Связывание аккаунтов: риски и рекомендации

Сергей Смирнов рассказал, как защитить себя от взлома. Gif: Наталья Ямщикова
Сер­гей Смир­нов рас­ска­зал, как защи­тить себя от взло­ма. Gif: Ната­лья Ямщи­ко­ва

Свя­зы­ва­ние раз­ных акка­ун­тов поль­зо­ва­те­ля друг с дру­гом ведет к тому, что мар­ке­тин­го­вой ком­па­нии ста­но­вит­ся про­ще сопо­став­лять про­фи­ли и созда­вать потре­би­тель­ское досье; авто­ри­тар­ным вла­стям – иден­ти­фи­ци­ро­вать ано­ним­но­го бло­ге­ра; зло­на­ме­рен­но­му хаке­ру – «взла­мы­вать» акка­ун­ты. Как воз­ни­ка­ет свя­зы­ва­ние? Что мож­но с этим сде­лать? Попро­бу­ем разо­брать­ся вме­сте с экс­пер­том по без­опас­но­сти Сер­ге­ем Смир­но­вым.

У Ники­ты два акка­ун­та Google, кор­по­ра­тив­ный и лич­ный, и три поч­то­вых сер­ви­са «в допол­не­ние» к Google. Facebook, Instagram, Twitter, два онлайн-бан­ка, облач­ное хра­ни­ли­ще (свал­ка фото­гра­фий, уда­лять жал­ко, раз­би­рать­ся неко­гда). Кро­ме того, Госус­лу­ги, нало­го­вая, про­вай­дер Интер­не­та – попол­нять баланс, опе­ра­тор мобиль­ной свя­зи. А еще служ­бы бро­ни­ро­ва­ния жилья и биле­тов, пара тор­рен­тов (тс-с-с-с!), несколь­ко про­фес­си­о­наль­ных фору­мов, пло­щад­ка для веби­на­ров, два десят­ка интер­нет-мага­зи­нов, какие-то раз­вле­ка­тель­ные ресур­сы. Боль­шин­ство сай­тов свя­за­но меж­ду собой «через Ники­ту».

– Ну, хоро­шо, – раз­мыш­ля­ет Ники­та. – Онлайн-банк, конеч­но, нужен. Google, Facebook, Instagram, обла­ко – без вопро­сов. А вот адрес на mail.ru? Да я его сто лет не исполь­зую. Там нет ниче­го важ­но­го!

Повторение данных доступа

Оди­на­ко­вые логи­ны помо­га­ют свя­зать акка­ун­ты с кон­крет­ным лицом. Если Ники­та заре­ги­стри­ро­ван на музы­каль­ной бара­хол­ке с акка­ун­том Highway_Star, про­да­вал там гита­ру и доба­вил для свя­зи номер теле­фо­на, в этом, кажет­ся, нет про­бле­мы. Но если некий ано­ним ведет ост­рый поли­ти­че­ский блог и пуб­ли­ку­ет свои сооб­ще­ния под псев­до­ни­мом Highway_Star, его недоб­ро­же­ла­те­ли могут сопо­ста­вить дан­ные двух вир­ту­аль­ных лич­но­стей, и – про­щай, ано­ним­ность. Свя­зы­ва­ние акка­ун­тов через логи­ны может упро­стить сбор дан­ных о кон­крет­ном чело­ве­ке.

Оди­на­ко­вый пароль ведет к тому, что, взло­мав один акка­унт, зло­умыш­лен­ник полу­чит в свое рас­по­ря­же­ние и дру­гой акка­унт с тем же паро­лем. В фев­ра­ле 2019 года ком­па­ния Google про­ве­ла опрос трех тысяч жите­лей США и выяс­ни­ла, что 52% исполь­зо­ва­ли один пароль для несколь­ких акка­ун­тов, а 13% – для всех сво­их акка­ун­тов. Не делай­те так.

Рекомендации

  1. Поду­май­те о том, что­бы избе­гать «бук­валь­но­го» повто­ре­ния логи­нов в акка­ун­тах. Да, порой логи­ном слу­жит теле­фон­ный номер, или рабо­то­да­тель тре­бу­ет, что­бы ваш кор­по­ра­тив­ный адрес email вклю­чал имя и/или фами­лию ([email protected]). Но в про­чих ситу­а­ци­ях мож­но вклю­чить фан­та­зию, осо­бен­но когда речь идет об акка­ун­тах, кото­ры­ми вы вряд ли буде­те часто поль­зо­вать­ся.
  2. Не исполь­зуй­те один пароль для двух и более акка­ун­тов. Не повто­ряй­те паро­ли («Какой бы пароль при­ду­мать для мага­зи­на Ozon? А! Пусть будет тот, кото­рый у меня рань­ше был для Твит­те­ра, про­ще запом­нить»). Для надеж­но­го запоминания/хранения паро­лей мож­но поль­зо­вать­ся про­грам­ма­ми-мене­дже­ра­ми паро­лей, таки­ми как KeePassXC. Подроб­нее о рабо­те с KeePassXC вы може­те про­чи­тать по ссыл­ке.

Привязка аккаунта к адресу email

В настрой­ках акка­ун­та Facebook, кото­рый Ники­та исполь­зу­ет для адми­ни­стри­ро­ва­ния кор­по­ра­тив­ной стра­ни­цы, ука­зан адрес email. Facebook пред­ло­жил Ники­те сде­лать это для защи­ты акка­ун­та и вос­ста­нов­ле­ния забы­то­го паро­ля. Ники­та ука­зал свой адрес на mail.ru. Про­шли годы. Сего­дня Ники­та пред­по­чи­та­ет Gmail, ино­гда поль­зу­ет­ся Proton Mail, а ста­рый адрес mail.ru дав­но забро­сил. Пароль там остал­ся какой-то про­стой, Ники­та не менял его уже лет пять. Двух­фак­тор­ной аутен­ти­фи­ка­ции нет – в те вре­ме­на она еще не была попу­ляр­на.

Еще по теме: Видео­урок Теп­ли­цы: защи­ти­те свой тра­фик с помо­щью пла­ги­на HTTPS Everywhere

В опи­сан­ной ситу­а­ции акка­унт mail.ru – сла­бое зве­но. Рас­чет­ли­вый зло­умыш­лен­ник, воз­мож­но, напра­вит свои уси­лия имен­но туда. Запо­лу­чив этот акка­унт, зло­дей суме­ет «вос­ста­но­вить пароль» к Facebook, а так­же к любо­му дру­го­му акка­ун­ту, где в настрой­ках ука­зан взло­ман­ный адрес.

Рекомендации

  1. Воз­мож­но, луч­ше не ука­зы­вать адрес email в настрой­ках акка­ун­та, если это не обя­за­тель­но. Вме­сто того, что­бы пола­гать­ся на схе­мы экс­трен­но­го вос­ста­нов­ле­ния паро­лей, попро­буй­те инве­сти­ро­вать вре­мя в надеж­ные паро­ли и резерв­ное копи­ро­ва­ние.
  2. Если все-таки нуж­но ука­зать какой-то кон­такт в настрой­ках акка­ун­та, то луч­ше email, чем теле­фон. (О том, поче­му при­вяз­ка к теле­фо­ну может быть опас­ной, мы писа­ли здесь. Вклю­чи­те в настрой­ках двух­фак­тор­ную аутен­ти­фи­ка­цию. Ука­зан­ный вами адрес email дол­жен быть срав­ни­тель­но надеж­ным (попро­буй­те Proton Mail) или Tutanota). Важ­но, что­бы этот поч­то­вый акка­унт в свою оче­редь не был свя­зан с каким-то полу­за­бы­тым «мусор­ным» адре­сом.

Приложения соцсетей

Про­бо­ва­ли когда-нибудь зало­ги­нить­ся на сайт без реги­стра­ции, а с помо­щью ссыл­ки «вой­ти через Facebook»? Вла­дель­цы онлай­но­вых сер­ви­сов любят такую опцию, пото­му что она уско­ря­ет про­це­ду­ру реги­стра­ции и помо­га­ет удер­жи­вать кли­ен­тов. Ники­те тоже нра­вит­ся: быст­ро, удоб­но, не нуж­но запо­ми­нать еще одну пару логин/пароль.

При «вхо­де через Facebook» в фейс­буч­ный акка­унт Ники­ты добав­ля­ет­ся при­ло­же­ние. Зай­ди­те в «Настрой­ки» – «При­ло­же­ния и сай­ты». Взгля­ни­те, сколь­ко при­ло­же­ний уста­нов­ле­но у вас и какие. Систе­мы бро­ни­ро­ва­ния биле­тов, дис­кус­си­он­ные пло­щад­ки, онлай­но­вые тесты…

У Ники­ты таких при­ло­же­ний два­дцать восемь. Если зло­умыш­лен­ник полу­чит доступ к акка­ун­ту Ники­ты Facebook, он смо­жет зай­ти на любой из этих сай­тов, посмот­реть настрой­ки про­фи­лей и сохра­нен­ные дан­ные, воз­мож­но, выпол­нить какие-то дей­ствия с это­го акка­ун­та.

Каж­дое при­ло­же­ние обла­да­ет набо­ром раз­ре­ше­ний для обра­бот­ки Ники­ти­ных дан­ных в Facebook. Напри­мер, имя, фото, город про­жи­ва­ния, элек­трон­ный адрес. Неко­то­рые при­ло­же­ния могут пой­ти даль­ше и заин­те­ре­со­вать­ся, ска­жем, вашим спис­ком дру­зей. Если вы щелк­не­те мышью по знач­ку при­ло­же­ния, то уви­ди­те эти раз­ре­ше­ния.

Инстру­мен­том само­го мас­штаб­но­го в исто­рии скан­да­ла (2018 год) с обра­бот­кой мас­си­ва дан­ных мил­ли­о­нов поль­зо­ва­те­лей Facebook с после­ду­ю­щей обра­бот­кой для нужд поли­ти­че­ских кам­па­ний ста­ло при­ло­же­ние «This Is Your Digital Life» (дело Cambridge Analytica). По сви­де­тель­ству гла­вы Facebook Мар­ка Цукер­бер­га, при­ло­же­ние уста­но­ви­ли 300 тысяч чело­век, но общее чис­ло затро­ну­тых поль­зо­ва­те­лей Facebook соста­ви­ло до 50 мил­ли­о­нов.

Боль­шин­ство при­ло­же­ний в акка­ун­те Ники­ты ока­за­лось свя­за­но с сай­та­ми, кото­рые наш герой посе­щал год или два назад, а неко­то­рые сай­ты он даже не узнал.

Рекомендации

  1. Луч­ше реги­стри­ро­вать­ся на сай­тах, при­ду­мы­вая отдель­ные, уни­каль­ные логи­ны и паро­ли. Что­бы помочь пре­одо­леть иску­ше­ние быст­ро «вой­ти через Facebook», мож­но отклю­чить в настрой­ках соци­аль­ной сети соот­вет­ству­ю­щий функ­ци­о­нал: «Настрой­ки» – «При­ло­же­ния и сай­ты» – плаш­ка «Настрой­ки, сай­ты и игры» – «Редак­ти­ро­вать» – «Выклю­чить».
  2. Если вы, как Ники­та, не гото­вы окон­ча­тель­но рас­стать­ся с при­ло­же­ни­я­ми Facebook, по край­ней мере, про­смот­ри­те их. Уда­ли­те лиш­ние, незна­ко­мые, сомни­тель­ные. У остав­ших­ся посмот­ри­те раз­ре­ше­ния (и при необ­хо­ди­мо­сти отклю­чи­те).

Facebook не един­ствен­ный ресурс, кото­рый исполь­зу­ет при­ло­же­ния. Вхо­дить на неко­то­рые сай­ты мож­но, напри­мер, через Google, Twitter, «ВКон­так­те». В акка­ун­тах этих сер­ви­сов есть раз­де­лы со спис­ком под­клю­чен­ных при­ло­же­ний.

Оста­вай­тесь в без­опас­но­сти и не забы­вай­те: у каж­до­го чело­ве­ка свои цен­но­сти и угро­зы. Может быть, наши сове­ты не вполне вам подой­дут. Но теперь вы зна­е­те, на что обра­тить вни­ма­ние.