Кевин Митник - Искусство быть невидимым

Если вы до сих пор не установили пароль на смартфон, сделайте это сейчас, потратьте минуту своего времени. Я серьезно.

Существует три основных типа блокировки экрана смартфона – будь то устройство под управлением Android, iOS или какой-либо другой операционной системы. Самый распространенный – это код доступа, последовательность цифр, которые необходимо ввести в определенном порядке, чтобы разблокировать смартфон. Не назначайте код, состоящий из рекомендованного по умолчанию количества цифр. Перейдите в раздел настроек и вручную установите длину пароля в 7 цифр или более (указав, например, ваш старый номер телефона). Во всяком случае, длина пароля должна быть точно больше 4 цифр.

На некоторые мобильные устройства можно устанавливать пароль, содержащий буквы, как, например, тот, о котором мы говорили выше. Опять же предпочтительная длина составляет 7 символов. Современные мобильные устройства отображают одновременно как буквенные, так и цифровые символы, благодаря чему стало гораздо проще чередовать буквы с цифрами.

Третий вариант блокировки – графический ключ. Начиная с 2008 года, на смартфонах под управлением операционной системы Android присутствует функция под названием Android Lock Patterns (ALP). На экране отображаются девять точек, вы соединяете их в любом порядке, и эта последовательность соединения становится вашим паролем. Возможно, вы думаете, что это гениальное изобретение и что обширный диапазон возможных комбинаций делает ваш ключ неуязвимым. Но человеческую натуру не изменить, и на конференции PasswordsCon в 2015 году ученые заявили, что хотя существует более 140 704 вариаций графических ключей, участники исследования предпочитали использовать всего несколько из них {17} 17 arstechnica.com/information-technology/2015/08/new-data-uncovers-the-surprising-predictability-of-android-lock-patterns/ . Какие же графические ключи оказались самыми распространенными? Часто это первая буква имени человека. Исследование также показало, что люди предпочитают задействовать центральные точки и редко включают в комбинацию угловые точки. Примите это во внимание, когда будете придумывать себе следующий графический ключ.

Помимо прочего, существует биометрическая защита. Компании Apple, Samsung и другие популярные производители в настоящее время позволяют пользователям для разблокировки телефонов использовать сканер отпечатков пальцев. Следует знать, что они не обеспечивают стопроцентной защиты. После появления технологии TouchID исследователи – по крайней мере, те, которые ожидали, что компания Apple усовершенствует существовавшие и прежде сканеры отпечатков пальцев – с удивлением обнаружили, что несколько старых способов обхода блокировки срабатывают и на iPhone. Например, можно снять отпечаток пальца с чистой поверхности, используя детскую присыпку и липкую ленту.

Некоторые модели смартфонов оснащены функцией распознавания лица владельца. Их также можно обмануть, поднеся к камере фотографию с высоким разрешением.

В целом биометрические данные как таковые уязвимы для хакеров. В идеале биометрия должна быть лишь одним из нескольких этапов идентификации владельца. Оставьте слегка смазанный отмечаток пальца или улыбнитесь в камеру, а затем введите PIN-код или пароль. Так ваше мобильное устройство будет в безопасности.

Что, если вы придумали надежный пароль, но не записали его? Восстановление пароля – это отличный вариант, когда вы никак не можете войти в редко используемую учетную запись. Но это также и легкая мишень для потенциальных взломщиков. С помощью подсказок, которыми изобилуют наши профили в социальных сетях, хакеры могут получить доступ к нашим электронным ящикам – или другим сервисам, – просто сбросив старый пароль.

В СМИ рассказывали о мошеннике, который узнал четыре последние цифры номера банковской карты своей жертвы, а затем использовал эту информацию как средство подтверждения личности во время телефонного разговора со службой поддержки. В поддержку он звонил, чтобы сменить электронный адрес, привязанный к учетной записи в одном из сервисов. Так злоумышленник может сменить пароль на свой собственный, а владелец аккаунта даже не будет об этом знать.

В 2008 году студент университета Теннесси Дэвид Кернелл решил посмотреть, получится ли у него взломать на сайте Yahoo! личный электронный ящик Сары Пэйлин, кандидата на пост вице-президента {18} 18 archive.knoxnews.com/news/local/official-explains-placing-david-kernell-at-ky-facility-ep-406501153–358133611.html . Кернелл мог бы попробовать подобрать пароль, но доступ к ящику был бы заблокирован после нескольких неудачных попыток. Вместо этого он воспользовался функцией сброса пароля – позже он описал этот процесс как «простой». {19} 19 wired.com/2008/09/palin-e-mail-ha/

Я уверен, что такое случалось с каждым из нас: сначала вы получаете странное письмо от друга и знакомого со ссылкой на иностранный порносайт, а потом выясняется, что его электронный ящик был взломан. Часто это происходит из-за слабого пароля. Или же кто-то просто узнал пароль – в результате утечки или использования функции сброса пароля.

В момент создания аккаунта – любого, например, почтового или на сайте банка – вам могут задать так называемые секретные вопросы. Обычно их три штуки. Часто сервис предлагает раскрывающийся список с вариантами вопросов, и вы можете выбрать, на какие из них отвечать. Как правило, эти вопросы довольно очевидны.

Где вы родились? В какой школе вы учились? Или институте? И вечный фаворит – девичья фамилия матери, вопрос, который используется в качестве секретного, наверное, минимум с 1882 года {20} 20 splinternews.com/your-mothers-maiden-name-has-been-a-security-question-s-1793846367 . Как вы узнаете чуть позже, компании могут (и с удовольствием это делают) сканировать Интернет в поисках персональных даных, с помощью которых можно без труда ответить на любой распространенный секретный вопрос. Всего пара минут в Интернете – и у вас есть ответы на практически любой секретный вопрос конкретного человека.

Только недавно эти секретные вопросы стали понемногу обновляться. Например, вопрос «В каком городе родился ваш шурин?» довольно редкий (хотя правильно отвечая на такие «хорошие» вопросы, вы также рискуете, о чем я расскажу чуть ниже). Но множество так называемых секретных вопросов по-прежнему очень просты, например: «Кличка вашего домашнего животного?»

В целом, устанавливая секретные вопросы, постарайтесь избегать наиболее очевидных вариантов из раскрывающегося списка. Даже если сайт предлагает только распространенные вопросы, обратитесь к своему воображению. Кто сказал, что ответы обязательно должны быть честными? Проявите смекалку. Например, только для потокового видеосервиса вашим любимым цветом может стать «тутти-фрутти [5] «Тутти-фрутти» – это темно-розовый цвет. ». Кто узнает? Это же цвет, верно? Информация, которую вы указываете в качестве ответа, становится «правильным» ответом на секретный вопрос.