1. Не используйте один и тот же пароль, секретный вопрос и ответ для нескольких важных учетных записей.

2. Используйте пароль длиной не менее 16 символов, используйте хотя бы одну цифру, одну заглавную букву, одну строчную букву и один специальный символ.

3. Не используйте в паролях имена членов вашей семьи, друзей или домашних животных. В некоторых случаях, например, у вас более 100 биткойнов, тогда вы не должны никому, кроме матери, знать ваши пароли, даже ваш отец недостаточно надежен.

4. Не используйте в своих паролях почтовые индексы, номера домов, номера телефонов, даты рождения, номера удостоверений личности, номера социального страхования и т. д.

5. Не используйте словарные слова в своих паролях. Примеры надежных паролей: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Примеры слабых паролей: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Не используйте два и более одинаковых пароля, большинство символов которых совпадают, например, ilovefreshflowersMac, ilovefreshflowersDropBox, поскольку если один из этих паролей украден, то это означает, что украдены и все эти пароли.

7. Не используйте в качестве паролей то, что можно клонировать (но нельзя изменить), например отпечатки пальцев.

8. Не позволяйте вашим веб-браузерам (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) хранить ваши пароли, поскольку все пароли, сохраненные в веб-браузерах, можно легко раскрыть.

9. Не входите в важные учетные записи на чужих компьютерах или при подключении к общедоступной точке доступа Wi-Fi, Tor, бесплатному VPN или веб-прокси.

10. Не отправляйте конфиденциальную информацию в Интернете через незашифрованные соединения (например, HTTP или FTP), поскольку сообщения в этих соединениях можно перехватить без особых усилий. По возможности вам следует использовать зашифрованные соединения, такие как HTTPS, SFTP, FTPS, SMTPS, IPSec.

11. Во время путешествия вы можете зашифровать свои интернет-соединения, прежде чем они покинут ваш ноутбук, планшет, мобильный телефон или маршрутизатор. Например, вы можете настроить частную VPN с такими протоколами, как WireGuard (или IKEv2, OpenVPN, SSTP, L2TP через IPSec) на своем собственном сервере (домашний компьютер, выделенный сервер или VPS) и подключиться к нему. Кроме того, вы можете настроить зашифрованный SSH-туннель между вашим компьютером и вашим собственным сервером и настроить Chrome или FireFox на использование прокси-сервера Socks. Тогда, даже если кто-то перехватит ваши данные при их передаче между вашим устройством (например, ноутбуком, iPhone, iPad) и вашим сервером с помощью анализатора пакетов, он не сможет украсть ваши данные и пароли из зашифрованных потоковых данных.

12. Насколько безопасен мой пароль? Возможно, вы считаете, что ваши пароли очень надежны и их трудно взломать. Но если хакер украл ваше имя пользователя и хэш-значение MD5 вашего пароля с сервера компании, а радужная таблица хакера содержит этот хэш MD5, то ваш пароль будет быстро взломан.

Чтобы проверить надежность ваших паролей и узнать, находятся ли они в популярных радужных таблицах, вы можете преобразовать свои пароли в хеши MD5 с помощью генератора хешей MD5, а затем расшифровать свои пароли, отправив эти хэши в онлайн-службу расшифровки MD5. Например, ваш пароль — «0123456789A». Используя метод грубой силы, компьютеру может потребоваться почти год, чтобы взломать ваш пароль, но если вы расшифроваете его, отправив его хеш MD5 ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) на веб-сайт расшифровки MD5, как сколько времени потребуется, чтобы его взломать? Вы можете выполнить тест самостоятельно.

13. Рекомендуется менять пароли каждые 10 недель.

14. Рекомендуется запомнить несколько мастер-паролей, хранить другие пароли в текстовом файле и зашифровать этот файл с помощью 7-Zip, GPG или программного обеспечения для шифрования диска, такого как BitLocker, или управлять своими паролями с помощью программного обеспечения для управления паролями.

15. Зашифруйте и создайте резервные копии своих паролей в разных местах. Тогда, если вы потеряете доступ к своему компьютеру или учетной записи, вы сможете быстро восстановить свои пароли.

16. По возможности включайте двухэтапную аутентификацию.

17. Не храните важные пароли в облаке.

18. Получите доступ к важным веб-сайтам (например, Paypal) напрямую из закладок, в противном случае внимательно проверьте его доменное имя. Перед вводом пароля рекомендуется проверить популярность веб-сайта с помощью панели инструментов Alexa, чтобы убедиться, что это не фишинговый сайт.

19. Защитите свой компьютер с помощью брандмауэра и антивирусного программного обеспечения, заблокируйте все входящие соединения и все ненужные исходящие соединения с помощью брандмауэра. Скачивайте программное обеспечение только с надежных сайтов и по возможности проверяйте контрольную сумму MD5/SHA1/SHA256 или подпись GPG установочного пакета.

20. Сохраняйте операционные системы (например, Windows 7, Windows 10, Mac OS X, iOS, Linux) и веб-браузеры (например, FireFox, Chrome, IE, Microsoft Edge) ваших устройств (например, ПК с Windows, ПК Mac, iPhone, iPad). , планшет Android) обновите его, установив последнее обновление безопасности.

21. Если на вашем компьютере есть важные файлы и к нему могут получить доступ другие люди, проверьте, есть ли на нем аппаратные кейлоггеры (например, анализатор беспроводной клавиатуры), программные кейлоггеры и скрытые камеры, когда вы считаете это необходимым.

22. Если в вашем доме есть WIFI-роутеры, то узнать введенные вами пароли (в доме соседа) можно по жестам ваших пальцев и рук, поскольку принимаемый ими сигнал WIFI будет меняться, когда вы двигаете пальцами и руками. Руки. В таких случаях вы можете использовать экранную клавиатуру для ввода паролей. Было бы безопаснее, если бы эта виртуальная клавиатура (или программная клавиатура) каждый раз меняла раскладку.

23. Блокируйте компьютер и мобильный телефон, когда уходите от них.

24. Зашифруйте весь жесткий диск с помощью VeraCrypt, FileVault, LUKS или подобных инструментов, прежде чем помещать на него важные файлы, и физически уничтожьте жесткий диск ваших старых устройств, если это необходимо.

25. Получайте доступ к важным веб-сайтам в режиме конфиденциальности или инкогнито или используйте один веб-браузер для доступа к важным веб-сайтам, а другой — для доступа к другим сайтам. Или зайдите на несущественные веб-сайты и установите новое программное обеспечение на виртуальную машину, созданную с помощью VMware, VirtualBox или Parallels.

26. Используйте как минимум 3 разных адреса электронной почты, используйте первый для получения писем с важных сайтов и приложений, таких как Paypal и Amazon, используйте второй для получения писем с неважных сайтов и приложений, используйте третий (с другого поставщик электронной почты, такой как Outlook и GMail), чтобы получать электронное письмо для сброса пароля, когда первое из них (например, Yahoo Mail) будет взломано.

27. Используйте как минимум два телефонных номера в разных сетях. НЕ сообщайте другим номер телефона, который вы используете для получения текстовых сообщений с кодами подтверждения.

28. Не нажимайте ссылку в электронном письме или SMS-сообщении, не сбрасывайте свои пароли, щелкнув их, за исключением того, что вы знаете, что эти сообщения не являются поддельными.

29. Не сообщайте никому свои пароли по электронной почте.

30. Возможно, одно из загруженных или обновленных вами программ или приложений было изменено хакерами. Вы можете избежать этой проблемы, не устанавливая это программное обеспечение или приложение в первый раз, за исключением того, что оно публикуется для устранения дыр в безопасности. Вместо этого вы можете использовать веб-приложения, которые более безопасны и портативны.

31. Будьте осторожны при использовании онлайн-инструментов вставки и захвата экрана, не позволяйте им загружать ваши пароли в облако.

32. Если вы веб-мастер, не храните пароли пользователей, контрольные вопросы и ответы в виде обычного текста в базе данных, вместо этого вам следует хранить соленые (SHA1, SHA256 или SHA512) хэш-значения этих строк. Рекомендуется генерировать уникальную случайную солевую строку для каждого пользователя. Кроме того, рекомендуется регистрировать информацию об устройстве пользователя (например, версию ОС, разрешение экрана и т. д.) и сохранять их соленые хеш-значения, а затем, когда он/она попытается войти в систему с правильным паролем, но его/ее устройство информация НЕ соответствует предыдущей сохраненной, позвольте этому пользователю подтвердить свою личность, введя другой код подтверждения, отправленный по SMS или электронной почте.

33. Если вы разработчик программного обеспечения, вам следует опубликовать пакет обновления, подписанный закрытым ключом, с помощью GnuPG, и проверить его подпись опубликованным ранее открытым ключом.

34. Чтобы обеспечить безопасность вашего онлайн-бизнеса, вам следует зарегистрировать собственное доменное имя и настроить учетную запись электронной почты с этим доменным именем. Тогда вы не потеряете свою учетную запись электронной почты и все свои контакты, поскольку вы сможете размещать свою почту. сервер где угодно, ваша учетная запись электронной почты не может быть отключена провайдером электронной почты.

35. Если сайт интернет-магазина позволяет производить оплату только с помощью кредитных карт, то вместо этого вам следует использовать виртуальную кредитную карту.

36. Закрывайте веб-браузер, когда покидаете компьютер, иначе файлы cookie могут быть легко перехвачены с помощью небольшого USB-устройства, что позволит обойти двухэтапную проверку и войти в свою учетную запись с помощью украденных файлов cookie на других компьютерах.

37. Не доверяйте и удалите недействительные сертификаты SSL из вашего веб-браузера, иначе вы НЕ сможете обеспечить конфиденциальность и целостность HTTPS-соединений, использующих эти сертификаты.

38. Зашифруйте весь системный раздел, в противном случае отключите функции файла подкачки и гибернации, поскольку важные документы можно найти в файлах pagefile.sys и hiberfil.sys.

39. Чтобы предотвратить атаки методом перебора входа в систему на ваши выделенные серверы, VPS-серверы или облачные серверы, вы можете установить программное обеспечение для обнаружения и предотвращения вторжений, такое как LFD (Демон неудачного входа в систему) или Fail2Ban.

40. Если это возможно, используйте облачное программное обеспечение вместо установки программного обеспечения на ваше локальное устройство, поскольку появляется все больше и больше атак по цепочке поставок, которые устанавливают вредоносное приложение или обновление на ваше устройство, чтобы украсть ваши пароли и получить доступ к совершенно секретным данным. данные.

41. Хорошая идея — генерировать контрольные суммы MD5 или SHA1 для всех файлов на вашем компьютере (с помощью такого программного обеспечения, как MD5Summer) и сохранять результат, а затем проверять целостность ваших файлов (и находить троянские файлы или программы с внедренным бэкдором) каждый день. путем сравнения их контрольных сумм с сохраненным ранее результатом.

42. Каждая крупная компания должна внедрить и применять систему обнаружения вторжений на основе искусственного интеллекта (включая инструменты обнаружения аномалий поведения сети).

43. Разрешайте только IP-адресам, которые занесены в белый список, подключаться к важным серверам и компьютерам или входить в них.