Зомби — всепроникающая культурная тема наших дней. Однако не все уделяют ей то внимание, которого она заслуживает. Речь идет об аккаунтах-зомби, оставленных вами в Сети. Подумайте только, к какому количеству сайтов и сервисов вы присоединились за прошедшие годы. А сколько из них используете? Сколько ссылок ведут на ваши профили в Facebook или Twitter? Сколькими из них вы активно управляете, гарантируя их защиту?
Мертвецы-зомби: головная боль для живых
Прошло, наверное, лет пять с тех пор, как я последний раз заходил в MySpace. И вот однажды, вспомнив свое учетное имя и пароль (а точнее, догадавшись, что там могло быть), я обнаружил, что в активном до сих пор аккаунте хранятся сведения о том, где я живу и работаю, установлены связи с друзьями и имеются их персональные данные.
На сайтах и сервисах, где нет конфиденциальной информации, многие люди используют простые и одинаковые пароли. Вряд ли это хорошо, потому что в сервисах могут обнаружиться данные, которые послужат атакующим ключом к взлому ваших конфиденциальных аккаунтов. В своем профиле в MySpace я нашел, например, сведения о средней школе, которую закончил, и о своем знаке зодиака. Финансовые сайты зачастую используют контрольные вопросы такого рода для дополнительной аутентификации и проверки того, что пользователь является именно тем, за кого он себя выдает.
Технический директор компании Qualys Вольфганг Кандек, определяя таким образом пароли, однажды получил тяжелый урок. «На сайтах подобного рода я всегда использовал общий пароль «загонщик», — вспоминал он. — И когда к одному из них злоумышленники подобрали ключ, завладев учетными данными пользователей, я внезапно для себя обнаружил, что такой же пароль использовался и на многих сайтах, которые я считал важными».
Директор подразделения Symantec Security Response Кевин Хэли предупреждает, что аккаунты-зомби могут быть взломаны. Впрочем, риск того, что это произойдет, здесь не выше, чем на тех сайтах, которые вы активно используете. Однако помните, что малоизвестные сайты и сервисы не обладают ресурсами, имеющимися у Facebook или Google, и потому поддерживаются и защищаются далеко не так активно.
Отключайте или удаляйте старые аккаунты
Удаляйте неактивные учетные записи, не проходите мимо. На многих сервисах политика хранения данных не определена, из-за чего они могут находиться там в течение любого срока. Брешь, возникшая много лет тому назад, может стать причиной утечки данных, о которых вы уже давно забыли.
Аналитик компании Lumension Пол Хенри заметил, что задачи подобного рода гораздо проще озвучить, чем решить. «Посмотрите на сайты типа Facebook, — предложил он. — Вам придется приложить немало усилий, чтобы удалить оттуда все свои данные. Но даже после удаления информация будет храниться в течение, по крайней мере, 30 дней. А если вы за эти 30 дней войдете в свой аккаунт, она останется здесь навсегда, даже если ее удалить повторно».
Вместе с тем, Хенри подчеркнул, что неиспользуемые приложения и надстройки представляют гораздо более серьезную угрозу, чем вероятность взлома давно забытого сайта. Разница заключается в том, что неиспользуемое программное обеспечение вы и не обновляете. Находя брешь в таких программах, хакер получает отличную возможность установить контроль над всем вашим ПК.
Конечно, придется потрудиться, чтобы исправить ситуацию, но чтобы защитить свои данные в Сети и не подвергать их риску, имеет смысл приложить необходимые для этого усилия.
Используйте диспетчер паролей
Придумывать уникальные пароли совсем непросто, не говоря уже об их отслеживании. Частые случаи подбора паролей показывают, что многие предпочитают использовать лишь очень простые и легко запоминающиеся строки (например, «12345» или «password»), не обеспечивающие никакой безопасности.
После утечки своего пароля Кандек перестал практиковать повторное их использование и взял на вооружение диспетчер паролей с одноразовыми секретными последовательностями символов. «Я стал очень дисциплинированным, и это доказало свою эффективность, — подчеркнул он. — Я использую сервис LastPass, который поддерживает системы Linux и Chromebook и обеспечивает двухфакторную аутентификацию».
Конечно, обращение к интернет-сервису вроде LastPass само по себе сопряжено с риском, и потому нельзя считать его панацеей. В 2011 г. появлялись сообщения о взломе LastPass, но, возможно, это была лишь реакция на необычный рост сетевого трафика (go.pcworld.com/lastpasshack).
Как бы то ни было, старайтесь придерживаться приведенных здесь рекомендаций и предпринимать необходимые меры к отключению или удалению любых неиспользуемых сервисов и приложений. В противном случае аккаунты-зомби рано или поздно бумерангом ударят по вам.