В сети гуляет множество советов по безопасности. Хотя многое из этого является надежным и поможет вам улучшить вашу безопасность, вы иногда будете сталкиваться с советами, которые не так хороши. Например, нередко можно увидеть статьи с устаревшими рекомендациями или теоретическими угрозами безопасности, которые преувеличены. А в некоторых случаях информация просто неверна.
Вот восемь примеров плохих советов по безопасности, которые вы можете спокойно игнорировать.
1. Регулярно меняйте пароль
Раньше лучше всего было менять пароли каждые несколько месяцев. Причина была проста: если злоумышленник наткнется на один из ваших старых паролей, он больше не будет использоваться, и ваша учетная запись будет в безопасности.
Однако этот совет в настоящее время считается устаревшим и существует уже много лет. Вот почему:
- Ярлыки : пользователи, которые часто меняют свои пароли, склонны использовать ярлыки — например, повторно используя пароли или добавляя в них личную информацию, что ослабляет безопасность учетной записи.
- Практичность : хотя частые сбросы паролей могли быть возможны, когда у вас было всего несколько учетных записей, о которых нужно было беспокоиться, в наши дни вам, вероятно, приходится управлять сотнями учетных записей онлайн-сервисов, каждая из которых имеет свой уникальный набор учетных данных для входа. Периодическая смена всех ваших паролей была бы логистическим кошмаром.
Итог
Вместо того, чтобы периодически менять свои пароли, вам следует использовать хороший менеджер паролей — предпочтительно тот, который уведомит вас, если один из ваших паролей был взломан, — чтобы оставаться в курсе ваших учетных данных для входа и защищать свои учетные записи с помощью многофакторной аутентификации.
К примеру, автор использует
Bitwarden Open Source Password Manager | Bitwarden
2. Не сканируйте QR-коды
По мере роста популярности использования QR-кодов некоторые эксперты по безопасности, в том числе ФБР , выразили обеспокоенность тем, что злоумышленники могут использовать их для перенаправления людей на фишинговые сайты и/или загрузки вредоносных программ.
Хотя теоретически риски возможны, реальность такова, что реальных случаев очень мало, и вероятность того, что вы столкнетесь с вредоносным ПО или фишинговой атакой в своем почтовом ящике или SMS, возрастает в геометрической прогрессии. Совет не является неправильным сам по себе, просто для большинства людей он находится далеко в списке приоритетов безопасности.
Итог
Риск сканирования QR-кода близок к нулю. При этом, если вы собираетесь вводить финансовую информацию, лучше перестраховаться, чем сожалеть, независимо от того, пытаетесь ли вы получить доступ к странице через URL-адрес или QR-код. Просто найдите секунду, чтобы вручную ввести URL-адрес в браузере, и все готово.
3. Просто используйте Mac!
Чрезмерно усердные пользователи Apple иногда любят заявлять, что компьютеры Mac каким-то образом невосприимчивы к вредоносным программам. Например, если вы действительно хотите улучшить свою игру в области кибербезопасности, вы просто переключитесь на macOS!
Реальность такова, что ни одна операционная система не идеальна, когда речь идет о безопасности. Хотя экосистема «огороженного сада» Apple может обеспечить более высокий уровень контроля качества программного обеспечения, чем среда Windows на Диком Западе, на Mac по-прежнему можно получить вредоносное ПО, включая трояны, дропперы, программы-вымогатели и многое другое.
Основная причина того, что для Mac существует меньше вредоносных программ, заключается просто в том, что Windows является более крупной целью. Windows занимает около 76% рынка, в то время как только 16% пользователей настольных компьютеров и ноутбуков используют macOS. Киберпреступникам не так выгодно ловить рыбу меньшего размера, поэтому они, как правило, нацеливаются на систему с большим количеством пользователей.
Итог
Да, Mac по-прежнему получает вредоносное ПО. Нет, нет смысла переходить на совершенно новую операционную систему, которая может быть не намного более безопасной.
4. Измените языковые настройки, чтобы избежать программ-вымогателей.
Некоторые эксперты по кибербезопасности предположили, что изменение раскладки клавиатуры и языковых настроек на русский(Russian) может быть простым способом защитить вашу систему от программ-вымогателей.
Как? Что ж, банды вымогателей обычно не сталкиваются с какими-либо последствиями со стороны правоохранительных органов внутри Содружества Независимых Государств, если они не нацелены на организации в этих регионах. И чтобы избежать непреднамеренного нападения на организацию, базирующуюся в СНГ, многие семейства программ-вымогателей проверяют настройки языка и клавиатуры целевой системы перед выполнением полезной нагрузки. Если обнаруживается язык CIS, например русский, программа-вымогатель прекращает работу, не зашифровав ни одного файла.
Однако в этом совете по безопасности есть несколько серьезных пробелов. Во-первых, недостаточно просто установить клавиатуру для языка СНГ. Большинство штаммов программ-вымогателей проверяют активный язык системы, а не только установленные языки, а это означает, что если вы не хотите использовать русскую раскладку клавиатуры, программа-вымогатель все равно будет выполняться. Во-вторых, что более важно, процесс проверки языка — это всего лишь один небольшой шаг в процессе проверки цели злоумышленника. Операторы программ-вымогателей используют различные методы, чтобы узнать как можно больше о своих целях, и могут легко определить, законно ли находится организация в СНГ, независимо от ее клавиатуры и языковых настроек.
Итог
Изменение языковых настроек или использование кириллической раскладки клавиатуры вряд ли предотвратит атаки программ-вымогателей. Гораздо лучше использовать это время для реализации проверенных методов борьбы с программами-вымогателями.
5. Не пользуйтесь общественными зарядными станциями
В последние годы различные эксперты по кибербезопасности, включая Федеральную комиссию по связи ( FCC ), выпускали предупреждения о джекинге — типе атаки, при которой злоумышленник загружает вредоносное ПО в USB-порт общественной зарядной станции. Поскольку стандарт USB передает как электричество, так и данные, существует риск того, что подключение вашего устройства к скомпрометированному USB-порту может привести к краже данных или заражению вредоносным ПО.
Но вам не нужно слишком беспокоиться о juice jacking. Хотя теоретически вполне возможно, что особенно решительный киберпреступник может взломать общественную зарядную станцию, шансы столкнуться с этим типом атаки и тем, что она действительно сработает, чрезвычайно малы. На самом деле, на сегодняшний день мы не знаем о каких-либо реальных инцидентах с использованием juice jacking.
Итог
Было несколько концептуальных примеров джок джекинга, но атаки в дикой природе крайне редки или даже не существуют. Для субъектов угроз они сложны в реализации и не масштабируемы. Вам почти наверняка не нужно беспокоиться об этом; в вашем списке дел по безопасности есть более важные дела.
6. Используйте VPN для повышения безопасности и конфиденциальности
Потребительские VPN полезны, если вы хотите скрыть свою активность от своего интернет-провайдера или получить доступ к контенту с географическим ограничением.
Однако с точки зрения безопасности преимущества VPN довольно ограничены. Виртуальные частные сети действительно шифруют ваш сетевой трафик, что было несколько полезно в те дни, когда большая часть Интернета все еще использовала незашифрованный HTTP. Но теперь, когда подавляющее большинство Интернета использует HTTPS — см. пункт № 8 ниже — VPN не предлагает слишком много в плане безопасности. Или конфиденциальность. По сути, вы заменяете своего интернет-провайдера поставщиком VPN, поэтому, если вы не доверяете первому больше, чем второму, вы на самом деле не улучшаете свою ситуацию.
Итог
Если вы не пытаетесь получить доступ к контенту с географическим ограничением или к торрентам, вам, вероятно, не понадобится VPN. Реальность такова, что его использование мало что сделает для повышения вашей безопасности или конфиденциальности.
7. Не нажимайте на подозрительные ссылки
Проблема с этим советом в том, что люди не нажимают на ссылки, которые кажутся им подозрительными — в конце концов, никто активно не пытается заразиться вредоносным ПО или стать жертвой фишинговой атаки. Скорее, люди нажимают на ссылки, которые не выглядят для них подозрительными.
Вместо этого мы должны говорить о подсказках, которые могут указывать на то, что ссылка является вредоносной. Например, если вы наводите курсор на URL-адрес и обнаруживаете, что адрес назначения не соответствует тексту ссылки, есть большая вероятность, что вы имеете дело с вредоносной ссылкой. Точно так же, если содержимое, содержащее ссылку, плохо написано или визуально не соответствует бренду, или если вас просят предоставить информацию, которую ни в коем случае нельзя разглашать, например, пароль или PIN-код, вам, вероятно, следует избегать нажатия на URL-адрес.
Итог
Важно быть осторожным с кликами, но прежде чем вы сможете начать избегать вредоносных ссылок, вам нужно знать, как на самом деле выглядит вредоносная ссылка!
8. Не используйте общедоступный Wi-Fi
На заре Интернета большинство веб-сайтов использовали незашифрованный протокол HTTP. Это означало, что другие люди в вашей сети могли легко отслеживать ваш сетевой трафик, просматривать веб-страницы, к которым вы обращались, отслеживать ваши сообщения и перехватывать любые другие данные, которые вы могли отправить.
Однако все это начало меняться с постепенным распространением протокола HTTPS, который обеспечивает безопасность связи между вашим браузером и веб-сервером. При использовании HTTPS трафик шифруется, а это означает, что даже если ваши данные будут перехвачены, их нельзя будет использовать. В наши дни около 95% загрузок веб-страниц используют HTTPS , и большинство браузеров предупредят вас, если вы посетите традиционный HTTP-сайт.
Итог
Почти каждый важный онлайн-сервис использует HTTPS, и реальный риск использования общедоступного Wi-Fi очень низок. И нет, вам не нужно использовать VPN — даже в общедоступной сети Wi-Fi.
