Чтобы надежно защитить свой аккаунт от взлома, следует знать основные правила безопасности.
- Сложность пароля.
- Успешный, для защиты аккаунта, пароль должен состоять из случайной последовательности символов, длительностью от 10 символов. В последовательность следует включить как минимум цифры и буквы латинского алфавита (прописные и заглавные). Категорически не следует составлять пароль из ассоциаций с собой и своим окружением (дата рождения, имена друзей, близких, клички и т.д.).
- Уникальность пароля.
- Для каждого аккаунта должен быть свой пароль. Для надёжной защиты аккаунта следует воздержаться от использования одного пароля на нескольких ресурсах.
- Использование дополнительных возможностей сервера для повышения безопасности и защиты аккаунта
- Всегда следует использовать возможности дополнительных сервисов по защите аккаунта, таких как:
- Привязка сессии к IP-адресу по коду – при смене IP-адреса будет запрошен дополнительный защитный код;
- Привязка аккаунта почтовому ящику – дополнительная мера защиты, которой также не следует пренебрегать. Благодаря ей, можно также восстановить пароль/IP-ключ.
- Подключение Google Authenticator – при смене IP-адреса нужно будет вводить гугл-ключ, которые генерируется в специальном приложении каждые 30 секунд. Благодаря этой защите взлом вашего аккаунта маловероятен.
- Полная секретность пароля.
- Доступ к паролю должен быть только у владельца. Администрация ресурса никогда не будет требовать сообщить свой пароль, в большинстве случаев они хранятся в зашифрованном виде и оперативно сверить его будет просто невозможно.
- Надёжное хранение пароля.
- Как было сказано, для защиты аккаунта доступ к паролю должен быть только у хозяина. Со временем число аккаунтов увеличивается и хранить их становится сложно. Рекомендуется использовать менеджер паролей (например, KeePass - это бесплатная программа с открытым исходным кодом, что исключает наличие "Чёрных входов", так же в этой программе вся база данных находится в одном зашифрованном файле, что очень удобно для резервного копирования, есть автозаполнение формы ввода пароля, очень важный плюс - присутствует генератор паролей по шаблону).
- Базу данных с паролями следует хранить минимум в 3х разных местах - это обеспечит сохранность в случае утери доступа к одной из копий либо её повреждения.
- Как было сказано, для защиты аккаунта доступ к паролю должен быть только у хозяина. Со временем число аккаунтов увеличивается и хранить их становится сложно. Рекомендуется использовать менеджер паролей (например, KeePass - это бесплатная программа с открытым исходным кодом, что исключает наличие "Чёрных входов", так же в этой программе вся база данных находится в одном зашифрованном файле, что очень удобно для резервного копирования, есть автозаполнение формы ввода пароля, очень важный плюс - присутствует генератор паролей по шаблону).
Основные способы получения паролей третьими лицами и противодействие им.
- Ложь про доступность изменения статистики извне.
- Некоторые пользователи полагают, что есть способы извне изменять информацию, хранящуюся на сервере и недоступную для изменения клиентом. Например, различное игровое имущество и статистика. Так вот, изменение этой информации возможно только на стороне сервера и изменение этой информации вне сервера невозможно по определению! Эти данные хранятся и изменяются только на сервере и никогда не запрашиваются у клиента. Поэтому повлиять на эту информацию невозможно в принципе! Большинство проблем защиты аккаунта основано именно на этом мифе. Злоумышленник обещает кучу игрового имущества, если скачать у него программу и указать там пароль! Который сразу же отображается у него в протоколе.
- Противодействие. Понимать, что изменение статистики сервера извне невозможно.
- Некоторые пользователи полагают, что есть способы извне изменять информацию, хранящуюся на сервере и недоступную для изменения клиентом. Например, различное игровое имущество и статистика. Так вот, изменение этой информации возможно только на стороне сервера и изменение этой информации вне сервера невозможно по определению! Эти данные хранятся и изменяются только на сервере и никогда не запрашиваются у клиента. Поэтому повлиять на эту информацию невозможно в принципе! Большинство проблем защиты аккаунта основано именно на этом мифе. Злоумышленник обещает кучу игрового имущества, если скачать у него программу и указать там пароль! Который сразу же отображается у него в протоколе.
- Через фейковые сервисы с формой ввода пароля.
- Создаётся сервис с внешним видом один в один с тем, где находится аккаунт жертвы. Затем различными способами под любыми предлогами жертва заманивается на фальшивый ресурс наиболее распространённые способы:
– выдача себя за администратора;
– размещение ссылок, ведущих на фальшивый ресурс (очень часто ссылка с виду ссылается на официальный ресурс, а на самом деле ссылается на фальшивый адрес);
– рассылка по различным каналам связи.
- Противодействие. При переходе по ссылкам всегда следует смотреть на их содержание и конечный адрес. Дополнительным тревожным признаком является "слёт авторизации" – т.е. на основном ресурсы Вы были очень давно авторизованы и вдруг авторизация пропала – следует первым делом обратить внимание на адресную строку.
- Создаётся сервис с внешним видом один в один с тем, где находится аккаунт жертвы. Затем различными способами под любыми предлогами жертва заманивается на фальшивый ресурс наиболее распространённые способы:
- Через установку различных модификаций в клиент (стиллеры).
- Большинство модификаций для клиента внедряются либо в исполняемый код, либо перехватывают сетевые пакеты для их модификации. Учитывая то, что практически все модификации распространяются с закрытым исходным кодом, нельзя быть уверенным, что там нет кода для перехвата секретной информации и отправки её злоумышленнику.
- Противодействие. Не устанавливать по возможности, лишних модификаций или пользоваться только проверенными источниками.
- Большинство модификаций для клиента внедряются либо в исполняемый код, либо перехватывают сетевые пакеты для их модификации. Учитывая то, что практически все модификации распространяются с закрытым исходным кодом, нельзя быть уверенным, что там нет кода для перехвата секретной информации и отправки её злоумышленнику.
- Через программы-вирусы (шпионы, троянские кони).
- Любой новый вирус попадает в базу данный антивируса не сразу, а лишь через некоторое время после попадания копии вируса к разработчикам антивируса. Поэтому любая программа, полученная по каналам связи, может содержать в себе вирус. Злоумышленник может получить доступ к аккаунтам социальных сетей, программ мгновенного обмена сообщениями и начать рассылку по списку друзей, тем самым усыпив бдительность своих возможных жертв (ведь доверие к сообщению, полученному от знакомого человека гораздо выше).
- Противодействие. Использовать только официальные сайты для получения программ. Избегать запуска программ, полученных из ненадёжных источников.
- Любой новый вирус попадает в базу данный антивируса не сразу, а лишь через некоторое время после попадания копии вируса к разработчикам антивируса. Поэтому любая программа, полученная по каналам связи, может содержать в себе вирус. Злоумышленник может получить доступ к аккаунтам социальных сетей, программ мгновенного обмена сообщениями и начать рассылку по списку друзей, тем самым усыпив бдительность своих возможных жертв (ведь доверие к сообщению, полученному от знакомого человека гораздо выше).
© Brian_Davis, Bryan_Edwards
Последнее редактирование: