MFA
7 статей с этим тегом
Безопасность для эпохи ИИ: что закрыть прямо сейчас (приоритетный чек-лист)
ИИ в основном усиливает атаки на СУЩЕСТВУЮЩИЕ слабые места (незакрытые CVE, повторно используемые пароли, открытые секреты), а не изобретает новые — найденные автоматически, быстро, в масштабе. Поэтому лучшая подготовка — закрыть основы в правильном порядке: закрытие CVE + мониторинг зависимостей, искоренение повторного использования + MFA, удаление открытых секретов, минимум привилегий, сокращение публичной поверхности, логи/IOC, резервные копии.
Что такое фишинг? Виды атак и защита надёжнее, чем «распознать»
Фишинг выдаёт себя за доверенную сторону, чтобы заманить вас на поддельную страницу входа и украсть учётные данные или данные (или запустить вредонос). Он целится в человеческое суждение, а не в дефект ПО, и является каналом входа №1 для программ-вымогателей и утечек. Современный фишинг с злоумышленником посередине (AiTM) ретранслирует даже одноразовые коды на настоящий сайт в реальном времени, поэтому SMS/приложение-MFA можно обойти. Надёжная защита — не «распознать», а механизмы: привязанная к домену устойчивая к фишингу MFA (passkey/аппаратные ключи), переход на официальный сайт напрямую вместо клика по ссылкам и аутентификация почты (SPF/DKIM/DMARC).
Как правильно выбирать MFA: что значит «устойчивый к фишингу» и почему SMS слаб
MFA — это второй замок, чтобы один лишь утёкший пароль не пустил внутрь, но то, что вы включаете, меняет его силу по трём уровням. Коды SMS/email падают перед релейным фишингом и SIM-swap; приложения-аутентификаторы (TOTP) — средний уровень; passkey/аппаратные ключи (FIDO2) вообще нельзя предъявить поддельному сайту — это и есть устойчивость к фишингу. Высший приоритет: поставьте устойчивый к фишингу MFA на ключи от королевства (почта, домен, платежи). Хранение кодов восстановления и наличие резервного фактора завершают настройку.
Безопасны ли менеджеры паролей? Как они работают, облако vs локально и как выбрать
Менеджер паролей безопаснее переиспользования или хранения открытым текстом. Ключ — шифрование с нулевым разглашением: ваш мастер-пароль расшифровывает хранилище только на вашем устройстве, провайдер держит только шифртекст, поэтому взлом провайдера не раскрывает ваши пароли. Настоящая единая точка — это ваш мастер-пароль плюс MFA на хранилище. Выбирайте облако (Bitwarden/1Password) или локально (KeePass) по применению.
Базовая безопасность для инди-разработчиков и малых операторов: весь стандартный набор
База — это не «всё одинаково важно». Порядок приоритета этого сайта: 1) ключи от королевства (MFA, домен, почта), 2) секреты и код, 3) само приложение, 4) патчи, обнаружение, восстановление. При конечном времени заполняйте сверху вниз. Большинство серьёзных взломов происходит не из-за новых атак, а из-за пробела в этом фундаменте.
Основы безопасности смартфона — защита устройства, которое держит ваши ключи, хранилище и удостоверение в одном
Телефон концентрирует 2FA, почту, банкинг и удостоверение в одну единую точку отказа. Настоящая защита — не приложение безопасности: (1) сильная блокировка + короткая автоблокировка (код-пароль — это ключ шифрования); (2) автоматические обновления ОС/приложений; (3) официальный магазин + ревизия разрешений; (4) заранее настроить удалённую блокировку/стирание; (5) держать резерв вашей 2FA. iOS/Android уже шифруют и изолируют по умолчанию.
Безопасно ли хранить пароли в Google Drive? Как держать их правильно
Держать пароли в документе/таблице Google открытым текстом опасно: один аккаунт Google становится единой точкой отказа для каждого пароля — захват аккаунта, вредоносное подключённое приложение или фишинг утекают их все разом. Исправление — специализированный менеджер паролей (содержимое остаётся зашифрованным даже при синхронизации). Если вы обязаны использовать Drive, храните только зашифрованный файл хранилища и поставьте устойчивую к фишингу MFA на аккаунт.