Особиста кібербезпека: паролі та месенджери

Пароль має відповідати вимогам безпеки:

• довжина паролю має бути не менш ніж 15 (п'ятнадцять) символів;
• до складу паролю мають входити символи чотирьох категорій, а саме: цифри, прописні літери алфавіту, малі літери алфавіту, неалфавітні (спеціальні) символи (!, @, #, $, %, ^, &, * тощо);
• заборонено використовувати стандартні паролі виробників телекомунікаційного обладнання та\чи паролі, що мають у своєму складі:
  • послідовність символів в алфавітному порядку або в порядку їх розміщення на клавіатурі (QWErtyu, qazxswEDC тощо);
  • послідовність із трьох і більше символів, що повторюються (qqqAAA123, ad111C тощо);
  • послідовність символів, утворених із доступної інформації про користувача (ім'я, прізвище, дата народження, телефон, номер військової частини тощо).

Слід дотримуватись таких вимог:

• пароль облікового запису має бути відомим тільки його власнику;
• заборонено спільне використання облікових записів (коли одним обліковим записом користується декілька осіб);
• якщо інформаційна система надає таку можливість, багатофакторна автентифікація (MFA) має обов'язково використовуватися (окрім автентифікації через короткі текстові повідомлення (SMS), яка заборонена);
• максимальним термін дії пароля не повинен перевищувати 180 діб (для кожної окремої інформаційної системи).

Пароль має бути не лише стійким, але й добре запам'ятовуватися. Як скласти влучну комбінацію? Створюйте пароль на основі назви фрази, особистої асоціації, жарту чи просто чотирьох випадкових слів. Наприклад: «КращаРиба=ЦеКовбаса24», «Whats4Lunch$PerlovkaAldente» тощо.

Ми не рекомендуємо:

• використовувати один і той самий пароль для різних облікових записів та інформаційних систем;
• зберігати свій пароль записаним на будь-яких носіях у відкритому вигляді (накриклад, на листках біля робочого місця);
• використання слабких паролів;
• передавати паролі третім особам (дітям, друзям, дружині, куму, дядьку та\або капітану Шевченку);
• використання будь-яких ідентифікаторів при створенні паролю (номера авто, телефон, число місяць рік народження, тощо);
• передавати засоби MFA (коди, ключі, токени тощо) іншим користувачам;
• використовувати функцію збереження паролів в інтернет-браузері (замість цього, рекомендуємо використовувати відповідний функціонал погоджених менеджерів паролів).

Багатофакторна автентифікація. Якщо інформаційна система надає таку можливість, багатофакторна автентифікація (MFA) має обов'язково використовуватися (окрім автентифікації через короткі текстові повідомлення (SMS), яка заборонена).

Де зберігати паролі? У середньому одна людина може запам'ятати і тримати в голові до 5 складних паролів. Ось декілька рішень які можна використовувати для зберігання паролів, в певних з них є можливість використовувати безкоштовно:

• Bitwarden,
• NordPass,
• LastPass,
• 1Password,
• Dashlane.

Як створити складний пароль? Використовуючи менеджер паролів можливо використовувати онлайн-генератор паролів за таким принципом:

Приклади занадто легких паролів:

• C9s#-f (6 символів дуже короткий пароль);
• qwertyuiop[]\1234567890 (пароль зі стандартної комбінації на клавіатурі);
• P@ssW0rd-1 (дуже легкий пароль з першого хакерського словника паролів);
• 14341212312309 (пароль тільки з цифр).

FIDO 2. Ключ безпеки FIDO2 — це інструмент двофакторної автентифікації для доступу у різноманітні системи та застосунки. Це — поширений у світі інструмент додаткового захисту облікових записів.

Ви можете використовувати його в доповнення до пароля — як другий фактор під час автентифікації в "Дельту", "Google Workspace", "Proton" та інші сервіси які підтримують його використання або інші застосунки (програми), які використовуєте у роботі та які підтримують протокол FIDO2.

Паролі, які вводить та зберігає користувач, легко вкрасти за допомогою фішингу, шкідливих програм та інших типів атак. Фізичний ключ безпеки, як другий фактор автентифікації, підвищує конфіденційність, оскільки ніколи не зберігається на сервері або комп'ютері користувача. Водночас, у разі викрадення ключа увійти в обліковий запис лише за допомогою цього ключа буде неможливо.

Time-Based One-Time Password (TOTP, додаток TOTP). На сьогодні, існує багато додатків але ми радимо використовувати виключно ті, в яких впевнилися самі:

• Google Authenticator,
• Microsoft Authenticator,
• LastPass Authenticator,
• 1Password Authenticator.

Кожна соціальна мережа (Facebook, Twitter, Instagram тощо) має інструменти для підвищення захищеності облікових записів:

• Для налаштування параметрів безпеки необхідно перейти у меню відповідної соціальної мережі, знайти розділ «Конфіденційність і безпека» (або схожу назву), перевірити авторизовані входи, налаштувати двоетапну перевірку, а також з дотриманням відповідних рекомендацій системи вдосконалити захищеність облікового запису.
• Перед публікацією будь-якого контенту необхідно врахувати усі ризики, пов'язані з його розміщенням, включно з аудиторією для якої поширюється інформація.
• В умовах війни варто утриматися від публікації контенту, який стосується професійної діяльності. З цією метою слід користуватися офіційними каналами поширення інформації у вашому відомстві/підрозділі.
• У разі наявного облікового запису у соціальних мережах, які мають російське походження ("Вконтакте", "Одноклассники" тощо) необхідно його видалити, навіть якщо він неактивний.

Не обговорюйте звичайною мережею (при дзвінку) військову інформацію. Не розповідайте інформації про побратимів, свої позиції, забезпечення зброєю, місця польотів дронів тощо. Не називайте логіни в Дельті та будь-яку іншу персональну інформацію.

Не спілкуйтесь про все перелічене вище в соцмережах. Адже акаунт людини, з якою ви спілкуєтесь, може бути зламаний. Або вам пише людина з ідентичним іменем і викраденим фото.

В жодному разі не публікуйте фото, за якими можна впізнати ваші позиції. Уважно слідкуйте, щоб на фото чи в дописі не була вказана геолокація.

Не відкривайте посилань та файлів, які надсилають в месенджерах. Це може навіть приходити від друзів, в яких зламали акаунт. Також нерідко це приходить і в Сигналі.

MS Teams - Ваш основний робочий месенджер. Окрім того відносно захищеними месенджерами вважаються:

• Element - дозволений до використання месенджер.
• Signal - умовно безпечний та має протоколи шифрування. В Signal є функція очищення всіх чатів через певний час. Можна увімкнути очищення чатів за 1 день чи 7 днів. Є функція входу в месенджер по FaceID чи коду доступу для iPhone. Або за кодом доступу / відбитку пальця для Android.
• WhatsApp - дозволений до використання месенджер.
• Threema - умовно безпечний месенджер. Платний додаток на Android та iOS, містить наскрізне шифрування. З переваг: користування без прив'язки до номеру телефону чи пошти.

Увага! Використання Telegram в службових цілях заборонено.

Telegram не заборонений для особистого використання і якщо Ви вважаєте що користь від його використання Вами більш ніж ті ризики які Ви і Ваші співрозмовники будуть зазнавати, впевніться що застосовані наступні рекомендації з налаштування месенджеру:

1. Варто налаштувати двохфакторну автентифікацію. Для цього перейдіть до "Параметри", та в меню "Приватність і безпека" оберіть "Двоетапна перевірка". Буде запропоновано встановити пароль та електронну пошту для його відновлення.
2. Встановлюйте складний пароль (більше 8 символів, великі та малі літери, символи, цифри) та не використовуйте пароль, який Ви вже використовуєте в іншому месенджері, соц. мережі чи електронній пошті.
3. Встановіть, щоб Ваш номер телефону не відображався нікому, а також автоматичне видалення акаунту після 1 місяцю відсутності.
4. Періодично перевіряйте меню "Пристрої" на наявність невідомих Вам пристроїв з яких авторизований Ваш акаунт.
5. Рекомендується в меню "Дані та сховища" вимкнути автозавантаження медіа як через мобільну мережу, так і через Wi-Fi. При отриманні повідомлення від невідомого номеру з файлом чи посиланням наполегливо рекомендуємо не відкривати файли, не зберігати їх на пристрій та не переходити за підозрілими посиланнями.

Увага! Якщо ви раптом зрозуміли що перейшли за зловмисним посиланням і наприклад сканували QR-код щоб підтвердити особу, дуже важливо негайно виконати наступні дії:

• Не виходити з вашого облікового запису в телеграмі, і не вимикати телефон. В момент коли ви перейшли за посиланням/відсканували qr код зловмисники отримали доступ до вашого аккаунту, але повний контроль над аккаунтом вони отримують саме якщо ви запанікуєте і вийдете з облікового запису або вимкнете телефон.
• Переходьте в Налаштування, далі Пристрої, і завершуєте всі сесії на чужих пристроях які під'єднані до вашого облікового запису.
• Далі перевіряєте щоб Телеграм був налаштований згідно рекомендацій на цій сторінці, змінюєте налаштування другого фактору для Телеграм і повідомляєте ваших контактів про те що ваша обліковка була взламана і щоб не довіряли повідомленням які від вас поприходили.

Загальні рекомендації безпеки:

1. Для безпечного користування WhatsApp налаштуйте двофакторну автентифікацію. Для цього перейдіть в "Параметри" та меню "Обліковий запис". Там при переході в меню "Двоетапна перевірка" керуючись підказками застосунку налаштуйте двофакторну автентифікацію (необхідно буде вказати шестизначний пароль та електронну пошту).
2. Періодично перевіряйте пристрої, на яких авторизовано Ваш акаунт WhatsApp в меню "Підключені пристрої", а також в меню "Обліковий запис" перейшовши в пункт "Сповіщення про безпеку" увімкніть функцію "Показувати сповіщення системи безпеки".
3. При отриманні повідомлення від невідомого номеру з файлом чи посиланням наполегливо рекомендуємо не відкривати файли, не зберігати їх на пристрій та не переходити за підозрілими посиланнями.

Загальні рекомендації безпеки:

1. Завантажуйте програми Signal лише з офіційних сайтів і магазинів (Apple iOS, Android, для комп'ютера).
2. Використовуйте автоматичне оновлення або регулярно оновлюйте месенджер (Apple iOS, Android, для комп'ютерів).
3. Налаштуйте свій профіль. Не використовуйте справжнє повне ім'я та прізвище, не завантажуйте своє реальне фото.
4. Перевіряйте особу своїх контактів. Без належної перевірки не приймайте запити на контакти з номерів, які не зареєстровані у ваших контактах. Використовуйте для цього інші довірені канали зв'язку.
5. Пильнуйте за повідомленнями щодо зміни коду безпеки зі своїми контактами. Це означає що у співрозмовника змінився пристрій на якому був встановлений месенджер вже після початку спілкування з Вами. Новий телефон? Телефон чи акаунт захоплений ворогом? Ситуації бувають різні.
6. Увімкніть PIN-код та блокування реєстрації та ознайомтесь як це працює. Це захиститься Вас від захоплення облікового запису через клонування чи крадіжку SIM картки. За можливості, використовуйте для реєстрації Signal SIM-карти іноземних операторів зв'язку.
7. Переконайтеся, що ваш обліковий запис синхронізовано лише на пристроях, яким ви довіряєте. Якщо пристрій буде скомпрометовано, це дозволить зловмисникам бачити весь вміст Ваших розмов.
8. Активуйте блокування екрана.
9. Налаштуйте конфіденційність сповіщень. Навіть коли Ваш пристрій заблоковано, будь-хто може взяти його та прочитати повідомлення та імена відправників із Вашого заблокованого екрана. Встановіть заборону відображення змісту повідомлень у сповіщеннях.
10. Використовуйте зникаючі повідомлення. Обмежте час існування Ваших розмов, при компрометації пристрою це суттєво зменшить обсяг скомпрометованих даних.
11. Перезавантажуйте телефон раз на тиждень. Від зламу це не захистить, але позбавить його від непостійних\тимчасових шкідливих компонентів чи програм, які могли бути таємно встановлені на ньому. Ви ж не передавали свій телефон нікому, чи не так?

Групові чати стали важливим інструментом комунікації для військових, проте неправильне їх використання може призвести до витоку чутливої інформації. Цей розділ містить вказівки щодо безпечної участі в групових чатах, відповідальності адміністраторів та учасників, а також практичні поради щодо мінімізації ризиків при обміні інформацією. Дотримання цих рекомендацій допоможе захистити не лише вас, але й ваших побратимів.

Перед тим як долучитися до такого чату задай собі декілька запитань:

1. Чи всі люди в чаті надійні та не передають інформацію до третіх рук?
2. Чи всі акаунти які додано в чат знаходяться під контролем їх власників та не мають сторонніх пристроїв у підключеннях цього месенджеру?
3. Чи налаштували всі хто є в чаті свої смартфони згідно хоча б нижче наведених рекомендацій?

Долучившись до чату:

• Дізнайтесь хто відповідальні за кожен чат з важливою інформацією. Ця інформація вам знадобиться для того щоб вчасно видалити скомпрометований обліковий запис, якщо з вашим обліковим записом щось станеться.
• Якщо ваш обліковий запис буде скомпрометовано і ви будете заблоковані терміново поінформуйте відповідальних за важливі чати і вашого керівника.
• Будьте обережними з будь-якою інформацією яку відправлятимете в чаті, пам'ятайте що якщо зловмисники отримають доступ до вашого пристрою, вони зможуть побачити також все що відправлялось в чатах.

Якщо ви адміністратор групового чату (групи) у месенджері:

1. Пам'ятайте і нагадуйте іншим, що обговорення службової діяльності у месенджерах (у тому числі, Signal) заборонено.
2. Вимкніть можливість автоматично доєднуватись до групи за посиланням та увімкніть примусове ручне схвалення нових учасників групи (зайві гості Вам не потрібні).
3. Оперативно прибирайте з чатів користувачів, котрим доступ більше не потрібен (покинув лави, змінив підрозділ, зниклий безвісти). Не залишайте в чатах де обговорюється чутлива інформація людей які до чого не мають відношення, навіть якщо це Ваші друзі.
4. Регулярно перевіряйте та актуалізуйте перелік учасників групи.
5. Оберіть і призначте додаткового адміністратора чату\групи довіреній особі.