«Якщо ви зберігаєте паролі в месенджерах – ви ідіот». Хакер розповів, як убезпечити дані від зламів
Shocked woman looking at mobile phone isolated on gray background
Фахівець із кібербезпеки та засновник проєкту HackYourMom Микита Книш розповів MC.today, як убезпечити свої месенджери й дані від зламу.
«В будь-якому месенджері, в будь-якій соціальній мережі повинна бути увімкнена двофакторна автентифікація. Якщо в месенджері є двофакторка, то це трохи безпечніший месенджер, ніж месенджер без двофакторки. Давайте з цього починати, не з аналізу симетричного чи асиметричного шифрування».
Спеціаліст розповідає, що сам користується Signal.
Книш підкреслив, що із двофакторною автентифікацією є важливий нюанс: якщо месенджер або соціальна мережа для двофакторної автентифікації використовують номер телефону – це ненадійно.
«Тут ми переходимо до того, що виходить, що й Signal небезпечний. Я скажу, що в цьому плані так. Умовно кажучи. Якщо у вас на Signal не встановлено PIN-код».
Він пояснює, що небезпека з номером телефону полягає в тому, що зловмисники можуть створити дублікат SIM-карти.
Але якщо в Signal встановити PIN-код і заборонити перевипускати номер – це робить його безпечним.
«В корні питання “який месенджер безпечний?” лежить лише два базиси, які б я виокремив: перше – месенджер не повинен використовувати двофакторку за допомогою номеру телефону; друге – месенджер повинен використовувати асиметричні технології шифрування. Так зване E2E. І Signal задовольняє ці вимоги. What’s App не задовольняє, бо можеш смс-ку прийняти, Telegram частково задовольняє, якщо він правильно налаштований. Навіть Google Meet може бути безпечним месенджером для комунікацій військових, якщо вони використовують двофакторку, резервні коди (для відновлення акаунту) роздруковані і якщо у них відв’язані номери телефонів».
Книш радить правильно налаштувати месенджери, щоб убезпечити себе від зламу: якщо натиснути в Telegram «забув пароль», то його не має бути можливим відновити за допомогою e-mail. Крім того, не слід давати свій номер іншим користувачам Telegram, а лише нікнейм.
Читайте також: «Якщо ви користуєтеся Telegram, до вас багато питань». Які застосунки безпечні для військових
«Вам потрібно видалити телефон з Google, вам потрібно роздрукувати десять кодів і вам потрібно встановити Google Authenticator. Якщо немає можливості зайти через смс, то Google у вас безпечно налаштований».
Тобто все, де є можливість поновити акаунт через номер телефону, небезпечне. Прийняти смс за вас можуть навіть силовики.
«Якщо ви зберігаєте паролі в месенджерах – ви ідіот. Якщо ви зберігаєте пін-коди або дані кредитних карток, ви також ідіот. Для цього є спеціальні менеджери паролів».