«Якщо ви зберігаєте паролі в месенджерах – ви ідіот». Хакер розповів, як убезпечити дані від зламів

Фахівець із кібербезпеки та засновник проєкту HackYourMom Микита Книш розповів MC.today, як убезпечити свої месенджери й дані від зламу.

«В будь-якому месенджері, в будь-якій соціальній мережі повинна бути увімкнена двофакторна автентифікація. Якщо в месенджері є двофакторка, то це трохи безпечніший месенджер, ніж месенджер без двофакторки. Давайте з цього починати, не з аналізу симетричного чи асиметричного шифрування».

Спеціаліст розповідає, що сам користується Signal.

Книш підкреслив, що із двофакторною автентифікацією є важливий нюанс: якщо месенджер або соціальна мережа для двофакторної автентифікації використовують номер телефону – це ненадійно.

«Тут ми переходимо до того, що виходить, що й Signal небезпечний. Я скажу, що в цьому плані так. Умовно кажучи. Якщо у вас на Signal не встановлено PIN-код».

Він пояснює, що небезпека з номером телефону полягає в тому, що зловмисники можуть створити дублікат SIM-карти.

Але якщо в Signal встановити PIN-код і заборонити перевипускати номер – це робить його безпечним.

«В корні питання “який месенджер безпечний?” лежить лише два базиси, які б я виокремив: перше – месенджер не повинен використовувати двофакторку за допомогою номеру телефону; друге – месенджер повинен використовувати асиметричні технології шифрування. Так зване E2E. І Signal задовольняє ці вимоги. What’s App не задовольняє, бо можеш смс-ку прийняти, Telegram частково задовольняє, якщо він правильно налаштований. Навіть Google Meet може бути безпечним месенджером для комунікацій військових, якщо вони використовують двофакторку, резервні коди (для відновлення акаунту) роздруковані і якщо у них відв’язані номери телефонів».

Книш радить правильно налаштувати месенджери, щоб убезпечити себе від зламу: якщо натиснути в Telegram «забув пароль», то його не має бути можливим відновити за допомогою e-mail. Крім того, не слід давати свій номер іншим користувачам Telegram, а лише нікнейм.

Читайте також: «Якщо ви користуєтеся Telegram, до вас багато питань». Які застосунки безпечні для військових

«Вам потрібно видалити телефон з Google, вам потрібно роздрукувати десять кодів і вам потрібно встановити Google Authenticator. Якщо немає можливості зайти через смс, то Google у вас безпечно налаштований».

Тобто все, де є можливість поновити акаунт через номер телефону, небезпечне. Прийняти смс за вас можуть навіть силовики.

«Якщо ви зберігаєте паролі в месенджерах – ви ідіот. Якщо ви зберігаєте пін-коди або дані кредитних карток, ви також ідіот. Для цього є спеціальні менеджери паролів».