Видео: Настя и сборник весёлых историй (Септември 2024)
Да бъдеш сигурен не е понякога нещо, а продължаващ процес. Вие не сте сигурни, защото използвате определен инструмент - вие сте сигурни, защото прилагате мисловен режим за сигурност всеки ден.
Вземете пароли. Чувате напомнянията непрекъснато - не използвайте повторно пароли в сайтове, приложения и услуги. Не избирайте слаби пароли. Използвайте мениджър на пароли, за да можете да изберете супер сложни пароли и да не се притеснявате да се опитвате да ги запомните. Включете двуфакторната автентификация, когато е възможно. Всичко това са добри съвети, които трябва да запомните и следвате. По-рано тази седмица моят колега Нийл Рубенкинг направи препоръката на мениджъра на пароли с една стъпка по-напред и каза, че влизането в уебсайтове на трети страни с вашите данни от Google, Facebook, Twitter или други социални медии представлява риск за сигурността. Не купувам този аргумент.
Видяхте за какво говоря. Въпреки че повечето услуги изискват да създадете акаунт от нулата, има сайтове, където можете да влезете с вашите идентификационни данни за социалните медии. Например Expedia ви позволява да влизате с Facebook. Или Inoreader (моят RSS четец по избор), който ви позволява да влизате с Google. Това ви позволява да пропуснете процеса на създаване на акаунта и просто да влезете с акаунт, който вече имате. Удобно, нали? Много. Това е въпрос на сигурността, както Нийл каза в парчето си? Не.
Винаги, когато видя сайт, който ми позволява да влизам с друг акаунт, избирам тази опция. Не използвам акаунта си във Facebook за влизане (съжалявам, Expedia), но ако има опция за използване на моя акаунт в Google, го правя. Имам силна и сложна парола и също така активирах двуфакторно удостоверяване. Така че профилът ми в Google е толкова безопасен, колкото мога да го направя, и се доверявам на Google да предприеме необходимите стъпки, за да запази моята информация. Нищо против Facebook, но мисля, че съм предприел по-добри стъпки за защита на профила си в Google от Facebook.
Вярвам ли ти? Не
Когато дойда на сайт и трябва да създам акаунт, първата ми мисъл е: „Вярвам ли ви?“. Вярвам ли на сайта, за да запазя данните си безопасни? И нямам предвид само пароли и номера на кредитни карти. Вярвам ли на сайта, че е предприел необходимите стъпки за защита на моя телефонен номер, пощенски адрес и дата на раждане в неговата база данни? Честно казано? За повечето компании, не, не го правя. Сигурността на приложенията е трудна - повечето разработчици все още просто учат практики за сигурно кодиране - както е ефективно осигуряването на базата данни. Това е незавършена работа и много компании все още не са там по отношение на сигурността. Тъй като не мога да заобичам въпросите на компаниите: "Вярвам ли ви, че пазите паролата си защитена и не я открадвате от хакери?" Поемам по лесния път и предполагам, че не мога.
Спомняте ли си нарушението на Gawker преди няколко години? Всички онези имейл адреси и пароли са изложени, тъй като разработчиците на Gawker не са предприели стъпки за правилното им обезопасяване. Не казвам, че Гаукер е сгрешил - това е медийна компания и никой там не е предполагал, че някой ще продължи след системата за коментари на сайта. Но се случи. Като потребител, аз няма да се опитвам да проверя кои компании са достатъчно настроени към сигурността, за да се доверят на тяхното приложение и кои не. Ще се съсредоточа върху това кой върши работата правилно.
Важното при влизането с моите идентификационни данни на Google: сайтът не пази паролата ми или друга информация. Когато щракнете върху бутона Google+, се пренасочвам към страница в Google и се удостоверявам спрямо сървърите на Google. След това Google казва на сайта, че да, аз съм този, за когото казвам, че съм и ме връща обратно в сайта. Което означава, че информацията ми остава в Google и сайтът просто получава знак, който гласи „тя е влязла успешно, пусни я“.
Помислете за всички нарушения на сайта, които сме наблюдавали през последните две години. Има сайтове, за които се регистрирам, само за да видя какво е, и след няколко дни се откажа, защото не е това, което ми трябваше. Ако създадох акаунт в сайта, моята информация е в базата данни на този сайт. Дори след като изоставя този сайт, акаунта ми живее. (Ето защо не харесвам сайтове, които не ви позволяват да изтривате акаунти, но това е различна история за друг ден.) Това е много потенциални места за открадване на моите данни. Ако използвам моя акаунт в Google, за да вляза, тогава сайтът няма информация за мен за кражба. Това е успокояващо. Ако изоставя този сайт, Google ми позволява да отнема разрешения за акаунт, така че никой друг да не може да влезе като мен.
Нека да поговорим за оттеглянето. Целият смисъл, който позволява на Google, Facebook и Twitter да обработват влизането, означава, че можете също да ги използвате, за да блокирате достъпа. Например, използвам Google за влизане в Inoreader. Кажете, че вече не искам да използвам Inoreader. Просто влизам в настройките на профила си в Google и кликвам върху „оттегляне на достъп“. И това е. Ето защо използвам Twitter за влизане в някои сайтове. Twitter свързва изключително лесно разединяването на приложения, след като свърша.
Целта ми е да имам възможно най-малко бази данни в света, съдържащи запис с моята лична информация.
Друго нещо, което харесвам при влизането с Google: специфични за профила пароли. Генерирам произволна парола, която Google вече знае, че е паролата за този сайт. Тази парола работи само за този сайт и не дава достъп до нищо друго. Вместо да генерирам пароли чрез мениджър на пароли и да създавам съвсем нов акаунт, поддържам процеса с Google. Използвам парола, различна от паролата ми за електронна поща и прескачам целия процес на създаване на акаунта, като се придържам към механизмите на Google. Това е доста полезно, ако аз влизам в мобилно приложение, например. Google вече знае как да потвърди самоличността ми и като редовното влизане, аз просто отменя паролата и това приложение вече не може да влиза.
Придържайте се към кого имате доверие
Нийл зададе много добър въпрос: запитайте се дали този сайт трябва да знае нещо за вас. Трябва ли сайтът за вас да знае вашето име, имейл адрес, физически адрес и телефонен номер или друга информация за профила? Ако не стане, не го предавайте. Пазете го с кого имате доверие.
Ако вашата парола във Facebook е „Password1“ и някой с нечестиви намерения изясни това, тогава да, този човек може да продължи напред и да влезе във всеки друг сайт, свързан с вашия акаунт. Но как се различава това, което сте избрали „Password1“ за този сайт да започнете с това? Ако използвате лесна за запомняне парола за вашия имейл или сайт за социални медии, тогава най-вероятно не използвате низ от трудно запомнящи се символи за вашия чест акаунт на лети мили, нали? Значи това е онази слаба парола, която крещи "Хак ме!" не фактът, че сте влезли с различен акаунт. И ако някой е измислил паролата ви в Google, не мисля, че най-голямото ви притеснение е дали този човек вече може да влезе във вашите свързани профили. Не и когато е толкова лесно просто да поискате имейли за нулиране на паролата.
Сигурността няма вълшебен куршум. Даден инструмент може да се използва както за добро, така и за лошо. Всичко е в това как подходите към него. Предпочитанието ми е да не се базирам на бази данни. Какво е твоето?
