus Equifax. Angreifer verwendeten die Sicherheitsanfälligkeit im Apache Struts-Framework ( CVE-2017-5638 ) im Zusammenhang mit einem Fehler bei der Ausnahmebehandlung. Ein Patch ist erschienen für siezwei Monate vor dem Angriff auf Equifax. Eine automatische Aktualisierung kann jedoch zu nicht den angenehmsten Konsequenzen führen. Es gibt Situationen, in denen neue „Patches“, die ein Problem lösen, ein anderes erstellen - schwerwiegender . Im Jahr 2018 musste Microsoft die Verteilung einer neuen Version des Betriebssystems einstellen, da beim Löschen der persönlichen Dateien der Benutzer ein Fehler aufgetreten war .

Wir können daraus schließen, dass Updates so schnell wie möglich installiert werden sollten, aber seien Sie vorsichtig. Bevor Sie einen Patch rollen, sollten Sie dessen Verhalten untersuchen, Bewertungen lesen und anhand der gefundenen Informationen eine Entscheidung treffen.

Das nächste Mal sprechen wir weiterhin über ungewöhnliche Empfehlungen, die dazu beitragen, IT-Systeme vor Eindringlingen zu schützen. Wir sind auch daran interessiert zu hören, welche Lösungen Sie zur Erhöhung der Informationssicherheit verwenden - teilen Sie sie in den Kommentaren mit.

Wir bei 1cloud.ru bieten den Private Cloud Service an . Sie können eine virtuelle Infrastruktur für Ihre Projekte mieten. Für Neukunden - kostenlose Tests.
Wir verwenden Geräte der Enterprise-Klasse von Cisco, Dell und NetApp. Die Virtualisierung basiert auf dem VMware vSphere-Hypervisor.

More articles:


All Articles