Get best of the week

Nous analysons les recommandations pour la protection des données personnelles et la sécurité des informations - ce à quoi vous devez faire attention

L'autre jour, nous avons examiné un certain nombre de livres sur les risques informatiques , l'ingénierie sociale, les virus et l'histoire des groupes de pirates informatiques . Aujourd'hui, nous allons essayer de passer de la théorie à la pratique et voir ce que chacun de nous peut faire pour protéger les données personnelles. Sur Habré et dans les médias, vous pouvez trouver un grand nombre de conseils de base: de l'utilisation des gestionnaires de mots de passe et de l'authentification à deux facteurs à l'attitude attentive aux lettres et aux signes potentiels de phishing.

Sans aucun doute, ces mesures sont importantes en tant que base de la cyber-hygiène, mais vous ne devez pas vous limiter à elles . Nous parlons de points moins évidents concernant la sécurité de l'information lorsque vous travaillez avec des services Internet.


Photos - Bianca Berg - Unsplash

Mots de passe au lieu de mots de passe


Les gestionnaires qui travaillent avec des mots de passe complexes éliminent le besoin de les mémoriser. Cependant, le gestionnaire de mots de passe est toujours un compromis entre commodité et fiabilité. Les développeurs ont parfois des fuites. Par exemple, en 2015, des pirates ont volé des adresses e-mail LastPass et des questions de sécurité des utilisateurs.

Dans cet esprit, un certain nombre d'experts en sécurité de l'information ( y compris des représentants du bureau du FBI à Portland) préfèrent une option alternative pour travailler avec des authentificateurs - des mots de passe. Ils sont plus faciles à retenir que les mots de passe alphanumériques avec des caractères spéciaux .

Dans le même temps, ils sont considérés comme plus fiables - en 2015, un expert dans le domaine de l'informatique Evgeny Panferov a prouvé mathématiquement que pour renforcer la protection contre les attaques par force brute, il était nécessaire d'étendre l'identifiant et de ne pas augmenter sa complexité en raison des nombres, des réseaux et des astérisques ( p . 2 ). Ce concept a également été illustré par l' auteur de la bande dessinée xkcd sur les journées de travail des développeurs.


Photo - Erik Mclean - Unsplash

E-Frontier Engineers (EFF) soutient l'idée avec des mots de passe. Ils ont même suggéré une façon inhabituelle de les générer - en utilisant des dés. L'EFF a compilé une liste de 60 000 mots anglais , comparant avec chacun une séquence spécifique de nombres qui apparaissent sur le cube.

Sélectionnez simplement six mots pour obtenir un identifiant aléatoire de 25 à 30 caractères. Il est recommandé de lancer les dés car le cerveau humain n'est pas en mesure de générer une séquence aléatoire de nombres. Nous nous efforçons inconsciemment de choisir des nombres qui ont une signification pour nous. Par conséquent, en 1890, le psychologue anglais Francis Galton a écrit que les dés sont le «générateur aléatoire» le plus efficace.

La rotation du mot de passe n'est pas nécessaire


Nous étions tous confrontés aux exigences de changer le mot de passe d'un compte une fois par mois ou six mois. Mais le chef de la société de sécurité de Spycloud, Ted Ross , dit qu'une telle rotation est inutile.

Il encourage les utilisateurs à modifier légèrement les mots de passe et à réutiliser les anciens identifiants . Tout cela nuit à la sécurité de votre compte. Également considéré au US National Institute of Standards and Technology (NIST). Ils développent un nouveau cadre de mots de passe. Soit dit en passant, il a déjà été implémenté dans Microsoft - depuis l'année dernière, Windows a cessé d'exiger des utilisateurs qu'ils fournissent régulièrement de nouvelles données d'authentification.

Les identifiants ne doivent être modifiés que s'ils sont compromis. Il existe des outils spéciaux pour vérifier ce fait - par exemple, le service familier Many Have I Pwned . Entrez simplement votre adresse e-mail et elle montrera si l'e-mail a été "exposé" à des fuites. Vous pouvez également configurer des notifications - en cas de nouveau "drain", une notification sera reçue.


Photo - Nijwam Swargiary - Unsplash

Replace Les mots de passe réseau qui ont fui devraient être destinés aux comptes qui n'ont pas été actifs depuis longtemps. Mais il vaut mieux supprimer complètement ces comptes. Laissés sans surveillance, ils peuvent provoquer un compromis des données personnelles. Même une petite information aidera les attaquants à collecter les informations manquantes sur la «victime» dans d'autres services.

Sur certaines ressources, la procédure de clôture des comptes n'est pas si simple. Parfois, vous devez communiquer avec le support technique, et parfois - pendant longtemps pour rechercher le bouton souhaité dans l'interface. Cependant, il existe des outils qui peuvent simplifier cette tâche. Par exemple, JustDeleteMe est un répertoire d'instructions et de liens courts pour désactiver les comptes. Il s'agit d'une extension pour Chrome qui ajoute un bouton spécial à l'omnibar. En cliquant dessus, une page s'ouvre pour désactiver le compte sur la ressource actuelle (si possible). Reste alors à suivre les instructions.

Travailler avec des documents sur un système d'exploitation spécial


Environ 38% des virus se présentent comme des fichiers d'ancrage. Aujourd'hui, c'est l'un des vecteurs les plus courants d'attaques de pirates. Vous pouvez vous protéger contre les logiciels malveillants distribués de cette façon si vous ouvrez des documents suspects dans les éditeurs de cloud. Les experts de l'EFF notent que dans ce cas, vous pouvez presque certainement empêcher l'installation de logiciels malveillants. Mais cette méthode ne convient pas aux documents confidentiels - il y a un risque de les rendre publics. Par exemple, en 2018, les documents personnels des utilisateurs Google sont tombés dans le domaine public - ils ont été indexés par un moteur de recherche.

Les ingénieurs de l'Electronic Frontier Foundation affirment que l' installation d'un système d'exploitation spécial peut être un moyen de vous protéger contre les virus en PDF et DOC.(possible dans le cloud du fournisseur IaaS ) pour lire des documents électroniques - par exemple, Qubes . Dans ce document, les actions du système d'exploitation et de l'utilisateur sont effectuées sur des machines virtuelles distinctes. Par conséquent, si l'un des composants est compromis, le logiciel malveillant sera isolé et ne pourra pas accéder à l'ensemble du système.

(PAS) installation de mise à jour automatique


Les experts en sécurité de l'information - par exemple, les ingénieurs de Tech Solidarity et FOSS Linux - recommandent de configurer l'installation automatique des mises à jour de sécurité pour les systèmes d'exploitation et les applications. Cependant, ce point de vue n'est pas partagé par tout le monde.


Photo - Rostyslav Savchyn - Unsplash

Une partie importante du piratage des systèmes informatiques peut vraiment être évitée s'ils sont mis à jour à temps. Un exemple frappant est la fuite de données personnelles de 140 millions de résidents américains d'Equifax. Les attaquants ont utilisé la vulnérabilité du framework Apache Struts ( CVE-2017-5638 ) liée à une erreur dans la gestion des exceptions. Un patch est apparu pour elledeux mois avant l'attaque d'Equifax. Mais la mise à jour automatique peut ne pas entraîner les conséquences les plus agréables. Il y a des situations où de nouveaux «correctifs», résolvant un problème, en créent un autre - plus grave . En 2018, Microsoft a dû arrêter la distribution d'une nouvelle version du système d'exploitation en raison d'une erreur lors de la suppression des fichiers personnels des utilisateurs .

Nous pouvons conclure que les mises à jour doivent être installées dès que possible, mais soyez prudent. Avant de lancer un correctif, vous devez étudier son comportement, lire les avis et prendre une décision en fonction des informations que vous avez trouvées.

La prochaine fois, nous continuerons de parler de recommandations inhabituelles qui aideront à protéger les systèmes informatiques contre les intrus. Nous sommes également intéressés à écouter les solutions que vous utilisez pour accroître la sécurité des informations - partagez-les dans les commentaires.

Chez 1cloud.ru, nous offrons le service de cloud privé . Vous pouvez louer une infrastructure virtuelle pour vos projets. Pour les nouveaux clients - test gratuit.
Nous utilisons des équipements de classe entreprise de Cisco, Dell, NetApp. La virtualisation est basée sur l'hyperviseur VMware vSphere.

More articles:


All Articles