Get best of the week

Kami menganalisis rekomendasi untuk perlindungan data pribadi dan keamanan informasi - apa yang harus Anda perhatikan

Suatu hari kami melihat sejumlah buku tentang risiko di bidang TI , rekayasa sosial, virus dan sejarah kelompok peretas . Hari ini kami akan mencoba untuk beralih dari teori ke praktik dan melihat apa yang masing-masing dari kita dapat lakukan untuk melindungi data pribadi. Di Habré dan di media, Anda dapat menemukan sejumlah besar tips dasar: mulai dari menggunakan pengelola kata sandi dan otentikasi dua faktor hingga sikap penuh perhatian pada surat dan tanda-tanda potensial phishing.

Tidak diragukan lagi, langkah-langkah ini penting sebagai dasar kebersihan dunia maya, tetapi Anda tidak boleh dibatasi untuk itu . Kami berbicara tentang poin yang kurang jelas mengenai keamanan informasi ketika bekerja dengan layanan Internet.


Foto - Bianca Berg - Unsplash

Frasa sandi bukannya kata sandi


Manajer untuk bekerja dengan kata sandi yang rumit menghilangkan kebutuhan untuk mengingatnya. Namun, pengelola kata sandi selalu merupakan kompromi antara kenyamanan dan keandalan. Pengembang terkadang mengalami kebocoran. Misalnya, pada 2015, peretas mencuri alamat email LastPass dan pertanyaan keamanan pengguna.

Dengan mengingat hal ini, sejumlah pakar keamanan informasi ( termasuk perwakilan kantor FBI di Portland) lebih suka opsi alternatif untuk bekerja dengan autentikator - frasa sandi. Mereka lebih mudah diingat daripada kata sandi alfanumerik dengan karakter khusus .

Pada saat yang sama, mereka dianggap lebih dapat diandalkan - pada tahun 2015, seorang ahli di bidang ilmu komputer Evgeny Panferov secara matematis membuktikan bahwa untuk memperkuat perlindungan terhadap serangan brute force, perlu untuk memperluas pengidentifikasi, dan tidak meningkatkan kompleksitasnya karena angka, kisi dan tanda bintang ( hal . 2 ). Konsep ini juga diilustrasikan oleh penulis komik xkcd tentang hari kerja pengembang.


Foto - Erik Mclean - Unsplash

E-Frontier Engineers (EFF) mendukung gagasan ini dengan frasa sandi. Mereka bahkan menyarankan cara yang tidak biasa untuk menghasilkan mereka - menggunakan dadu. EFF menyusun daftar 60 ribu kata dalam bahasa Inggris , membandingkan dengan masing-masing urutan angka tertentu yang muncul pada kubus.

Cukup pilih enam kata untuk mendapatkan pengidentifikasi acak 25-30 karakter. Dianjurkan untuk melempar dadu karena otak manusia tidak dapat menghasilkan urutan angka acak. Kami secara tidak sadar berusaha untuk memilih angka yang memiliki arti bagi kami. Oleh karena itu, pada tahun 1890, psikolog Inggris Francis Galton menulis bahwa dadu adalah "generator acak" yang paling efektif.

Rotasi kata sandi tidak diperlukan


Kita semua menghadapi persyaratan untuk mengubah kata sandi dari akun sebulan sekali atau enam bulan. Tetapi kepala perusahaan keamanan Spycloud, Ted Ross , mengatakan rotasi seperti itu tidak ada gunanya.

Ini mendorong pengguna untuk hanya sedikit memodifikasi kata sandi dan menggunakan kembali pengidentifikasi masa lalu . Semua ini membahayakan keamanan akun Anda. Juga dipertimbangkan di Institut Nasional Standar dan Teknologi (NIST). Mereka sedang mengembangkan kerangka kerja kata sandi baru. Omong-omong, itu sudah diterapkan di Microsoft - sejak tahun lalu, Windows tidak lagi mengharuskan pengguna untuk secara teratur membuat data otentikasi baru.

Identifier harus diubah hanya jika dikompromikan. Ada alat khusus untuk memverifikasi fakta ini - misalnya, layanan yang akrab Sudah Banyak Saya Pwned . Cukup masukkan alamat email Anda dan itu akan ditampilkan jika email telah "diekspos" dalam kebocoran apa pun. Anda juga dapat mengatur notifikasi - jika "saluran" baru, notifikasi akan diterima.


Foto - Nijwam Swargiary -

Ganti Unsplash Ganti kata sandi jaringan yang bocor harus untuk akun yang sudah lama tidak aktif. Tetapi lebih baik untuk menghapus akun ini sekaligus. Tanpa pengawasan, mereka dapat menyebabkan kompromi data pribadi. Bahkan sepotong kecil informasi akan membantu penyerang untuk mengumpulkan informasi yang hilang tentang "korban" di layanan lain.

Pada beberapa sumber, prosedur untuk menutup akun tidak begitu sederhana. Terkadang Anda harus berkomunikasi dengan dukungan teknis, dan kadang-kadang - untuk waktu yang lama untuk mencari tombol yang diinginkan di antarmuka. Namun, ada alat yang dapat menyederhanakan tugas ini. Misalnya, JustDeleteMe adalah direktori instruksi singkat dan tautan untuk menonaktifkan akun. Ini adalah ekstensi untuk Chrome yang menambahkan tombol khusus ke omnibar. Dengan mengkliknya, halaman terbuka untuk menonaktifkan akun pada sumber daya saat ini (jika mungkin). Maka tetap mengikuti instruksi.

Bekerja dengan dokumen pada OS khusus


Sekitar 38% dari virus berpose sebagai file dock. Hari ini adalah salah satu vektor paling umum dari serangan hacker. Anda dapat melindungi diri dari malware yang didistribusikan dengan cara ini jika Anda membuka dokumen yang mencurigakan di cloud editor. Pakar EFF mencatat bahwa dalam hal ini, Anda hampir pasti dapat mencegah pemasangan malware. Tetapi metode ini tidak cocok untuk dokumen rahasia - ada risiko membuatnya dipublikasikan. Misalnya, pada tahun 2018, dokumen pribadi pengguna Google masuk ke domain publik - mereka diindeks oleh mesin pencari.

Insinyur dari Electronic Frontier Foundation mengatakan bahwa memasang sistem operasi khusus dapat menjadi salah satu cara untuk melindungi diri Anda dari virus dalam PDF dan DOC.(mungkin di cloud penyedia IaaS ) untuk membaca dokumen elektronik - misalnya, Qubes . Di dalamnya, tindakan OS dan pengguna dilakukan pada mesin virtual yang terpisah. Oleh karena itu, jika salah satu komponen dikompromikan, malware akan diisolasi dan tidak akan dapat mengakses seluruh sistem.

(BUKAN) instalasi pembaruan otomatis


Pakar keamanan informasi - misalnya, insinyur dari Tech Solidarity dan FOSS Linux - merekomendasikan pengaturan instalasi otomatis pembaruan keamanan untuk sistem operasi dan aplikasi. Namun, tampilan ini tidak dibagikan oleh semua orang.


Foto - Rostyslav Savchyn - Unsplash

Sebagian besar peretasan sistem TI dapat benar-benar dihindari jika diperbarui tepat waktu. Contoh yang mencolok adalah kebocoran data pribadi 140 juta penduduk AS dari Equifax. Penyerang menggunakan kerentanan dalam kerangka kerja Apache Struts ( CVE-2017-5638 ) terkait dengan kesalahan dalam penanganan pengecualian. Sebuah tambalan telah muncul untuknyadua bulan sebelum serangan terhadap Equifax. Tetapi pembaruan otomatis dapat menyebabkan bukan konsekuensi yang paling menyenangkan. Ada situasi ketika "tambalan" baru, memecahkan satu masalah, membuat yang lain - lebih serius . Pada 2018, Microsoft harus menghentikan distribusi versi baru sistem operasi karena kesalahan menghapus file pribadi pengguna.

Kami dapat menyimpulkan bahwa pembaruan harus diinstal sesegera mungkin, tetapi berhati-hatilah. Sebelum Anda menggulung tambalan, Anda harus mempelajari perilakunya, membaca ulasan, dan membuat keputusan berdasarkan informasi yang Anda temukan.

Lain kali kami terus berbicara tentang rekomendasi yang tidak biasa yang akan membantu melindungi sistem TI dari pengganggu. Kami juga tertarik mendengarkan solusi apa yang Anda gunakan untuk meningkatkan keamanan informasi - membagikannya di komentar.

Kami di 1cloud.ru menawarkan layanan Cloud Pribadi . Anda dapat menyewa infrastruktur virtual untuk proyek Anda. Untuk pelanggan baru - pengujian gratis.
Kami menggunakan peralatan kelas perusahaan dari Cisco, Dell, NetApp. Virtualisasi dibangun di atas hypervisor VMware vSphere.

More articles:


All Articles