Привет всем. В связи с участившимися в последнее время случаями "угона" различных конфиденциальных данных, а также ввиду возросшего всеобщего интереса к вoпрoсaм сетевой безопасности, я бы сегодня хотел поговорить с вами о базовых (и некоторых продвинутых) мерах предосторожности, которые позволят вам сохранить ваш банкролл в целости, а сон - в спокойствии. Примером, как и всегда, послужит PokerStars, где я, собственно, и играю.

Итак, начнём с основ:

Пароль

Здесь всё достаточно просто, однако большинство людей (в том числе, и многие даже продвинутые покеристы), к сожалению для них самих (и к счастью для злоумышленников) пренебрегают этой базовой мерой предосторожности, совершая одну из следующих ошибок:

  • Слишком простой пароль. Как правило, это пароль состоящий из небольшого количества символов, который обычно представляет собой какое-нибудь двусложное английское слово без каких-либо дополнительных цифр и уж тем более специальных символов (например, laptop) Такие пароли довольно легко подбираются банальным автоматическим перебором по словарю (так называемый "брут-форс", от английского "brute force" - грубая сила). За ярким примером далеко ходить не надо - достаточно вспомнить случай с Негреану. Хотя там, вероятно, и не совсем в пароле дело было, но тем не менее - повод задуматься есть (если даже таких хайроллеров "ломают").
  • Слишком сложный пароль. Как ни странно, это тоже может стать причиной угона аккаунтов, т.к. слишком сложные пароли довольно трудно хранить в голове, и как тогда обычно поступает человек в такой ситуации? Правильно, он где-нибудь его записывает. Лично я придерживаюсь мнения, что если что-то где-то записано, то обязательно потом всплывёт, причём в самый неподходящий для вас момент. Закон Мёрфи, чего вы хотели.
  • Ну и самая главная и опасная ошибка - это одинаковый пароль на несколько ключевых аккаунтов. То есть, например связка: электропочта - старзы - манибукерс и везде один и тот же сверхмегахитровыдуманный, но одинаковый пароль. В таких случаях у меня обычно реакция описывается словом facepalm.

Так чего же делать, спросите вы? На самом деле выход проще, чем кажется. Точнее, их даже несколько. Согласно проведённому недавно аудиту сложности и оценки паролей различными системами хранения персональных данных (в том числе, социальных сетей) одним умельцем-энтузиастом из небезызвестной команды сервиса Dropbox, по-настоящему хороший пароль совсем не означает очень сложнозапоминаемый. Данную концепцию хорошо иллюстрирует следующее изображение:

Для тех, кто не понял - пароль из чертырёх английских слов, которые уложатся в вашей голове контекстом какой-нибудь ситуации по ассоциациям, машина будет подбирать 550 лет, а якобы хитрый пароль, представляющий собой слово с заменой некоторых букв стандартными числами "литспика" - примерно три дня. Вот и подумайте теперь, как лучше составить свой пуленепробиваемый пароль ;)

В заключение раздела про пароли вкратце пробегусь по основным рекомендациям с учётом всего вышенаписанного:

  • Самое главное - придумайте разные пароли для разных сервисов, особенно если они каким-то образом связаны между собой. Чтобы не приходилось держать в голове туеву хучу паролей, но при этом и не записывать их, можно пойти на небольшой компромисс и создать себе некий шаблон пароля, по которому вы будете составлять пароли для различных сервисов. Например, какое-то-слово_название-сервиса_какое-то_слово. То есть, в случае с Pokeroff, например, вашим паролем может стать что-то вроде passwordhorsepokeroffright. Хотя, конечно, всё-таки очень рекомендуется включать в пароль символы различного регистра, а также цифры. Преобразуем: Passw0rdh0rs3p0k3r0ffr1ght. Выглядит сложнее, но если запомнить именно принцип, по которому вы будете составлять ваши пароли - держать их в голове не составит труда. Да, я уже слышу голоса некоторых из вас, которые пытаются мне сказать что-то про существование специализированного софта типа KeePass (довольно неплохого, стоит признать), но как я уже писал выше, паранойя - наше всё. Если вы не согласны - вольны поступать так, как вам кажется правильным, но не говорите только потом, что я вас не предупреждал ;)
  • Повторюсь - пароль должен быть достаточно длинным, чтобы даже при неудачном выборе его перебор занял слишком долгое количество времени и его взлом в результате стал просто нецелесообразным. Добавьте туда немного спецсимволов - и получите на выходе почти бронебойный пароль.

По паролям, в общем-то, вроде бы и всё. Едем дальше.

Пин-код

Эта фича, как выяснилось, присутствует в клиенте старзов уже довольно давно, но я узнал о ней, к своему стыду, совсем недавно (спасибо моему хорошему другу, который и показал). В чём фишка? А в том, что помимо ввода пароля вам при логине в клиент каждый раз придётся набирать ещё дополнительно и свой персональный циферный пин-код, который для вас любезно сгенерирует всё тот же самый ГСЧ старзов :)

Более того, для предотвращения перехвата различными программами-клавиатурными шпионами ввода пин-кода с клавиатуры - этот самый ввод с клавиатуры запрещён. То есть, ввести данный пин-код можно только непосредственно "тыркнув" курсором мыши по нарисованным кнопкам с цифрами в специальном окошке PokerStars. Как видите, паранойя во все поля, но мы ведь этого и добиваемся, верно? ;) Но запустить всё это дело получится не сразу. Для этого нужно предпринять несколько простых шагов:

  1. Пройти в Account - > Login Security Settings.
  2. Поставить галку Enable PokerStars PIN.
  3. Добавить (если ещё не добавлен) и подтвердить по SMS свой реальный номер мобильного телефона. Тут налицо уже ставшая стандартом де-факто двухфакторная аутентификация, внедрённая в широкий продакшн ещё в лохматом году Корпорацией Добра.
  4. После этого вам на мобилу (и на почту) придёт шестизначный циферный PIN-код от старзов, который и нужно будет ручками (точнее, мышкой) вводить в клиент при логине, после ввода пароля. Геморрой? Возможно. Безопаснее? Гораздо. Ведь согласитесь - получить доступ к вашей мобиле значительно сложнее, чем через банальный взлом вашего почтового ящика заполучить контроль над вашим аккаунтом. Пока не забыл - почту лучше использовать на серверах GMail. Не спрашивайте почему, просто примите как данность ;) Так-то, конечно, лучше вообще свой сервер за бугром держать и уже там собственный почтовик поднять, но об этом как-нибудь в другой раз.

В общем-то, на этом данный способ себя исчерпывает. Единственное, что мне показалось забавным - так это то, что когда вводишь мышкой цифры размером в полэкрана - в поле для ввода они всё равно отображаются звёздочками. А ВДРУГ КТО ИЗ-ЗА СПИНЫ ПОДСМОТРИТ, ДА? В остальном - неплохой способ выкопать дополнительный ров перед своей крепостью на пути потенциальному злоумышленнику.

Перейдёмте же теперь к наиболее продвинутому способу защиты себя любимого из арсенала всё тех же старзов. Итак, встречайте:

RSA-токен

Что за неведомая зверушка? Эта штукенция, помимо всего прочего, не позволит получить злоумышленнику доступ к вашему аккаунту, даже если тот внезапно нагрянет к вам в квартиру с дробовиком наперевес и получит физический доступ к вашему компьютеру, а там у вас по какой-то совершенно нелепой случайности стоит галочка запоминать пароль и в помине нет никаких пин-кодов. В общем, это своеобразный физический носитель, который выступает в роли эдакого уникального ключа к вашей учётной записи на PokerStars, без которого даже зная пин-код и пароль войти не удастся.

Разумеется, стоит помнить и о том, что паяльник в заднице никто не отменял. Как говорится, не бывает стойких людей - бывают никчёмные следователи. Однако токен на крайняк и запульнуть можно куда-нибудь далеко. В качестве дисклеймера скажу, что данную меру безопасности я сам ни разу не юзал, поэтому в подробности вдаваться не буду, однако покажу, что бывает, когда этот "ключик" внезапно потеряешь, на примере знаменитого покер-про Миши inner'а - как-то так, в общем.

Напоследок скажу буквально пару слов о дополнительных мерах безопасности для самых параноидальных читателей.

Виртуальная машина

Тут, в целом, тоже всё довольно просто. С помощью виртуализации своей рабочей покерной станции каким-нибудь VirtualBox'ом вы отправляете на тот свет сразу целое семейство ушастых:

  • Исключаете возможность любого заражения операционной системы, которая находится внутри виртуалки даже в случае заражения основной ОСи. Таким образом, рум, HM и всё, что связано с вашей покерной деятельностью останется в безопасности даже в случае реальной угрозы вашей основной системе. Думаю, что здесь будет нелишним напомнить о том, что из-под виртуалки нужно исключительно играть в покер. Никаких сторонних приложений, торрент-качалок, и прочей мишуры. Зато и антивирус не особо нужен будет (опять же - внутри завиртуализированной системы с покерным софтом и прочим-прочим; на вашей основной системе - наличие антивируса с последними обновлениями даже не обсуждается, если только вы не используете Linux в качестве основной системы, как это делаю я).
  • Получаете удобный файл-образ для переноски, с помощью которого можно в считанные минуты развернуть вашу рабочую станцию на любой машине, которая потянет виртуализацию (даже мой ноут тянет, лол). Мобильненько.
  • Создаёте самому себе в своих же глазах репутацию конченного параноика и благодаря этому ваш сон становится значительно крепче.

Ну и напоследок, процитирую одного очень умного товарища, который сказал, что самый уязвимый элемент абсолютно в любой системе безопасности - это всегда прослойка между монитором компьютера и спинкой стула. Иначе говоря - человек. Помните, что никакие меры предосторожности не уберегут вас и ваши данные (а также дeньги) от вас самих, если вы не станете включать собственную голову при работе с такими материями.

Цените свою безопасность, бережно относитесь к собственным персональным данным и да пребудет с вами Кевин Митник. Спасибо за внимание, на связи был sandr1x. До новых встреч.