Белый список. Повышаем безопасность встреч в Zoom

Как пускать людей строго по списку и никого не потерять Изображение сгенерировано в MidJourney
Аватар - Анастасия Рыкова
Анастасия Рыкова
ВРЕМЯ НА ЧТЕНИЕ 9 МИН
12 октября 2023
Скачать в PDF

Zoom остается одним из самых популярных инструментов проведения онлайновых встреч. Эта статья может быть полезна тем, кто организует такие встречи. Теплица уже рассказывала о разных опциях безопасности Zoom. Давайте посмотрим, что же это такое — «белый список». 

Зачем это нужно

Как обычно люди готовят конференцию (или вебинар) в Zoom?

  • Организаторы создают мероприятие в своем аккаунте Zoom. 
  • Zoom формирует гиперссылку на грядущую встречу.
  • Организаторы распространяют гиперссылку среди будущих участников и участниц.

Это отлично работает для планерок, переговоров, консультаций и тренингов, рассчитанных на небольшие команды верифицированных людей.

Представьте, что на ваш вебинар по объявлениям в интернете зарегистрировалось 50 человек. Вы собрали их данные в регистрационных анкетах. Все люди получили от вас одну и ту же Zoom-ссылку. Как удостовериться, что на встречу явится именно Marusya Klimova, как в анкете, а не кто-то другой под ее именем? Тот, кому (случайно или из-за преднамеренной утечки) стала известна гиперссылка?

В настройках Zoom можно позволить подключаться лишь зарегистрированным аккаунтам Zoom. Но это не решит проблему. Скорее, наоборот. Вы рискуете потерять часть людей, у которых нет Zoom-аккаунтов (или они в них не залогинились). Некоторые люди используют не свои, а чужие аккаунты Zoom, например, корпоративные.

Опрашивать людей индивидуально в зале ожидания — так себе вариант. Есть риск получить «бутылочное горлышко», раздраженную очередь снаружи и скучающую аудиторию внутри. Это съест ваши ресурсы и создаст неприятное впечатление на старте мероприятия.

Можно попросить будущих участниц и участников входить только под теми никами, которые они указали в регистрационных анкетах. Тогда вам предстоит заранее решить задачу уникальности ников. Иначе к вам придут три Олега, две Наташи и пять пользователей с ником «iPhone». Вам придется разбираться, кто есть кто. Хуже того: люди сплошь и рядом забывают, какие ники указывали в анкетах при регистрации, и стучатся к вам в Zoom под другими именами.

«Белый список» позволяет разослать индивидуальные ссылки на Zoom-мероприятие по конкретным адресам email.

Создание конференции с регистрацией. Скриншот сервиса Zoom
Создание конференции с регистрацией. Скриншот сервиса Zoom

Как это работает

В Zoom есть собственный функционал регистрации на мероприятие. Он действующий, но ограниченный и не очень удобный. Большинство организаторов мероприятий для создания регистрационных анкет предпочитает формы Google Forms или аналоги.

  1. Создайте регистрационную анкету (например, в Google Forms) так, чтобы, помимо прочего, собирать адреса email. Лучше, если это будет отдельное поле. Поясните, что на этот email участник или участница отдельным письмом от Zoom получит индивидуальную гиперссылку для встречи. Важно, чтобы они не пропустили это письмо (если его не видно, можно поискать среди спама). 
  2. Откройте регистрацию, анонсируйте мероприятие. Постепенно собирайте анкеты с адресами email.
  3. Зайдите на страницу своего аккаунта Zoom и создайте Zoom-мероприятие, пусть это будет однодневная конференция. При этом поставьте галочку напротив опции «Регистрация» («Обязательно»).
  4. Когда закроете регистрацию в формах (на наш взгляд, это лучше делать за день до начала встречи или около того), зайдите в настройки конференции Zoom и выберите раздел «Регистрация». В меню ниже кликните по «Импортировать из файла CSV». В окне «Импорт из файла CSV» щелкните по ссылке «загрузить», чтобы скачать себе предложенный Zoom шаблон.
  5. Это текстовый файл CSV, и в нем три столбца. Первый — email, второй — имя, третий — фамилия. Заполните их данными из ваших регистрационных анкет.
  6. Если вы хотите отправить приглашение со ссылкой Zoom сразу, убедитесь, что в поле «Отправить приглашение после импорта» есть галочка. Если хотите отправить ссылку позже, снимите галочку.
  7. Импортируйте готовый файл CSV в Zoom через кнопку «Импорт». Если на шаге 6 вы поставили галочку, всем участникам и участницам будет отправлено приглашение с гиперссылкой.
  8. Рядом с пунктом «Импорт из файла CSV» вы найдете пункт «Показать». Здесь вы увидите список участников из вашего файла. Zoom считает их зарегистрированными. Можно поставить галочку напротив участника и нажать «Повторно отправить письмо с электронным подтверждением». Это особенно полезно, если кто-то жалуется, что письмо не пришло.

Автоматическое письмо можно немного отредактировать до отправки (заголовок, тело письма). Но это косметические изменения, и в целом стандартный шаблон Zoom останется прежним.

Если вам понадобилось подгрузить новый список приглашенных (новый файл .CSV), не нужно включать в него уже зарегистрированные адреса, достаточно включить новые. Удалить регистрацию администратор может, но не получится сделать это втихаря: пользователь получит уведомление.

Параметры регистрации на мероприятие Zoom
Параметры регистрации. Скриншот сервиса Zoom

Что увидит приглашенный пользователь

Допустим, участница Marusya Klimova зарегистрировалась в Google Forms на ваше мероприятие. В анкете она указала почту [email protected], имя Marusya и фамилию Klimova. Вы загрузили эти данные в Zoom как «белый список» в файле CSV. Маруся получит email от Zoom. В письме будет синяя кнопка «Join Meeting» («Присоединиться к встрече») и гиперссылка, что по сути одно и то же. 

  • Самый частый сценарий: если Маруся щелкнет по кнопке/гиперссылке (неважно, залогинена она в свой Zoom-аккаунт или нет), она войдет в Zoom с именем Marusya Klimova, как в анкете и файле CSV.
  • Если Маруся залогинится в Zoom, но использует для входа ID конференции (такая возможность технически существует, хотя к ней редко прибегают), она сможет выбрать имя на входе. С большой вероятностью она войдет под тем именем, какое у нее установлено в аккаунте, так как именно его Zoom предлагает по умолчанию. Даже если это корпоративный Zoom с именем, например, «ООО Кольца и браслеты».
  • Если Маруся не залогинится в Zoom и использует для входа ID конференции, Zoom предложит ей сначала зарегистрироваться или войти в свой аккаунт Zoom. 

В последнем случае Маруся может последовать совету и зарегистрироваться, причем с какими угодно именем и email. Это потенциальная уязвимость для злоумышленника, заполучившего чью-то индивидуальную ссылку. К сожалению, мы не нашли в Zoom возможность закрыть для всех возможность регистрации волевым решением админа. Есть лишь опция автоматического прекращения регистрации после того, как дата мероприятия миновала, но в этой опции для нас мало толку. Наши советы организаторам:

  • Старайтесь не регистрировать людей во время мероприятия. А если уж приходится это делать, в виде исключения, лучше делать регистрацию силами организатора.
  • Не раскрывайте ссылку на Zoom-регистрацию. Если уж вы избрали «белый список», вам не нужны люди, которые регистрируются самостоятельно.
  • В настройках мероприятия («Регистрация» — «Когда участники регистрируются») обязательно выберите вариант «Утверждать вручную». В этом случае человек, каким-то образом узнавший ссылку или ID встречи, сможет зарегистрироваться, но получит Zoom-ссылку на мероприятие только после вашего одобрения.

Особенности Zoom-ссылок в схеме с «белым списком» 

При использовании «белого списка» Zoom-ссылки индивидуальные. Каждый зарегистрированный участник и участница получает свою собственную ссылку. В разделе «Регистрация» есть опция, которая определяет, может ли пользователь подключаться с нескольких устройств (по умолчанию включена). Нужно ли разрешать?

  • Если включить, это даст больше свободы пользователю. Например, он подключается с ноутбука, но в какой-то момент, если нужно сменить место и отойти от компьютера, может подключиться со смартфона. Он также может (если вы не оговорите в правилах иное) передать ссылку кому-то еще.
  • Если опцию отключить, одну ссылку не смогут использовать два человека. Второй «кандидат» при попытке подключиться увидит сообщение Zoom, что кто-то уже вошел в конференцию с этой ссылкой. Такой подход снижает вероятность несанкционированного использования «утекшей» ссылки. 

Если вы забаните злоумышленника или хулигана во время конференции, ему не удастся перелогиниться с другим именем (или аккаунтом Zoom) и снова атаковать ваших гостей. Ну а у вас будет зафиксирован, как минимум, адрес email, который использовал злоумышленник. Может пригодиться, если захотите расследовать инцидент.

Пример файла CSV
Пример файла CSV с данными участниц и участников, открытый в LibreOffice Calc

Белый список и анонимность

Не всегда организатор встречи считает уместным запрашивать имена и фамилии. Напротив, порой надо провести встречу с анонимным участием. Как быть?

Если заполнить в файле CSV и загрузить в Zoom только первую колонку (email), случится беда. Zoom использует email в качестве имен. Пользователи будут видеть почтовые адреса друг друга. Никакой анонимности. Значит, в файле CSV нужны какие-то имена.

Можно воспользоваться опытом Google. Представьте, что вы расшарили ссылку на Google-документ Марусе, а она не залогинена в свой Google-аккаунт. Когда Маруся зайдет по ссылке, вы увидите ее у себя под забавным ником типа «веселая капибара» или «пикирующий зяблик». Для Zoom попробуйте сервис генерации случайных слов. Например, вот здесь можно создать список животных, а здесь — список прилагательных к ним. Если опасаетесь, что кто-то из ваших гостей обидится на «скучного бегемота», отредактируйте список вручную. Если угодно, можно выбрать не животных, а цветы, марки машин или кинозвезд. Устройте посиделки с Крисом Эвансом, Моникой Белуччи, Эмилией Кларк и Джеки Чаном. В сети много генераторов случайностей, как и в жизни.

Если вы хотите предоставить вашим гостям больше свободы, не запрещайте им изменять свои имена после подключения к Zoom-встрече. Если вам категорически важна анонимность, такой запрет будет уместен. Чтобы изменить эти настройки, зайдите в аккаунт Zoom, настройки конференции, пункт «Разрешить участникам переименовывать себя».

Обратите внимание: когда человек входит в Zoom-встречу с залогиненным аккаунтом, Zoom «подтянет» и покажет всем его аватар из профиля. Просвещайте своих гостей насчет важности неиспользования реальных собственных лиц и прочих идентифицирующих картинок для аватаров. Или вовсе отключите использование аватаров в расширенных настройках конференций (в аккаунте Zoom).

Прочие условия и рекомендации

  • Опция «белого списка» доступна только для платных аккаунтов.
  • Хотя регистрация в Zoom работает для повторяющихся мероприятий, «белый список» годится только для разовых встреч. Это неудобство можно обойти: создавать обычную встречу, а во второй раз использовать ее же, меняя дату и время. 
  • Прямая Zoom-ссылка, которую можно увидеть, например, в приложении Zoom или уже в конференцию Zoom, не работает для входа участников, как обычно. Она будет вести на страницу Zoom-регистрации.
  • Советуем организаторам предупреждать будущих участников/участниц в анонсе и рассылках о системе «белых списков». Здесь же уместно сказать о переименовании после подключения: имеют участники/участницы такое право или нет.
  • При использовании «белого списка» увеличивается объем задач и требуется аккуратность. Рекомендуем по возможности выделить из числа организаторов того, кто сможет заниматься только списками и настройками Zoom.
  • Работу с «белым списком» в Zoom нельзя делегировать соорганизатору встречи. Эти хлопоты ложатся на владельца Zoom-аккаунта.
  • Если организатору известны email спикеров и коллег, которые будут участвовать в конференции, можно не предлагать им заполнять регистрационные анкеты в Google Forms, а сразу внести их в CSV-файл. Это полезно, так как (по опыту) спикеры и коллеги редко регистрируются по общим ссылкам из анонсов.
  • Благодаря «белому списку» после встречи можно скачать отчет об участии с более точным определением повторных подключений. Например, при обычном использовании (одной Zoom-ссылке) Маруся может зайти в конференцию с именем Marusya, выйти и зайти снова с того же устройства, но с именем Murka. Zoom посчитает ее как двух разных участников. При использовании «белого списка» Zoom сохранит адреса email, соответствующие индивидуальным ссылкам. Эти адреса дадут более точное понимание, чей вход использовался злоумышленником для хулиганства в чате.
  • При желании вы можете заранее «зарегистрировать» несколько индивидуальных Zoom-ссылок с именами вроде «user1», «user2» и т.д. на свои адреса email, чтобы выдавать их опоздавшим VIP-гостям.
  • Любопытная особенность: если в файле CSV заполнить только вторую колонку, гости ожидаемо придут на вашу встречу под именами и без фамилий. Однако если во второй колонке написать «guest» или «Guest», а третью колонку оставить пустой, Zoom добавит человеку фамилию «Guest», и получится «Guest Guest».

Еще по теме
  1. Место встречи. Гид по безопасности Zoom
  2. Без имени: как обеспечить анонимность на онлайн-встречах
  3. Анонимность: право, а не причуда