Связывание аккаунтов: риски и рекомендации

Сергей Смирнов рассказал, как защитить себя от взлома. Gif: Наталья Ямщикова

Как защитить себя от взлома

Связывание разных аккаунтов пользователя друг с другом ведет к тому, что маркетинговой компании становится проще сопоставлять профили и создавать потребительское досье; авторитарным властям – идентифицировать анонимного блогера; злонамеренному хакеру – «взламывать» аккаунты. Как возникает связывание? Что можно с этим сделать? Попробуем разобраться вместе с экспертом по безопасности Сергеем Смирновым.

У Никиты два аккаунта Google, корпоративный и личный, и три почтовых сервиса «в дополнение» к Google. Facebook, Instagram, Twitter, два онлайн-банка, облачное хранилище (свалка фотографий, удалять жалко, разбираться некогда). Кроме того, Госуслуги, налоговая, провайдер Интернета – пополнять баланс, оператор мобильной связи. А еще службы бронирования жилья и билетов, пара торрентов (тс-с-с-с!), несколько профессиональных форумов, площадка для вебинаров, два десятка интернет-магазинов, какие-то развлекательные ресурсы. Большинство сайтов связано между собой «через Никиту».

– Ну, хорошо, – размышляет Никита. – Онлайн-банк, конечно, нужен. Google, Facebook, Instagram, облако – без вопросов. А вот адрес на mail.ru? Да я его сто лет не использую. Там нет ничего важного!

Повторение данных доступа

Одинаковые логины помогают связать аккаунты с конкретным лицом. Если Никита зарегистрирован на музыкальной барахолке с аккаунтом Highway_Star, продавал там гитару и добавил для связи номер телефона, в этом, кажется, нет проблемы. Но если некий аноним ведет острый политический блог и публикует свои сообщения под псевдонимом Highway_Star, его недоброжелатели могут сопоставить данные двух виртуальных личностей, и – прощай, анонимность. Связывание аккаунтов через логины может упростить сбор данных о конкретном человеке.

Одинаковый пароль ведет к тому, что, взломав один аккаунт, злоумышленник получит в свое распоряжение и другой аккаунт с тем же паролем. В феврале 2019 года компания Google провела опрос трех тысяч жителей США и выяснила, что 52% использовали один пароль для нескольких аккаунтов, а 13% – для всех своих аккаунтов. Не делайте так.

Рекомендации

  1. Подумайте о том, чтобы избегать «буквального» повторения логинов в аккаунтах. Да, порой логином служит телефонный номер, или работодатель требует, чтобы ваш корпоративный адрес email включал имя и/или фамилию ([email protected]). Но в прочих ситуациях можно включить фантазию, особенно когда речь идет об аккаунтах, которыми вы вряд ли будете часто пользоваться.
  2. Не используйте один пароль для двух и более аккаунтов. Не повторяйте пароли («Какой бы пароль придумать для магазина Ozon? А! Пусть будет тот, который у меня раньше был для Твиттера, проще запомнить»). Для надежного запоминания/хранения паролей можно пользоваться программами-менеджерами паролей, такими как KeePassXC. Подробнее о работе с KeePassXC вы можете прочитать по ссылке.

Привязка аккаунта к адресу email

В настройках аккаунта Facebook, который Никита использует для администрирования корпоративной страницы, указан адрес email. Facebook предложил Никите сделать это для защиты аккаунта и восстановления забытого пароля. Никита указал свой адрес на mail.ru. Прошли годы. Сегодня Никита предпочитает Gmail, иногда пользуется Proton Mail, а старый адрес mail.ru давно забросил. Пароль там остался какой-то простой, Никита не менял его уже лет пять. Двухфакторной аутентификации нет – в те времена она еще не была популярна.

Еще по теме: Видеоурок Теплицы: защитите свой трафик с помощью плагина HTTPS Everywhere

В описанной ситуации аккаунт mail.ru – слабое звено. Расчетливый злоумышленник, возможно, направит свои усилия именно туда. Заполучив этот аккаунт, злодей сумеет «восстановить пароль» к Facebook, а также к любому другому аккаунту, где в настройках указан взломанный адрес.

Рекомендации

  1. Возможно, лучше не указывать адрес email в настройках аккаунта, если это не обязательно. Вместо того, чтобы полагаться на схемы экстренного восстановления паролей, попробуйте инвестировать время в надежные пароли и резервное копирование.
  2. Если все-таки нужно указать какой-то контакт в настройках аккаунта, то лучше email, чем телефон. (О том, почему привязка к телефону может быть опасной, мы писали здесь. Включите в настройках двухфакторную аутентификацию. Указанный вами адрес email должен быть сравнительно надежным (попробуйте Proton Mail) или Tutanota). Важно, чтобы этот почтовый аккаунт в свою очередь не был связан с каким-то полузабытым «мусорным» адресом.

Приложения соцсетей

Пробовали когда-нибудь залогиниться на сайт без регистрации, а с помощью ссылки «войти через Facebook»? Владельцы онлайновых сервисов любят такую опцию, потому что она ускоряет процедуру регистрации и помогает удерживать клиентов. Никите тоже нравится: быстро, удобно, не нужно запоминать еще одну пару логин/пароль.

При «входе через Facebook» в фейсбучный аккаунт Никиты добавляется приложение. Зайдите в «Настройки» – «Приложения и сайты». Взгляните, сколько приложений установлено у вас и какие. Системы бронирования билетов, дискуссионные площадки, онлайновые тесты…

У Никиты таких приложений двадцать восемь. Если злоумышленник получит доступ к аккаунту Никиты Facebook, он сможет зайти на любой из этих сайтов, посмотреть настройки профилей и сохраненные данные, возможно, выполнить какие-то действия с этого аккаунта.

Каждое приложение обладает набором разрешений для обработки Никитиных данных в Facebook. Например, имя, фото, город проживания, электронный адрес. Некоторые приложения могут пойти дальше и заинтересоваться, скажем, вашим списком друзей. Если вы щелкнете мышью по значку приложения, то увидите эти разрешения.

Инструментом самого масштабного в истории скандала (2018 год) с обработкой массива данных миллионов пользователей Facebook с последующей обработкой для нужд политических кампаний стало приложение «This Is Your Digital Life» (дело Cambridge Analytica). По свидетельству главы Facebook Марка Цукерберга, приложение установили 300 тысяч человек, но общее число затронутых пользователей Facebook составило до 50 миллионов.

Большинство приложений в аккаунте Никиты оказалось связано с сайтами, которые наш герой посещал год или два назад, а некоторые сайты он даже не узнал.

Рекомендации

  1. Лучше регистрироваться на сайтах, придумывая отдельные, уникальные логины и пароли. Чтобы помочь преодолеть искушение быстро «войти через Facebook», можно отключить в настройках социальной сети соответствующий функционал: «Настройки» – «Приложения и сайты» – плашка «Настройки, сайты и игры» – «Редактировать» – «Выключить».
  2. Если вы, как Никита, не готовы окончательно расстаться с приложениями Facebook, по крайней мере, просмотрите их. Удалите лишние, незнакомые, сомнительные. У оставшихся посмотрите разрешения (и при необходимости отключите).

Facebook не единственный ресурс, который использует приложения. Входить на некоторые сайты можно, например, через Google, Twitter, «ВКонтакте». В аккаунтах этих сервисов есть разделы со списком подключенных приложений.

Оставайтесь в безопасности и не забывайте: у каждого человека свои ценности и угрозы. Может быть, наши советы не вполне вам подойдут. Но теперь вы знаете, на что обратить внимание.

Будьте с нами на связи, независимо от алгоритмов

Telegram-канал E-mail рассылка RSS-рассылка
Как победить алгоритмы: прочитай инструкции, как настроить приоритетный показ материалов в социальных сетях и подключить RSS-ленту.