日常生活におけるソーシャルハッキング(私たちはナンセンスから身を守ります)

多くの行商人がリモートハッカーの回想録を読んでいるのを知っています 。これは、情報セキュリティチェーンの最も弱いリンクは、原則として、プロトコル、プログラム、またはマシンではなく、 (管理者、ユーザー、またはリーダーでさえある) )



私は読み、さらには怒りさえしました:「いいえ、まあ、どうやって電話であなたのパスワードを誰かに伝えることができますか?」 しかし、悲しいかな、彼自身の額での熊手の打撃は最もよく覚えています。 そしてそれが起こった。 過去数か月にわたって、私は話をするのは恥ずかしいが、社会的には有用ないくつかの状況を目撃し、それに参加しました。



私たちは皆、一般的にも理論的にもすべてを完全によく知っていますが、特定の場合や実際には、しばしば知識を無視します。 ここでは、最高の節約を体験してください(理想的には、マイナスですが、エイリアン)。 私はそれを共有したいのですが、コメントでも同じことをすることを勧めます(いくつかのシンプルだが非常に便利なヒント-すでにそこに聞こえています)。



正確な廃棄:情報を捨てたり、失ったりしないでください



もちろん、光学ドライブハードドライブさえも破壊するシュレッダーとコンバインがあります 。 しかし、彼らは企業内に場所があり(安全指示は書面で署名するだけでなく、すべての従業員が注意深く読んで実行する必要があります)、自宅では原則としてすべてを手作業で行う必要があります。



光学ディスクでは、すべてが簡単です。USBプラグの角に完全に傷が付いています(USBフラッシュドライブやケーブルで探してください)。 ティーザーの写真は、10秒の操作の結果を示しています。 半径に沿って 1つの深い傷があると、ディスクを読み取ることができません(NECドライブで約7000をチェックしました)。 罪から遠ざける:たくさんの傷をつけましょう。 コメントでは、 Levsha100sprosonはこの方法の信頼性を疑っており、ディスクが両側で破損したり、深く傷ついたりすることを推奨しています(そうでない場合は、研磨して読み取ります)。 さて、私は情報の真の価値から先に進み、媒体へのダメージの比例尺度を選択することを提案します。



ハードディスクがコントローラーだけを破壊するだけでは不十分です。USBフラッシュドライブのように、プラグを破壊するだけでは不十分です(メモリチップを破壊する必要があります)。 または、 grey_oneが合理的に助言するように、そこから何も復元できないようにメディアをフォーマットします(もちろん、構造だけをきれいにするクイックフォーマットは機能しません)。 HDDおよびフラッシュドライブは頻繁に廃棄されることはありませんが、後者はしばしば失われます。



(引き裂くのが面倒な場合)紙に水またはそれ以上の種類の洗剤を注ぐことができます。20〜30枚のパックでさえ、すべてが非常に有名に腐食してぼやけています。



トピックに関するホラーストーリー:私は最近、2008年のバックアップサイトを含むDVDディスクのパックを捨てました。 データベースダンプにはユーザーパスワードはありませんでした(ソルト付きのハッシュがありました)が、データベースにアクセスするためのCMS構成にはパスワードがありました。 はい、交換しました。 はい、ほとんどすべてのホスティング事業者は、デフォルトでリモートホストからデータベースへの接続を禁止しています。 しかし、まだ。



ソーシャルフィッシング:匿名または公開チャンネルとパスワードを共有しないでください



プロバイダー、ホスティング事業者、支払いシステム、または一部のWebサービスの所有者がパスワードを要求した場合、それらを信じないでください。それはまったくの攻撃者ではなく、攻撃者です。



他の誰かがパスワードにアクセスする必要がある場合は、潜在的な危険をすべて把握してください。 あなたが理解できるような方法で説明してください(例えば、妻はプロバイダーからの口座の家計を無駄にする危険性を確信しています)。



最初のホラーストーリー友人がサポーターのプロバイダーと協力します。 彼はあまりにも面倒で請求書に登れないので、クライアントに電話でパスワードを尋ね、正しく入力したかどうかを確認します。 そして、プロバイダーはコールバックサービスを積極的に使用します。 時間内にコールバックすると、疑いを持たない人がパスワードを口述します。 少なくとも友人はこれを否定されませんでした。



2番目のホラーストーリーある日、ホストに手紙を送ったとき、メールクライアントの自動クライアントを信頼しました。 その結果、手紙は間違った宛先に送られました。 とても速いので、パスワードを変更したことがありません。 ちなみに、今ではホスティング業者も気がついています。承認されたメールアカウントから手紙を送信する際に、連絡時にパスワードの提示を求めなくなりました(おそらくお勧めしません)。



一般的な暗号強度:qwertyはパスワードではありません



一般に、Habrの視聴者は、子供の誕生日にパスワードを設定したり、同様のことをしたりするほど狂っているとは思いません。 しかし、もっと微妙な点があります。 例は、ホラーストーリーにあります。



さらに、パスワードについては、プライバシーを気にする場合は周囲の人に相談する必要があります(ただし、あなたのものである可能性があります。たとえば、家族の写真の中には一般公開されていないものがあります)。



ホラーストーリー:プロジェクトの開発中、保護する特別なものはありませんか? したがって、通常、開発時には、パスワードは「abcd1234」の精神に基づいて設定されます。 だから私はチェックしました:本番環境で立ち上げられた最後の4つのプロジェクトのうち、私たちの1人はデフォルトの管理者パスワードです-変更されていません。 少なくとも全員がデフォルトのパスワードを知っているのは良いことですが、プロジェクトごとに別々に考案されています。



パスワードを書き留めないでください(少なくとも、ログインの近くに捨てたり保管したりする紙には)



可能な限り、キーごとに認証を構成します。 そして、秘密鍵をローカルサーバーに保存します(そして、金庫のUSBフラッシュドライブにコピーします)。 作業を少なくするために、パスワードマネージャープログラム(コメントではRoboFormまたはクロスプラットフォームのKeePasが最も頻繁に推奨されています)があります。マスターパスワードは頭に覚えておき、通常はどこにも書き留めないでください。 最も単純なケースでは、パスワードをテキストファイルに保存し、ヘッドからのパスワードで暗号化します。



メールまたはFTPクライアントにパスワードを保存する場合、通常のアンチウイルス保護について心配する必要があります。トロイの木馬またはバックドアはパスワードでファイルを削除します。



(コメンテーターalfsoftから)ブラウザーにパスワードを保存するユーザー向けの別のヒント:これをサポートするブラウザーでマスターパスワードを使用します。

異なるシステムとサービスに同じパスワードを使用しないでください。 あなたのソフトウェアとサービスでは、他人のパスワードを平文で保存しないでください。



最初のホラーストーリー:高齢者またはITから遠く離れた人々は、多くの場合、プラスチックカードに直接PINコードをスクラッチします(これは既に民間伝承ですが、それでも)。



2番目のホラーストーリートロイの木馬がFTPクライアントに保存されたパスワードを盗んだ(最新のTotal Commanderではなかったようですが、この点では他の多くのクライアントはローカルコンピュータの管理者から盗まれ、パートナーのライブサイトに感染したフレームを貼り付けました)潜在的な顧客が行った場所(その結果、訪問者はウイルスに感染したか、ウイルス対策ソフトウェアから悲鳴を受けました)。 ちなみに、特別な方法でトロイの木馬Yandexを使用しているサイトはこの問題に印を付けています-さらに、トロイの木馬を今すぐ殺すことができますが、タグは次のインデックス再作成後、たとえば1週間後に消えます。



他の人は盗むかもしれませんし、あなたは間違って自分を失うか与えるかもしれません



重要なものをネットブックや電話に保管しないでください。



ネットブックでは、パスワード(通常)を設定し、ファイルシステムを暗号化します。



フラッシュドライブでは、すべて(または少なくとも重要なすべて)を暗号化された形式(たとえば、通常のパスワードを使用したRARアーカイブ)で保存します。



同一のフラッシュドライブが複数ある場合は、四半期ごとのレポートの代わりにオフィスのすべての黒い簿記のバックアップを含む税フラッシュドライブを突然与える必要がないように、いくつかのラベルを貼ってください(税は喜ぶでしょうが、マネージャーはそうではありません)。



ユーザーpanaslonikは、カメラからのフラッシュドライブを誰かに渡す場合は特に慎重に掃除する必要があるというスパイシーな話をしました。



ホラーストーリー:さて、あなたはあなた自身、さまざまなレベルの軍事および部門の役人、書記官、銀行家として何度も読んでおり、さまざまな国でさまざまな方法で数千人の市民の軍事秘密と個人データを含むラップトップを失いました。



結論の代わりに



はい、はい、誰もがこれを知っています:パスワードを保護し、バックアップを作成します。 私はあなたが知っていることを知っています。 しかし、実際に知られているすべてを実現していますか?



ライブ例は納得させます。 コメントでそれらを共有してください。



All Articles