Sim Swap. Способы защиты от угона sim карт. Часть 2
Life-Hack [Жизнь-Взлом]/ХакингЯндекс.
В Яндекс-аккаунте нет возможности включить двухфакторную аутентификацию без привязки номера. Поэтому мы будем использовать «секретный номер» и включать дополнительные факторы в других местах.
- Войдите в ваш аккаунт на Яндексе и пролистайте до пункта «Пароли и авторизация».
- Пароль: проверьте свой пароль на надежность и уникальность (см. выше)
- Контрольный вопрос: выберите наиболее сложный и неочевидный потенциальному злоумышленнику ответ. Используйте нестандартные способы записи ответа и мнемонические техники запоминания.
- Включить пароли приложений: отдельные приложения могут подключаться к вашему аккаунту Яндекс. Отключите эту функцию, если ею не пользуетесь.
Настройте двухфакторную аутентификацию: используйте «секретный номер»
Вернитесь к пункту "История входов и устройства". Выберите «Выход на всех устройствах».
Перейдите к пункту «Почтовые ящики и номера телефонов». Уберите адреса для восстановления.
Перейдите в настройки Яндекс Деньги ко вкладке «пароль».
Здесь мы пройдемся по всем трем кнопкам.
Выпустить аварийные коды: перепишите и сохраните аварийные коды, так же, как сделали это для Google-аккаунта.
Перейти на пароли в приложении: выберите пункт «приложение с паролями» и проведите синхронизацию с одним из приложений.
Нажмите «Всегда спрашивать пароль».
Теперь теми же способами защитите ВСЕ сервисы, которые могут использовать СМС-аутентификацию.
По возможности замените ее или привяжите к «секретному номеру» и добавьте вход по отпечатку пальца.
Вот чек-лист сервисов в порядке приоритета:
Личные:
- Банковские и платежные сервисы.
- Государственные сервисы: Госуслуги, ФНС и т. д.
- Менеджеры паролей: LastPass, 1Password и т. д.
- Облачные хранилища: iCloud, Dropbox, OneDrive и т. д.
- Электронная почта: Mail.ru и т. д.
- Социальные сети: Vk, Facebook, Twitter, Instagram, LinkedIn, Medium и т. д.
- Мессенджеры: iMessage, Skype, Slack, Facebook Messenger и т. д.
- Фотохостинги: iCloud, Google Photos и т. д.
- Заметки: Evernote, Scribd и т. д.
- Форумы: Reddit, Stackoverflow и т. д.
- Интернет-магазины и коммерческие сервисы и т. д.
Не забудьте про корпоративную информацию:
- Репозитории исходного кода: Github, Bitbucket, Gitlab и т. д.
- Хостинги и платформы для сайтов: Parking, Wordpress, AWS, Microsoft Azure, Digital Ocean и т. д.
- Таск-трекеры, CRM и другие платформы для работы: Jira, Mailchimp, Trello и т. д.
Telegram.
Аккаунт мессенджера привязан к номеру телефона, поэтому, помимо двухфакторной аутентификации, настроим дополнительную защиту.
- Установите пароль и вход по отпечатку пальца: зайдите в Настройки безопасности и выберите passcode & touch id.
Скройте номер телефона: в настройках безопасности найдите Privacy и для номера телефона задайте «nobody». Здесь же запретите звонки. Добавляйте исключения только для людей, которым доверяете.
Включите двухфакторную аутентификацию по паролю. Не используйте основную почту для восстановления.
Зайдите в Devices и закройте все активные сессии, которые кажутся подозрительными.
Все эти меры полностью не защитят от угона SIM-карт, но не позволят отдать мошенникам в руки джекпот. Если пользователи ведут удаленную работу с использованием личных девайсов и общедоступных веб-сервисов, это обезопасит и личные данные, и данные коллег.