1. Главная
  2. Как авторизоваться на сайтах и в приложениях без риска для ваших данных

Как авторизоваться на сайтах и в приложениях без риска для ваших данных

28 октября 20233 минуты чтения
Иллюстрация материала

Российская компания RTM Group проанализировала 50 млн пар логинов и паролей, которые попали в интернет из-за утечки данных за последние полтора года. Оказалось, что аккаунты более половины россиян можно взломать за одну минуту. Разбираемся, как защитить данные и безопасно авторизоваться на сайтах и в приложениях.

Проверяйте подлинность сайта

Прежде чем вводить информацию на любом портале, убедитесь, что он не фишинговый, особенно если открыли его по ссылке из электронной почты.

Фишинговыми называют поддельные сайты и приложения — злоумышленники создают их, чтобы получить доступ к логинам, паролям и личной информации пользователей. Фальшивки специально делают похожими на оригинал, но есть способы их различать.

  • Удостоверьтесь, что url-адрес начинается с префикса «https://». Подобный протокол указывает на то, что данные шифруются с помощью специального цифрового сертификата.
  • Убедитесь, что имя домена выглядит логично и не содержит ошибок. Например, указан настоящий адрес sberbank.ru, а не sber_bank.ru или cberbank.ru.
  • Присмотритесь к дизайну и текстам. Фишинговые сайты могут отличаться ошибками, опечатками или некачественной версткой.
  • Установите антивирусное ПО, которое будет предупреждать, если вы посещаете подозрительный ресурс.

Используйте сильные пароли и регулярно их обновляйте

Злоумышленники могут получить доступ к аккаунту путем перебора паролей и логинов. Это делают даже не вручную, а с помощью специального ПО, которое за секунды может проверить тысячи комбинаций. ​ Когда регистрируете учетную запись, создавайте сильный пароль длиной (от 12 символов), который содержит цифры, специальные знаки и буквы разных регистров. Важно не использовать один и тот же пароль для нескольких аккаунтов, а уже существующие связки регулярно менять раз в 3 или 6 месяцев.

Подключите мультифакторную аутентификацию

Технологии киберпреступников шагнули далеко, и только пароля для защиты аккаунта уже недостаточно.

Мультифакторная аутентификация — это проверка, которая состоит из нескольких этапов. Первый шаг — ввод логина и пароля. А в качестве второго можно настроить получение проверочного кода по номеру телефона или электронной почте.

Сложная, но более безопасная альтернатива коду в СМС — OTP-код (от англ. оne time password — «одноразовый пароль»). Он генерируется специальным приложением-аутентификатором, например, «Яндекс.Ключом» или Authy, и действует только один раз в течение ограниченного времени. Чтобы использовать генерацию кодов в качестве второго этапа аутентификации, нужно выбрать соответствующие настройки безопасности онлайн-сервиса.

Благодаря такой защите злоумышленник не сможет войти в аккаунт, даже если будет знать пароль, ведь у него нет доступа к кодам второго этапа подтверждения.

Используйте беспарольную аутентификацию

Там, где это возможно, выбирайте альтернативные варианты распознавания. Например, уже ставшую привычной биометрию:

  • вход в приложение по отпечатку пальца или изображению лица,
  • аппаратные ключи аутентификации.

Аппаратные ключи — это физические устройства, похожие на USB-флешку. Они работают следующим образом.

  • Пользователь приобретает устройство, на которое производитель заранее установил пару электронных ключей. Приватный хранится на самом девайсе, а открытый используется для подтверждения личности.
  • После покупки юзер регистрирует аппарат на сервисе, на котором хочет авторизоваться таким способом. Открытый ключ привязывается к аккаунту.
  • Когда человеку нужно войти на сайт, он вставляет устройство в ПК или телефон. С помощью приватного электронного ключа создается уникальная цифровая подпись, которая отправляется на сервер, подтверждая личность владельца. Аппаратные ключи могут работать на базе технологий USB, NFC или Bluetooth.

Такая проверка личности набирает популярность. В этом году VK объявили о том, что тестируют функцию OnePass. Она позволит авторизоваться в социальной сети и сервисах партнеров через VK ID по биометрии или с помощью аппаратных ключей.

Текст: