Вынос мусора

Тема удаления персональных данных выходит за рамки этой книги. Главное, что вам нужно знать: брошенные аккаунты могут скомпрометировать вас, поэтому не ленитесь удалять их. Можно самостоятельно удалить аккаунт с помощью его настроек или отправить соответствующий запрос владельцам (администраторам) сайта.

Помимо того, что, завладев брошенным аккаунтом, злоумышленник сможет отсылать от вашего имени спам вашим друзьям (и те могут поверить написанному, так как доверяют вам) и другим пользователям, он получит доступ к вашей персональной информации, указанной в учетной записи. Это могут быть как телефоны и адреса, так и платежная информация, если вы приобретали на этом сайте какие-либо услуги или товары. Используя обнаруженный там адрес электронной почты, злоумышленник может попытаться залогиниться на других сайтах с вашими аккаунтами или даже использовать его, чтобы перехватить информацию для восстановления и смены пароля без вашего ведома. Кроме того, узнав пароль от неиспользуемого аккаунта, преступник может взломать другие ваши аккаунты, особенно если вы создаете кодовые фразы по одной и той же схеме. Узнать сервисы, на которых зарегистрирован тот же ваш адрес электронной почты, можно, просканировав утекшие базы данных. Также можно отправить запрос о регистрации нового профиля на том или ином сайте с вашим адресом. Если адрес электронной почты уже зарегистрирован (используется), система оповестит об этом.

Выше перечислены общие принципы подхода к выбору паролей для устройств. Эти советы касаются прежде всего компьютеров и устройств интернета вещей, так как специфика использования мобильных гаджетов не предполагает ввода сложных кодовых фраз, это попросту неудобно. Мобильным устройствам и особенностям их защиты посвящена отдельная глава.

Многофакторная аутентификация

Специалисты по информационной безопасности давно пришли к выводу, что пароли не обеспечивают должного уровня защиты от несанкционированного доступа. Для защиты от фишинга и подбора паролей разрабатываются специальные алгоритмы многофакторной аутентификации. Вместе с привычной парольной защитой используется второй фактор аутентификации – обычно это одноразовый код, высылаемый через SMS-службы либо по электронной почте или генерируемый специальными приложениями, в том числе на сайтах типа Mos.ru. Такие коды действуют или определенное время, или до момента ввода пользователем (или отправки/генерации нового кода), поэтому их кража бесполезна. Но поскольку человеку трудно запоминать и придумывать одноразовые пароли, то требуются дополнительные технологии, чтобы многофакторная аутентификация работала корректно.

С помощью SMS-сообщений

Как следует из названия, при многофакторной аутентификации пользователь проходит два или более этапа «опознания», например для авторизации в системе. На одном из этапов может быть, как обычно, введен пароль (первый и наиболее уязвимый фактор), а на втором – ПИН-код, высланный в SMS-сообщении на зарегистрированный пользователем номер телефона. В этом случае злоумышленнику недостаточно украсть пароль, ему также необходимо получить доступ к устройству, используемому владельцем для дополнительной аутентификации, например смартфону, либо перехватить трафик.