В прошлый понедельник я получил электронное письмо от Spotify, в котором говорилось, что кто-то из Бразилии вошел в мой аккаунт.

Я проверил. И действительно:незнакомец использовал мой Spotify, чтобы послушать Майкла Джексона. Я сказал Spotify «выйти из системы везде», но не менял пароль.

В среду ситуация повторилась. В 2 часа ночи я получил еще одно письмо от Spotify. На этот раз мой хитрый бразильский друг слушал Принса. И им, видимо, понравился один из моих плейлистов («Фанк — это своя награда»), потому что они тоже его слушали.

Я снова везде вышел из системы, и это раз я сменил пароль. И я принял решение.

Видите ли, я плохо справился с внедрением современных мер онлайн-безопасности. Да, мои важные финансовые счета заблокированы с помощью двухфакторной аутентификации и т. д., но в большинстве случаев я небрежно отношусь к кибербезопасности.

Например, я повторно использую пароли. Я до сих пор использую пароли тридцатилетней давности для ситуаций с низким уровнем безопасности (например, регистрация в винном клубе или программе лояльности для бизнеса). И хотя я начал создавать надежные (но легко запоминающиеся) пароли для более важных учетных записей, все эти пароли следуют шаблону и не выбираются случайным образом. Хуже всего то, что я храню простой текстовый документ 20-летней давности, в котором храню все моей конфиденциальной личной информации.

Это глупо. Тупой, тупой, тупой, тупой.

Я знаю, что это глупо, но я никогда не удосужился внести изменения — до сих пор. Теперь, по ряду причин, я чувствую, что пришло время сделать мою цифровую жизнь немного более безопасной. На выходных я провел несколько часов, запирая вещи. Вот как.

Краткое руководство по кибербезопасности

По совпадению, в тот самый день, когда моя учетная запись Spotify использовалась для потоковой передачи лучших хитов Принца в Бразилии, пользователь Reddit по имени /u/ACheetoBandito опубликовал руководство по кибербезопасности в /r/fatFIRE. Как удобно!

«Кибербезопасность является важнейшим компонентом финансовой безопасности, но редко обсуждается в кругах, занимающихся личными финансами», — написал /u/ACheetoBandito. "Обратите внимание, что специалисты по кибербезопасности расходятся во мнениях по поводу лучших практик личной кибербезопасности. Это мое перспективу, поскольку у меня есть некоторый опыт в этой области».

Я не буду воспроизводить здесь весь пост — вам обязательно стоит его прочитать, если эта тема для вас важна — но я сделаю перечислите краткое изложение пунктов вместе с некоторыми из моих собственных мыслей. Наш друг с оранжевыми пальцами рекомендует всем, кого беспокоит кибербезопасность, предпринять следующие шаги:

1. Обзаведитесь как минимум двумя аппаратными ключами безопасности. Мой приятель Роберт Фаррингтон (из The College Investor) использует YubiKey. Google предлагает свой ключ безопасности Titan. (Я заказал YubiKey 5c nano из-за его минимального форм-фактора.)
2. Создайте секретную личную учетную запись электронной почты. Ваш личный адрес электронной почты не должен быть связан любым путь к вашей общедоступной электронной почте, и адрес не должен быть никому передан. (У меня уже есть много общедоступных учетных записей электронной почты, но у меня не было личного адреса. Сейчас он есть.)
3. Включите Дополнительную защиту как для общедоступных, так и для частных учетных записей Gmail. Дополнительная защита — это бесплатное дополнение безопасности от Google. Свяжите его с ключами безопасности, которые вы получили на первом этапе. (Я не настроил это, потому что мои электронные ключи прибудут только сегодня днем.)
4. Настройте менеджер паролей. Какой менеджер паролей выбрать — решать вам. Главное — выбрать тот, который вы будете использовать. . Лучше всего, если это приложение поддерживает ваши новые ключи безопасности для аутентификации. (Я расскажу о нескольких вариантах в следующем разделе этой статьи.)
5. Создать новые пароли для всех аккаунты. Вручную создавайте запоминающиеся пароли для своих адресов электронной почты, компьютеров (и мобильных устройств) и для самого менеджера паролей. Все остальные пароли должны быть надежными, сгенерированными менеджером паролей случайным образом.
6. Свяжите важные учетные записи со своим новым частным адресом электронной почты. Это будет включать в себя финансовые счета, такие как ваши банки, брокерские конторы и кредитные карты. Но это может включать и другие учетные записи. (Например, я буду использовать свой личный адрес электронной почты для основных услуг, связанных с этим веб-сайтом.)
7. Включите дополнительные меры безопасности для всех аккаунтов. Доступные функции варьируются от поставщика к поставщику, но, вообще говоря, у вас должна быть возможность активировать двухфакторную аутентификацию (по возможности с помощью ключей безопасности) и оповещения о входе в систему.
8. Включите оповещения по SMS или электронной почте для финансовых аккаунтов. Вы также можете включить оповещения об изменениях вашего кредитного рейтинга и/или кредитного отчета.
9. Включите меры безопасности на своих мобильных устройствах. Ваш телефон должен быть заблокирован с помощью строгой авторизации. И каждое из ваших финансовых приложений должно быть заблокировано паролем и другими возможными мерами безопасности.

/u/ACheetoBandito рекомендует некоторые дополнительные, необязательные меры безопасности. (И вся эта дискуссионная ветка Reddit наполнена отличными советами по безопасности.)

Возможно, вы захотите заморозить свой кредит (но если вы это сделаете, помните, что иногда вам придется отключить -заморозить свой кредит для совершения финансовых операций). Некоторые люди захотят зашифровать свои телефоны и жесткие диски. А если вас очень беспокоит безопасность, купите дешевый Chromebook и используйте его как единственный. устройство, на котором вы выполняете финансовые операции. (Хотите верьте, хотите нет, но я делаю этот последний необязательный шаг. Для меня это имеет смысл — и возможно, для меня это шанс выйти за рамки Квикена.)

Изучите лучшие менеджеры паролей

Хорошо, отлично! Я заказал новый Chromebook за 150 долларов и два аппаратных ключа безопасности. Я создал совершенно новый, сверхсекретный адрес электронной почты, который я подключу к любой учетной записи, нуждающейся в дополнительной безопасности. Но я до сих пор не устранил самое слабое место в этом процессе:мой текстовый документ, заполненный паролями.

Частично проблема заключается в самоуспокоенности. Моя система проста и мне она нравится. Но другая часть проблемы — паралич анализа. Их много существует множество менеджеров паролей, и я понятия не имею, как их отличить и понять, какой из них подходит мне и моим потребностям.



Чтобы получить помощь, я попросил своих друзей в Facebook составить список лучших менеджеров паролей. Я скачал и установил все их предложения, а затем записал некоторые первые впечатления.

• LastPass:16 голосов (2 от технических специалистов). LastPass был, безусловно, самым популярным менеджером паролей среди моих друзей на Facebook. Людям это нравится. Я установил его, поковырялся, и вроде… все в порядке. Интерфейс немного неуклюж, а набор функций кажется адекватным (но не надежным). В приложении используется понятная метафора «хранилище», которая мне нравится. LastPass бесплатен (премиум-опции доступны за дополнительную плату).
• 1Password:7 голосов (4 от технических специалистов). Это приложение имеет функции, аналогичные Bitwarden или LastPass. Интерфейс достаточно приятный и, кажется, выдает предупреждения безопасности. 1Password стоит 36 долларов США в год.
• Bitwarden:4 голоса (2 от технических специалистов) — Bitwarden имеет простой и понятный интерфейс. Он использует ту же метафору «хранилища», что и такие продукты, как LastPass и 1Password. Это сильный претендент на то, чтобы стать инструментом, который я использую. Bitwarden бесплатен. За 10 долларов США в год вы можете добавить дополнительные функции безопасности.
• KeePass:2 голоса — KeePass — бесплатный менеджер паролей с открытым исходным кодом. Установки KeePass доступны для всех основных компьютерных и мобильных операционных систем. Если вы фанат Linux (или сторонник открытого исходного кода), это может быть хорошим выбором. Мне не нравится его ограниченный функционал и ужасный интерфейс. KePass бесплатен.
• Dashlane:2 голоса. Из всех менеджеров паролей, которые я смотрел, у Dashlane самый приятный интерфейс и больше всего функций. Как и многие из этих инструментов, он использует метафору «хранилища», но позволяет хранить в этом хранилище больше вещей, чем другие инструменты. (Вы можете хранить идентификационную информацию — например, водительские права или паспорт. Также есть место для хранения квитанций.) У Dashlane есть бесплатная базовая опция но большинству людей понадобится премиум-вариант стоимостью 60 долларов в год. (Есть также вариант стоимостью 120 долларов в год, который включает кредитный мониторинг и страхование от кражи личных данных.)
• Blur:1 голос. Blur отличается от большинства менеджеров паролей. Он буквально пытается стереть вашу личность в Интернете. Он не позволяет веб-браузерам отслеживать вас, маскирует адреса электронной почты, кредитные карты и номера телефонов и (или, конечно) управляет паролями. Мне нужны некоторые функции, которых нет в Blur, и не нужны некоторые функции, которые у него есть есть. Размытие стоит минимум 39 долларов США в год но эта цена может стать намного выше.
• Apple Keychain:1 голос. Keychain — это встроенный менеджер паролей Apple с 1999 года. Таким образом, он бесплатно доступен на устройствах Apple. Большинство пользователей Mac и iOS используют Keychain, даже не осознавая этого. Он недостаточно надежен, чтобы делать что-либо, кроме хранения паролей, поэтому я не придал этому серьезного значения. Связка ключей бесплатна и устанавливается на продукты Apple.

Позвольте мне внести ясность:Я лишь бегло изучил эти менеджеры паролей. Я не нырял глубоко. Если бы я попытался сравнить каждую функцию каждого менеджера паролей, я бы никогда не сделал выбор. Я снова впал бы в аналитический паралич. Итак, я быстро осмотрел каждый из них и принял решение, основываясь на интуиции и интуиции.

Из этих инструментов особо выделились два:Bitwarden и Dashlane. Оба имеют приятный интерфейс и множество функций. Оба инструмента предлагают бесплатные версии, но я бы хотел перейти на платный премиум-план, чтобы получить доступ к двухфакторной аутентификации (с использованием моих новых аппаратных ключей безопасности) и мониторингу безопасности. Именно здесь Bitwarden имеет большое преимущество. Это всего лишь 10 долларов в год. Чтобы получить те же функции, Dashlane стоит 60 долларов США в год.

Но вот в чем дело.

Я начал использовать оба этих инструмента одновременно, вводя пароли моего веб-сайта один за другим. Я остановился после входа в каждый из десяти сайтов. Было ясно, что я предпочитаю использовать Dashlane, а не Bitwarden. Это просто работает так, как мне кажется. (Ваш опыт может быть другим.) Итак, по крайней мере на какое-то время, я собираюсь использовать Dashlane в качестве менеджера паролей.



Проблема с паролями

Мой основной мотив использования менеджера паролей — перенести мою конфиденциальную информацию из простого текстового документа в нечто более безопасное. Но у меня есть второстепенный мотив:я хочу повысить надежность своих паролей.

Когда я начал пользоваться Интернетом — еще в 1980-х годах, до появления Всемирной паутины, — я не задумывался о надежности пароля. Первый пароль, который я создал (в 1989 году), представлял собой просто имя моего друга, который позволил мне использовать его компьютер для доступа к местной системе досок объявлений. Я использовал этот пароль лет на всем:от учетных записей электронной почты до банковских сайтов. Я до сих пор считаю его паролем с низким уровнем безопасности для некритичных вещей.

У меня есть, наверное, восемь или десять таких паролей:короткие и простые пароли, которые я использовал в десятках мест. Последние пять лет я пытался перейти на уникальные пароли для каждого сайта, пароли, соответствующие шаблону. Хотя это улучшение, они все еще не очень хороши. Как я уже сказал, они следуют шаблону. И хотя они содержат буквы, цифры и символы, все они относительно короткие.

Как и следовало ожидать, мой небрежный протокол паролей создал нечто вроде кошмара с точки зрения безопасности. Вот скриншот инструмента проверки паролей Google для одной из моих учетных записей.



Я получаю аналогичные результаты для всех моих аккаунтов Google. Угу.

Кроме того, существует проблема совместного использования учетных записей.

У нас с Ким есть общий аккаунт Netflix. И аккаунт Amazon. И аккаунт Hulu. И учетная запись iTunes. На самом деле у нас, вероятно, двадцать или тридцать общих учетных записей. Мы с ней используем один и тот же легко запоминающийся пароль для всех этих входов. Хотя ни один из этих аккаунтов не является сверхсекретным, то, что мы делаем, по-прежнему является плохой идеей.

Итак, я хочу начать переходить к более безопасным паролям — даже для учетных записей, которыми я делюсь с Ким.

Хорошей новостью является то, что большинство менеджеров паролей, включая Dashlane, автоматически генерируют для вас случайные пароли. Или я мог бы попробовать что-то похожее на идею, предложенную в этом комиксе XKCD:



Беда, конечно, в том, что в каждом месте разные требования к паролям. Некоторые требуют цифр. Некоторые требуют символов. Некоторые говорят нет символы. И так далее. Я не знаю ни одного сайта, который позволил бы мне использовать в качестве пароля четыре случайных общих слова!

На данный момент я собираюсь использовать трехсторонний подход:

• Я вручную создаю длинные (но запоминающиеся) пароли для самых важных учетных записей. Это метод XKCD.
• Для учетных записей, которыми я делюсь с Ким (Netflix и т. д.), я создам новые, запоминающиеся пароли, соответствующие шаблону.
• Для всего остального я позволю моему менеджеру паролей генерировать случайные пароли.

Кажется, это хороший баланс между удобством использования и безопасностью. Каждый пароль будет разным. Только те, которыми я поделился с Ким, будут короткими; все остальные будут длинными. И большинство моих новых паролей будут случайной тарабарщиной.

Заключительные мысли о кибербезопасности

В этом коротком видео от Tech Insider бывший эксперт по безопасности Агентства национальной безопасности делится пятью лучшими советами по защите себя в Интернете.

Вы заметите, что они похожи на руководство по кибербезопасности Reddit, которое я опубликовал ранее в этой статье. Вот шаги, которые он советует предпринять, чтобы обезопасить себя:

• По возможности включайте двухфакторную аутентификацию.
• Не используйте везде один и тот же пароль.
• Поддерживайте свою операционную систему (и программное обеспечение) в актуальном состоянии.
• Будьте осторожны с тем, что публикуете в социальных сетях.
• Не не делитесь личной информацией, если вы не уверены вы имеете дело с надежной компанией или человеком.

Я не буду притворяться, что шаги, которые я предпринимаю, полностью меня защитят. Но моя новая система, безусловно, представляет собой обновление того, чем я занимался последние 20 с лишним лет, что, как я уже говорил, было тупостью, тупостью, тупостью.

И я должен признаться:мне нравится идея ограничить мою финансовую жизнь в Интернете одним компьютером — новым Chromebook за 150 долларов. Я не уверен, что это действительно осуществимо, но я попробую. Если это сработает, то, возможно, я смогу найти для машины подходящий мне инструмент управления капиталом. Возможно, тогда я наконец смогу оставить Quicken 2007 для Mac позади!

Что я пропустил? Какие шаги предпринял вас предпринято для защиты ваших онлайн-аккаунтов? Какой менеджер паролей вы считаете лучшим? Как создавать запоминающиеся и безопасные пароли? Как вы обрабатываете общие учетные записи? Помогите другим читателям GRS — и мне! — разработать более эффективные методы обеспечения безопасности в Интернете.