Информационной безопасностью обеспокоено большинство людей: 7 из 10 россиян опасаются за сохранность своих данных в сети. Ясные алгоритмы и простые понятные рекомендации по самозащите в Сети даёт наш автор и колумнист — эксперт по кибербезопасности и DevSecOps, автор проекта «Новая образовательная система» Дмитрий Телушкин.
Каждому знакомо чувство, когда нужный аккаунт внезапно недоступен: пароль не подходит, почта пустая, а техподдержка отвечает в духе «пришлите паспорт и свою фотографию с развернутым паспортом». Часто за этим стоят не умные хакеры, а классические, простые и — да, глупые — ошибки. Вот самые частые из них с понятными объяснениями и быстрыми лайфхаками, чтобы не оказаться в той же ловушке.
1. Пароль «на заметке» прямо на рабочем столе
Кажется банальным, но последний подобный кейс был встречен автором данной статьи менее полугода назад на крупном мероприятии в области информационной безопасности. В одной из служебных комнат через внутреннее офисное остекление был четко виден стикер с данными логина и пароля пользователя, отталкиваясь от которых можно было развивать атаку дальше. Записывать пароли — нормально. Но клеить листочек с »vasily_pupkin: qwerty123» над клавиатурой — это почти автопередача аккаунта злоумышленникам и возможная компрометация сети работодателя.
Лайфхак: используй менеджер паролей на мобильном телефоне или планшете. Даже бесплатный — лучше, чем стикеры.
2. Один пароль на всё
Еще одна типичная ошибка изрядной части пользователей — тот самый «универсал»: на соцсетях, почте и банковском аккаунте. Если один сервис скомпрометирован — все в опасности. Еще больше удивляет статистика по данному кейсу — до 65% частных лиц используют один и тот же пароль на различных веб-сервисах и до 21% сотрудников в корпоративной среде.
Решение: уникальные пароли + менеджер паролей, и включи двухфакторную авторизацию (2FA) везде, где можно.
3. Использование публичного Wi-Fi
Бесплатный кофе + открытая сеть = открыт для всех. Злоумышленник на той же сети может перехватить данные. Техник как это осуществить масса: это и перехват незашифрованного трафика, и подмена точки доступа (Evil Twin), Man-in-the-Middle, кража сессии, но суть всегда одна. Ты вводишь данные в веб сервис, аутентифицируешься, и в тот же момент кто-то в той же сети получает пакет с твоим логином и паролем или производными от них данными. Дальше полученная информация может быть использована для попытки попасть в иные сервисы.
Как быть: не вводи пароли в публичных сетях.
4. Потерял телефон и не думал про резервную почту
Многие привязывают всё — и 2FA — к одному телефону. Если телефон утерян, доступ закрыт. Решение: настрой резервную почту, резервные коды и привяжи несколько способов восстановления.
5. Поддался фишингу «срочно-подтвердите»
На самом деле это фактически ИТ-вариант истории про телефонных мошенников. Письмо с угрозой блокировки и ссылкой — классика современной социальной инженерии. Люди в панике вводят данные на фейковом сайте и теряют все.
Совет: проверяй домен ссылки, без необходимости (например, если ты сам не запрашивал восстановление данных учетной записи) не вводи ничего по ссылке из письма. В общем случае лучше найди на сайте поле авторизации и введи данные в нем.
6. Отдал доступ приложению «чтобы быстро»
Некое приложение просит подключиться к соцсети — и получает право постить и читать сообщения. Многие не смотрят список прав в результате оказывается скомпрометирована приватность переписки или иных данных. А потом все это чудесно гуляет в базах глубинного интернета.
Решение: внимательно читай, что даёшь приложению выполнять на своем телефоне и проверяй список подключений в настройках аккаунта.
7. Использует публичные компьютеры и забывает выйти
После интернет-кафе, компьютера в гостях у друзей, публичного лэптопа в бизнес центре во время командировки — аккаунт всё ещё может быть авторизован в чужом браузере, а также остается сопутствующая информация о сессии в сервисе. Например, следующий пользователь может увидеть, что до него здесь авторизовался vasya_pupkin@mail.ru и начать подбор паролей.
Мораль: всегда выходи и используй приватный режим браузера на чужих машинах.
8. Хранил пароли в почте «на всякий случай»
Письма с паролями, ссылки «для восстановления» — это клад для взломщика, если почту взломали.
Лучше: хранить в проверенном менеджере паролей, а не в письмах.
Кстати, сканов и фотографий документов это тоже касается и в контексте почты, и в контексте социальных сетей.
9. Игнорировал обновления и уведомления
Сервис прислал предупреждение о подозрительной активности — пользователь проигнорировал. Через неделю аккаунт утерян.
Рекомендация: проверяй уведомления системы безопасности сервисов и не откладывай это на потом.
10. Сломанная двухфакторка без резервных кодов
Сбросил настройки до заводских на телефоне — 2FA пропал, и резервных кодов нет.
Итог: часы ожидания в техподдержке.
Всегда сохраняй резервные коды и привязывай альтернативный метод (почта, приложение-резерв, аппаратный ключ).
Почему это всё «глупо»? Потому что большинство рассмотренных ситуаций легко предотвращается простыми привычками: уникальные пароли, использование менеджера паролей, 2FA, внимательность к письмам, соц.сетям и правам приложений. Никаких сверхъестественных навыков не нужно — нужна дисциплина и ответственность.
Короткий чек-лист, который реально помогает:
— Включи 2FA везде.
— Установи менеджер паролей и используй для хранения только его.
— Не вводи пароли по ссылкам из писем.
— Сохраняй резервные коды и альтернативную почту.
— Проверяй разрешения у сторонних приложений.
— Не используй публичный Wi-Fi для чувствительных действий и авторизаций в значимых сервисах.
Заключение: чаще всего аккаунты теряют не из-за продвинутых хакеров, а из-за элементарной невнимательности и безответственности. Поменяй пару привычек — и количество «глупых» потерь резко упадёт.