Skip to content

Безопасность аккаунтов

Аккаунт (account) или учетная запись — это персональная страница пользователя или личный кабинет, который создается после регистрации на сайте.

Регистрация необходима, чтобы общаться в социальных сетях, пользоваться электронной почтой и мессенджерами, загружать фотографии и создавать свой собственный контент. Пользователь может распоряжаться своим аккаунтом, как ему вздумается, но при этом не нарушать правил сайта.

На ресурсах различных типов предусмотрены разные типы аккаунтов:

  • В социальной сети есть аккаунты пользователей, групп, сообществ и т. п.
  • На обычных сайтах предусмотрены аккаунты администраторов и пользователей.

У любого аккаунта есть логин и пароль. Логин — это имя пользователя в системе, а пароль — ключ, который открывает к ней доступ. Ваш логин могут знать многие. В почте, например, логин — это одновременно и электронный адрес. А вот пароль должны знать только вы и никто больше.

Ввод пароля — это не единственный способ пройти проверку на входе. Иногда вместо пароля используют биометрические данные: отпечатки пальца, голос, сетчатка глаза.

Чтобы усилить защиту, сайт или сервис может требовать вместе с паролем что-то ещё. Например, одноразовый код, который приходит по смс или создается в специальном приложении. Такой код сложно своровать, да и смысла в этом нет — ведь действует он всего один раз. Авторизация с двойной защитой — паролем и одноразовым кодом — называется двухфакторной аутентификацией.

Как взламывают аккаунты

Есть разные способы. Кто-то применяет самый банальный метод перебора, или, как его ещё называют, брутфорс. В этом мошенникам помогают программы-боты. Они просто перебирают символы или, чтобы было быстрее, проверяют пароли по специальным словарям для взломщиков. В них входят популярные пароли типа 1234, qwerty и обычные слова и фразы из разных языков («привет», «iloveyou»). Увы, многие люди используют для своих аккаунтов такую вот ненадёжную защиту.

Другой способ получить пароль — перехватить его. Для этого подходят, например, WiFi сети в кафе или парках. Публичный WiFi очень часто устроен так, что в нём ваши данные может увидеть любой, кто подключится к сети. А подключиться может кто угодно — в том числе и злоумышленник.

Ещё мошенники нередко «восстанавливают пароль» вместо пользователей. Например, по секретному вопросу. Найти на него ответ бывает совсем несложно — в той же соцсети.

Наконец, самые хитрые добиваются того, что пользователи сами, по доброй воле, отдают им свои логины и пароли. Все, что для этого нужно, — выдать себя за какой-нибудь известный сервис или организацию. Допустим, прислать письмо от имени банка и попросить у человека пароль от онлайн-кабинета — якобы для решения технических проблем. Или показать окошко авторизации, нарисованное в стиле популярного сайта — мол, у вас новое сообщение, авторизуйтесь, чтобы прочитать. Такой способ обмана называется фишингом, (то есть рыбалкой по-английски). Пользователь, ничего не подозревая, клюёт на удочку, и его личные данные отправляются прямиком к самозванцам.

Как защитить аккаунт

Самое главная защита — надёжный пароль.

Что это значит? Во-первых, пароль должен быть длинным, не меньше 8-10 символов. Во-вторых, сложным, то есть содержать разные типы символов — цифры, большие и маленькие буквы, специальные знаки вроде звездочки, решетки, знаков вопроса или восклицания. И в-третьих, пароль должен быть небанальным. Не надо использовать в нем свое имя, адрес, дату рождения — будьте уверены, злоумышленники знают этот приём. Обычные слова или удобные сочетания клавиш (в ряд, крестом) тоже не подойдут — они давно есть в словарях для программ-взломщиков.

Используйте разные пароли для разных сайтов. Электронная почта, интернет-магазин, социальная сеть — пароли от всех этих сервисов должны быть разными. Конечно, запомнить сразу много паролей трудно, особенно если все они правда надёжные. Но записывать их на листочках или в телефоне все равно не надо. Лучше придумайте себе правило и чуть-чуть меняйте по нему пароли для разных сервисов.

Важно не только то, какой пароль вы используете, но и где вы его вводите. Будьте аккуратны также и с чужими устройствами, даже если доверяете их владельцу. Друг, в гостях у которого вы решили проверить почту, ваш пароль не украдет. Зато это может сделать вирус, который тайком пробрался к нему на компьютер. Если вы все же воспользовались чужим компьютером, не поленитесь почистить за собой историю и сохранённые пароли в настройках браузера.

Не забывайте про фишинг. Чтобы не попасться на удочку мошенников-фишеров, проверяйте адреса страниц. Обращайте внимание на слово перед последней точкой в адресе — это и есть настоящее название страницы. Сайт mail.tandex.ru будет принадлежать Яндексу, а вот mail.yandex.6451.ru — уже нет.

Кроме того, проверяйте, защищает ли сайт вашу информацию. Если адрес начинается с https и в адресной строке стоит значок замка, значит, сайту можно доверять — он передаёт все данные в зашифрованном виде. В адресах фишинговых сайтов вы такого не увидите, потому что заниматься шифрованием ваших данных мошенникам вовсе незачем.

Что делать если вас взломали

Допустим, вы ввели логин и пароль от почты на каком-то сайте, а потом поняли, что он фишинговый. Вас ещё не взломали, но данные уже скомпрометированы — они попали к злоумышленникам, которые теперь могут использовать вашу почту как угодно. Что делать в такой ситуации? Самое главное — не волноваться и первым делом сменить пароль. Если вы использовали его на нескольких сервисах — сменить и там тоже.

Потом привяжите к своему аккаунту актуальный номер мобильного, если он ещё не привязан. Это помешает мошенникам поменять ваш пароль, потому что код восстановления придёт не им, а вам на телефон. Удалить ваш номер у них тоже не получится — ведь код подтверждения, опять же, получите вы, а не они.

Другая ситуация: на подозрительных сайтах и в открытых сетях вы пароль не вводили, другим людям его не передавали, а с вашей почты вдруг пачками посыпались странные письма. Или вы заметили, что ваш ящик открывают с незнакомых компьютеров — в Яндекс.Почте это можно проверить по айпи-адресам в журнале посещений. Тут, скорее всего, поработала вредоносная программа. А значит, сменой пароля и привязкой телефона уже не обойдёшься — нужно лечить компьютер. Скачайте антивирус и проверьте систему. Если один антивирус у вас уже стоит, попробуйте ещё один — который может провести проверку без установки на устройство.

Даже если антивирус отыскал и обезвредил виновника неприятностей, поменяйте все пароли — возможно, вредоносная программа уже успела передать их своему хозяину. Если же антивирус оказался бессилен и ничего не нашёл, а проблемы остались, придётся переустановить систему.

Когда устройство наконец придёт в себя, важно не заразить его снова. Если будете использовать для восстановления данных резервные копии файлов, обязательно проверьте их антивирусом. И не забудьте про дополнительные средства защиты —файерволл и безопасный DNS. С ними у вас будет больше шансов на то, что история не повторится.

Некоторые вредоносные программы блокируют компьютер полностью — так что ни антивирус уже не поставить, ни систему поменять. А за разблокировку просят денег. Не ведитесь на это: пусть вы заплатите «выкуп», но какой смысл мошенникам вам помогать? Когда они получат свое, то скорее всего просто про вас забудут. К тому же иногда надо просто немного подождать, и компьютер разблокируется сам. Если нет, скачайте программу для удаления блокеров и запустите её с флешки. А когда получите доступ к системе, проведите полный курс лечения. Как это делается, вы уже знаете.

Список использованных источников

  1. Полевода З. Что такое аккаунт и зачем он нужен [Электронный ресурс] URL: https://kokoc.com/terminy/akkaunt-ehto-chto-takoe/ (дата обращения: 08.03.2022)
  2. Электронный курс «Безопасность в интернете» [Электронный ресурс] URL: https://stepik.org/course/191/info (дата обращения: 07.03.2022)
Last update: July 14, 2022
Created: July 14, 2022

Comments