Я знаю, что все многие хабражители читали мемуары удалых хакеров, где очень ясно рассказывается о том, что самым слабым звеном в цепи информационной безопасности, как правило, является не протокол, программа или машина, а человек (админ, пользователь, а то и руководитель).
Читал и я, даже возмущался: «Нет, ну как же можно по телефону кому-то там сказать свой пароль». Но, увы, лучше всего запоминается удар граблей по собственному лбу. Так и вышло. За последние пару месяцев я стал свидетелем и даже участником нескольких ситуаций, о которых рассказывать стыдно, но социально полезно.
Все мы обо всём прекрасно знаем в общем и в теории, но в частных случаях и на практике — знаниями часто пренебрегаем. Тут лучше всего спасает опыт (в идеале: негативный, но чужой). Им и хочу поделиться, а вас приглашаю заняться тем же в комментариях (несколько простых, но очень полезных советов — там уже прозвучало).
Конечно, есть шредеры и комбайны для уничтожения оптических и даже жёстких дисков. Но место им на предприятии (где инструкции по безопасности надлежит не только сочинять и подписывать, но также внимательно читать и исполнять всем сотрудникам), а дома, как правило, приходится всё делать руками.
С оптическими дисками всё просто: они отлично царапаются уголком любого USB-штекера (ищите его на флешке или любом кабеле, да). Фотка в тизере иллюстрирует результат 10 секундных манипуляций. Хотя диск не читается уже после одно глубокой царапины по радиусу (проверил на приводе NEC модели семь тысяч какой-то). От греха подальше: сделайте много царапин. В комментариях Levsha100 и sproson сомневаются в надёжности этого метода и рекомендуют диски ломать или глубоко царапать с обеих сторон (иначе заполируют и прочитают). Что ж, предлагаю исходить из реальной ценности информации и выбирать пропорциональную меру порчи носителя.
Жёсткому диску недостаточно сломать только контроллер, нужно испортить пластины, как и флешке недостаточно отломать только штекер (надо крушить микросхемы памяти). Либо, как разумно советует grey_one, форматируйте носитель, чтобы нельзя было оттуда что-то восстановить (быстрое форматирование, очищающее только структуру — разумеется не подойдёт). HDD и флешки конечно не часто выбрасываются, зато последние — часто теряются.
Бумагу (если лень рвать) можно залить водой или лучше каким-то моющим средством: даже на пачках в 20-30 листов всё очень лихо разъедается и расплывается.
Страшилка по теме: я недавно выкинул пачку DVD-болванок с бекапами сайтов за 2008 год. Паролей пользователей в дампах баз не было (были хеши с солью), но в конфигах CMS были пароли для доступа к БД. Да, я их сменил. Да, почти все хостеры запрещают по умолчанию соединение с БД с удалённого хоста. Но всё же.
Если провайдер, хостер, платежная система или владельцы какого-то веб-сервиса просят у вас пароль, то не верьте им, это вообще не они, а злоумышленники.
Если кто-то посторонний должен иметь доступ к вашим паролям, то ознакомьте его со всеми потенциальными опасностями. Объясняйте так, чтобы вас поняли (например, жён убеждает опасность растраты семейного бюджета на счетах от провайдера).
Страшилка первая: знакомый работает у провайдера в сюппорте. Ему бывает лень лазить в биллинг, поэтому он спрашивает пароль у клиента по телефону, чтобы проверить правильно ли тот его ввёл. А у провайдера активно используется услуга callback. Если вовремя перезвонить, то ни о чём не подозревающий человек сам продиктует вам свои пароли. По крайней мере знакомому в этом ни разу не отказывали.
Страшилка вторая: однажды я, отправляя письмо хостеру, доверился автокомплиту почтового клиента. В итоге письмо ушло не тому адресату. Так быстро пароли я ещё никогда не менял. Кстати, теперь мой хостер тоже образумился: уже не просит (и даже, наверное, не рекомендует) указывать пароль при обращении, когда письмо отправляется с авторизованной в аккаунте почты.
Вообще, я не думаю, что аудитория Хабра столь безумна, чтобы паролями ставить даты рождения своих детей или вытворять что-то подобное. Но бывают более тонкие моменты. Пример — в страшилке.
Кроме того, по части паролей следует проконсультировать окружающих вас людей, если вас волнует их приватность (а ведь она может быть и вашей — например, некоторые семейные фотки бывают не предназначены для публичного просмотра).
Страшилка: пока проект разрабатывается охранять там особо нечего, верно? Поэтому обычно на время разработки паролем ставят как раз что-то в духе «abcd1234». Так вот я проверил: из 4 последних проектов запущенных в продакшн на одном мы дефолтный пароль админа — мы так и не сменили. Хорошо хоть, что дефолтный пароль у нас хоть и знают все, но придумывается он для каждого проекта отдельный.
Лучше везде, где можно, настройте авторизацию по ключу. А закрытый ключ храните на локальном сервере (и копию на флешке в сейфе). Для менее рабочих целей есть программы менджеры-паролей (в комментариях активнее всего советуют RoboForm или кросс-платформенный KeePas), мастер-пароль вы уж постарайтесь запомнить в голове и вообще нигде его не записывать. В простейшем случае сохраните пароли в текстовый файл и закриптуйте его паролем из головы.
Если сохраняете пароли в почтовом или FTP-клиенте, то побеспокойтесь о нормальной антивирусной защите, любой троян или бэкдур с удовольствием утащит файлик с вашими паролями.
Отдельный совет для тех, кто хранит пароль в браузере (от комментатора alfsoft): используйте мастер-пароль в тех браузерах, которые это поддерживают.
Страшилка первая: пожилые или просто далёкие от IT люди часто царапают свой PIN-код прямо на пластиковой карточке (это народный фольклор уже, но тем не менее).
Страшилка вторая: было дело, троян своровал пароль сохранённый в FTP-клиенте (кажется, это был не самый свежий Total Commander, но многие другие клиенты в этом плане не лучше) у админа с локального компьютера и навтыкал фреймов с заразой на живые сайты партнёров, куда ходили потенциальные клиенты (в итоге посетители или заражались, или получали вопли от антивируса). Кстати, сейчас сайты с троянами Яндекс особым образом помечает в выдаче — притом трояна вы можете убить сейчас, но пометка исчезнет только после очередной переиндексации, например, неделю спустя.
Не храните ничего важного на нетбуке или телефоне.
На нетбуках ставьте пароли (нормальные) и шифруйте файловую систему.
На флешках храните всё (или хотя бы всё важное) в зашифрованном виде (например, в RAR-архиве с нормальным паролем).
Если у вас несколько одинаковых с виду флешек, то наклейте на них какие-то ярлычки, чтобы вдруг не отдать в налоговую флешку с бэкапом всей чёрной бухгалтерии вашей конторы вместо квартального отчёта (налоговая-то будет рада, а вот руководитель — вряд ли).
Юзер panaslonik рассказал пикантную историю из которой следует, что флешки из фотоаппаратов надо чистить особенно тщательно, если вы их собираетесь кому-то отдавать.
Страшилка: ну, вы сами много раз читали как военные и ведомственные чиновники, клерки и банкиры разных уровней и в разных странах утрачивали разными способами ноутбуки с военными тайнами и приватными данными тысяч граждан.
Да-да, это все знают: охраняйте пароли, делайте бекапы. Я знаю, вы знаете. Но всё ли известное мы реализуем на практике?
Убеждают живые примеры. Делитесь ими в комментариях, пожалуйста.
Читал и я, даже возмущался: «Нет, ну как же можно по телефону кому-то там сказать свой пароль». Но, увы, лучше всего запоминается удар граблей по собственному лбу. Так и вышло. За последние пару месяцев я стал свидетелем и даже участником нескольких ситуаций, о которых рассказывать стыдно, но социально полезно.
Все мы обо всём прекрасно знаем в общем и в теории, но в частных случаях и на практике — знаниями часто пренебрегаем. Тут лучше всего спасает опыт (в идеале: негативный, но чужой). Им и хочу поделиться, а вас приглашаю заняться тем же в комментариях (несколько простых, но очень полезных советов — там уже прозвучало).
Аккуратная утилизация: не выбрасывайте и не теряйте информацию
Конечно, есть шредеры и комбайны для уничтожения оптических и даже жёстких дисков. Но место им на предприятии (где инструкции по безопасности надлежит не только сочинять и подписывать, но также внимательно читать и исполнять всем сотрудникам), а дома, как правило, приходится всё делать руками.
С оптическими дисками всё просто: они отлично царапаются уголком любого USB-штекера (ищите его на флешке или любом кабеле, да). Фотка в тизере иллюстрирует результат 10 секундных манипуляций. Хотя диск не читается уже после одно глубокой царапины по радиусу (проверил на приводе NEC модели семь тысяч какой-то). От греха подальше: сделайте много царапин. В комментариях Levsha100 и sproson сомневаются в надёжности этого метода и рекомендуют диски ломать или глубоко царапать с обеих сторон (иначе заполируют и прочитают). Что ж, предлагаю исходить из реальной ценности информации и выбирать пропорциональную меру порчи носителя.
Жёсткому диску недостаточно сломать только контроллер, нужно испортить пластины, как и флешке недостаточно отломать только штекер (надо крушить микросхемы памяти). Либо, как разумно советует grey_one, форматируйте носитель, чтобы нельзя было оттуда что-то восстановить (быстрое форматирование, очищающее только структуру — разумеется не подойдёт). HDD и флешки конечно не часто выбрасываются, зато последние — часто теряются.
Бумагу (если лень рвать) можно залить водой или лучше каким-то моющим средством: даже на пачках в 20-30 листов всё очень лихо разъедается и расплывается.
Страшилка по теме: я недавно выкинул пачку DVD-болванок с бекапами сайтов за 2008 год. Паролей пользователей в дампах баз не было (были хеши с солью), но в конфигах CMS были пароли для доступа к БД. Да, я их сменил. Да, почти все хостеры запрещают по умолчанию соединение с БД с удалённого хоста. Но всё же.
Социальный фишинг: не сообщайте пароли анонимам или по открытым каналам
Если провайдер, хостер, платежная система или владельцы какого-то веб-сервиса просят у вас пароль, то не верьте им, это вообще не они, а злоумышленники.
Если кто-то посторонний должен иметь доступ к вашим паролям, то ознакомьте его со всеми потенциальными опасностями. Объясняйте так, чтобы вас поняли (например, жён убеждает опасность растраты семейного бюджета на счетах от провайдера).
Страшилка первая: знакомый работает у провайдера в сюппорте. Ему бывает лень лазить в биллинг, поэтому он спрашивает пароль у клиента по телефону, чтобы проверить правильно ли тот его ввёл. А у провайдера активно используется услуга callback. Если вовремя перезвонить, то ни о чём не подозревающий человек сам продиктует вам свои пароли. По крайней мере знакомому в этом ни разу не отказывали.
Страшилка вторая: однажды я, отправляя письмо хостеру, доверился автокомплиту почтового клиента. В итоге письмо ушло не тому адресату. Так быстро пароли я ещё никогда не менял. Кстати, теперь мой хостер тоже образумился: уже не просит (и даже, наверное, не рекомендует) указывать пароль при обращении, когда письмо отправляется с авторизованной в аккаунте почты.
Банальная криптостойкость: qwerty — это не пароль
Вообще, я не думаю, что аудитория Хабра столь безумна, чтобы паролями ставить даты рождения своих детей или вытворять что-то подобное. Но бывают более тонкие моменты. Пример — в страшилке.
Кроме того, по части паролей следует проконсультировать окружающих вас людей, если вас волнует их приватность (а ведь она может быть и вашей — например, некоторые семейные фотки бывают не предназначены для публичного просмотра).
Страшилка: пока проект разрабатывается охранять там особо нечего, верно? Поэтому обычно на время разработки паролем ставят как раз что-то в духе «abcd1234». Так вот я проверил: из 4 последних проектов запущенных в продакшн на одном мы дефолтный пароль админа — мы так и не сменили. Хорошо хоть, что дефолтный пароль у нас хоть и знают все, но придумывается он для каждого проекта отдельный.
Не записывайте пароли (по крайней мере, на тех бумажках, которые выкидываете или храните рядом с логинами)
Лучше везде, где можно, настройте авторизацию по ключу. А закрытый ключ храните на локальном сервере (и копию на флешке в сейфе). Для менее рабочих целей есть программы менджеры-паролей (в комментариях активнее всего советуют RoboForm или кросс-платформенный KeePas), мастер-пароль вы уж постарайтесь запомнить в голове и вообще нигде его не записывать. В простейшем случае сохраните пароли в текстовый файл и закриптуйте его паролем из головы.
Если сохраняете пароли в почтовом или FTP-клиенте, то побеспокойтесь о нормальной антивирусной защите, любой троян или бэкдур с удовольствием утащит файлик с вашими паролями.
Отдельный совет для тех, кто хранит пароль в браузере (от комментатора alfsoft): используйте мастер-пароль в тех браузерах, которые это поддерживают.
- В Opera: Инструменты — Настройки — Дополнительно — Безопасность — Установить пароль.
- В FF: Инструменты — Настройки — Защита — Использовать мастер-пароль.
Страшилка первая: пожилые или просто далёкие от IT люди часто царапают свой PIN-код прямо на пластиковой карточке (это народный фольклор уже, но тем не менее).
Страшилка вторая: было дело, троян своровал пароль сохранённый в FTP-клиенте (кажется, это был не самый свежий Total Commander, но многие другие клиенты в этом плане не лучше) у админа с локального компьютера и навтыкал фреймов с заразой на живые сайты партнёров, куда ходили потенциальные клиенты (в итоге посетители или заражались, или получали вопли от антивируса). Кстати, сейчас сайты с троянами Яндекс особым образом помечает в выдаче — притом трояна вы можете убить сейчас, но пометка исчезнет только после очередной переиндексации, например, неделю спустя.
Могут украсть другие, можете потерять или отдать сами по ошибке
Не храните ничего важного на нетбуке или телефоне.
На нетбуках ставьте пароли (нормальные) и шифруйте файловую систему.
На флешках храните всё (или хотя бы всё важное) в зашифрованном виде (например, в RAR-архиве с нормальным паролем).
Если у вас несколько одинаковых с виду флешек, то наклейте на них какие-то ярлычки, чтобы вдруг не отдать в налоговую флешку с бэкапом всей чёрной бухгалтерии вашей конторы вместо квартального отчёта (налоговая-то будет рада, а вот руководитель — вряд ли).
Юзер panaslonik рассказал пикантную историю из которой следует, что флешки из фотоаппаратов надо чистить особенно тщательно, если вы их собираетесь кому-то отдавать.
Страшилка: ну, вы сами много раз читали как военные и ведомственные чиновники, клерки и банкиры разных уровней и в разных странах утрачивали разными способами ноутбуки с военными тайнами и приватными данными тысяч граждан.
Вместо заключения
Да-да, это все знают: охраняйте пароли, делайте бекапы. Я знаю, вы знаете. Но всё ли известное мы реализуем на практике?
Убеждают живые примеры. Делитесь ими в комментариях, пожалуйста.
