«Если вы храните пароли в мессенджерах – вы идиот». Хакер рассказал, как обезопасить данные от взломов

Специалист по кибербезопасности и основатель проекта HackYourMom  Никита Кныш рассказал MC.today, как обезопасить свои мессенджеры и данные от взлома.

Shocked woman looking at mobile phone isolated on gray background

«В любом мессенджере, в любой социальной сети должна быть включена двухфакторная аутентификация. Если в мессенджере есть двухфакторка, то это более безопасный мессенджер, чем мессенджер без двухфакторки. Давайте с этого начинать, а не с анализа симметричного или асимметричного шифрования».

Специалист рассказывает, что сам пользуется Signal.

Кныш подчеркнул, что с двухфакторной аутентификацией есть важный нюанс: если мессенджер или социальная сеть для двухфакторной аутентификации используют номер телефона – это ненадежно.

«Здесь мы переходим к тому, что получается, что и Signal небезопасен. Я скажу, что в этом плане да. Условно говоря. Если у вас на Signal не установлен PIN-код».

Он объясняет, что опасность привязки номера телефона заключается в том, что злоумышленники могут создать дубликат SIM-карты.

Но если в Signal установить PIN-код и запретить перевыпускать номер – это делает его безопасным.

Читайте также: «Если вы пользуетесь Telegram, к вам много вопросов». Какие приложения безопасны для военных

«В корне вопроса “какой мессенджер безопасен?” лежит только два базиса, которые я выделил: первое – мессенджер не должен использовать двухфакторку с помощью номера телефона; второе – мессенджер должен использовать ассиметричные технологии шифрования. Так называемое E2E-шифрование. И Signal удовлетворяет эти требования. What’s App не удовлетворяет, потому что можешь смс принять, Telegram частично удовлетворяет, если он правильно настроен. Даже Google Meet может быть безопасным мессенджером для коммуникаций военных, если они используют двухфакторку, резервные коды (для восстановления аккаунта) распечатаны и если у них отвязаны номера телефонов».

Кныш советует правильно настроить мессенджеры, чтобы обезопасить себя от взлома: если нажать в Telegram «забыл пароль», то его должно быть невозможно восстановить с помощью e-mail. Кроме того, не следует давать свой номер другим пользователям Telegram, а только никнейм.

«Вам нужно удалить телефон из Google, вам нужно распечатать десять кодов и вам нужно установить Google Authenticator. Если нет возможности войти через смс, то Google у вас безопасно настроен».

То есть все, где есть возможность обновить аккаунт через номер телефона, небезопасно. Принять смс за вас могут даже силовики.

«Если вы храните пароли в мессенджерах – вы идиот. Если вы храните пин-коды или данные кредитных карт, вы также идиот. Для этого есть специальные менеджеры паролей.