Защита аккаунта
Чтобы надежно защитить свой аккаунт от взлома, следует усвоить основные принципы информационной безопасности!
Правила защиты аккаунта от взлома
Достаточная сложность пароля
Хороший, для защиты аккаунта, пароль должен состоять из случайной последовательности символов, длительностью от 10 знаков. В последовательность следует включить как минимум цифры и буквы латинского алфавита (прописные и заглавные). Категорически не следует составлять пароль из ассоциаций с собой и своим окружением (дата рождения, имена родственников, друзей, близких, клички и т.д.). (www.aa-roleplay.ru)
Уникальность пароля
Для каждой учётной записи должен быть свой пароль. Для надёжной защиты аккаунта следует воздержаться от использования одного пароля на нескольких ресурсах по ряду причин:
- неблагонадёжная администрация может получить доступ к паролям в незашифрованном виде;
- злоумышленник может через недавно обнаруженные и неисправленные уязвимости получить доступ к обработке вводимых данных;
- сотрудники датацентра, где расположена машина с сервером, могут получить прямой доступ к базе данных и обработчику форм;
- администратор проекта может пренебрегать защитой своего аккаунта и скомпрометировать его данные, тем самым предоставив злоумышленнику полный доступ к ресурсу.
Использование дополнительных возможностей сервера для повышения безопасности и защиты аккаунта
Всегда следует использовать возможности дополнительных сервисов по защите аккаунта, таких как:
- привязка сессии к ИП адресу по коду - при смене ИП адреса будет запрошен дополнительный защитный код;
- привязка аккаунта к телефонному номеру - получить доступ к телефону злоумышленнику существенно сложнее, это значительно повышает защиту аккаунта;
- привязка аккаунта почтовому ящику - дополнительная мера защиты, которой также не следует пренебрегать.
Пользуясь данными дополнительными возможностями защиты аккаунта Вы существенно снизите вероятность потери доступа, а если это всё же случится, то будет возможность восстановить доступ к учётной записи. (www.aa-roleplay.ru)
Полная секретность пароля
Доступ к паролю должен иметься только у владельца учётной записи. Администрация ресурса никогда не будет требовать сообщить свой пароль - во-первых, в большинстве случаев они хранятся в зашифрованном виде и оперативно сверить его будет просто невозможно, во-вторых, администрация и так имеет полный доступ к учётной записи и может изменять любые параметры без запроса пароля.
Надёжное хранение пароля
Как было сказано, для защиты аккаунта доступ к паролю должен быть только у хозяина учётной записи. Со временем число учётных записей увеличивается и хранить их становится сложно. Рекомендуется использовать менеджер паролей (например, KeePass - это бесплатная программа с открытым исходным кодом, что исключает наличие "Чёрных входов", так же в этой программе вся база данных находится в одном зашифрованном файле, что очень удобно для резервного копирования, есть автозаполнение формы ввода пароля, очень важный плюс - присутствует генератор паролей по шаблону).
Базу данных с паролями следует хранить минимум в 3х разных местах - это обеспечит сохранность в случае утери доступа к одной из копий либо её повреждения.
Основные способы получения паролей третьими лицами
Через один распространённый миф среди пользователей о доступности изменения статистики извне
Некоторые пользователи полагают, что есть способы извне изменять информацию, хранящуюся на сервере и недоступную для изменения клиентом. Например, различное игровое имущество и статистика. Так вот, изменение этой информации возможно только на стороне сервера и изменение этой информации вне сервера невозможно по определению! Эти данные хранятся и изменяются только на сервере и никогда не запрашиваются у клиента. Поэтому повлиять на эту информацию невозможно в принципе! Большинство проблем защиты аккаунта основано именно на этом мифе. Злоумышленник обещает кучу игрового имущества, если скачать у него программу и указать там пароль! Который сразу же отображается у него в протоколе.
Противодействие. Понимать, что изменение статистики сервера извне невозможно. (www.aa-roleplay.ru)
Через фейковые сервисы с формой ввода пароля
Создаётся сервис с внешним видом один в один с тем, где находится аккаунт жертвы. Затем различными способами под любыми предлогами жертва заманивается на фальшивый ресурс наиболее распространённые способы:
- выдача себя за администратора;
- размещение ссылок, ведущих на фальшивый ресурс (очень часто ссылка с виду ссылается на официальный ресурс, а на самом деле ссылается на фальшивый адрес);
- рассылка по различным каналам связи.
Противодействие. При переходе по ссылкам всегда следует смотреть на ихнее содержание и конечный адрес. Дополнительным тревожным признаком является "слёт авторизации" - т.е. на основном ресурсы Вы были очень давно авторизованы и вдруг авторизация пропала - следует первым делом обратить внимание на адресную строку.
Через установку различных модификаций в клиент
Большинство модификаций для клиента внедряются либо в исполняемый код, либо перехватывают сетевые пакеты для их модификации. Учитывая то, что практически все модификации распространяются с закрытым исходным кодом, нельзя быть уверенным, что там нет кода для перехвата секретной информации и отправки её злоумышленнику.
Противодействие. Не устанавливать по возможности лишних модификаций или пользоваться только проверенными источниками.
Через программы-вирусы (шпионы, троянские кони)
Любой новый вирус попадает в базу данный антивируса не сразу, а лишь через некоторое время после попадания копии вируса к разработчикам антивируса. Поэтому любая программа, полученная по каналам связи, может содержать в себе вирус. Злоумышленник может получить доступ к аккаунтам социльных сетей, программ мгновенного обмена сообщениями и начать рассылку по списку друзей, тем самым усыпив бдительность своих возможных жертв (ведь доверие к сообщению, полученному от знакомого человека гораздо выше).
Противодействие. Использовать только официальные сайты для получения программ. Избегать запуска программ, полученных из ненадёжных источников.
Автор: Annet Venus
