Главная > Аналитика > Безопасность сервисов для хранения конфиденциальной информации
Быстрый переход
в категорию
27.12.2019
Безопасность сервисов для хранения конфиденциальной информации

В этой статье мы обсудим сервисы, которые позволяют автоматизировать рутинные задачи. Например, авторизация в сервисах или управление множеством учетных записей. Конфиденциальность информации, которая хранится в таких приложениях, мотивирует киберпреступников на поиск уязвимостей, которые позволяют получить доступ к учетным данным.

Управление финансами

Мониторинг финансовых активностей является весьма непростым процессом, особенно на постоянной основе, поэтому некоторые компании, как, например, Intuit, предлагают сервисы по управлению финансами.

Такие сервисы позволяют удобно систематизировать информацию о финансовых операциях. Их основные преимущества:

  • создание бюджетов и планирование расходов;
  • отображение счетов и оставшихся средств в наглядной форме;
  • отправка уведомлений в случае появления подозрительных операций.

Один из наиболее популярных сервисов для ведения бюджета– Mint. Он прост в установке, бесплатен и позволяет вводить информацию о банковских счетах, платежной системы PayPal и банковских картах. Также есть возможность отслеживать счета, займы и инвестиции.

Менеджеры паролей

Популярные менеджеры паролей: Dashlane, 1Password7, KeePass, Avast Passwords и LastPass. Это сервисы, которые упрощают управление учетными записями посредством хранения и извлечения из зашифрованный базы данных. Представьте, сколько можно сэкономить времени, если для каждого аккаунта используется уникальный пароль и восьми и более символов.

Подавляющее большинство таких сервисов не хранят учетные записи и финансовую информацию в одном месте, а используют шифрование, что позволяет снизить вероятность утечки информации в случае кибратаки.

Как выбрать приложение для ведения бюджета?

Существует несколько методов, используемых в приложениях для ведения бюджета, которым можно доверять. Так, например сервис Mint шифрует трафик 128-битным шифрованием с помощью проверенных ресурсов (например, VeriSign и TRUSTe). На серверах также используется 256-битное шифрование для обеспечения безопасности файлов. Также для повышения безопасности в приложении есть двухфакторная аутентификация, сканер отпечатков пальцев (Touch ID) и пароли. Однако, невозможно на 100% гарантировать безопасность. Наиболее оптимальный способ обеспечить безопасность – так называемая «кибергигиена».

Если вы хотите использовать приложения для ведения бюджета, придется искать компромисс между безопасностью и удобством использования. Зачастую сотрудники банков отговаривают клиентов от использования подобного рода сервисов, что не безосновательно. Постоянно появляющиеся новые угрозы могут опережать существующие методы защиты.

Почему происходит утечка данных?

Мы выделили 3 основные причины.

  1. Сторонние сервисы (например, 1Password) сталкиваются с трудностями, когда речь заходит о хранении информации в памяти. Киберпреступники могут создать утилиту для выгрузки паролей из памяти, используя эти уязвимости.
  2. В некоторых менеджерах паролей (например, опять же, в 1Password 7) возникают проблемы при удалении из памяти мастер-пароля, секретного ключа или пароля к базе данных, когда приложение находится в заблокированном состоянии. На самом деле, когда база данных разблокирована, 1Password 7 кэширует всю базу паролей в памяти. Такое решение весьма сомнительно, поскольку, как и в предыдущем случае, хакеры могут создать утилиту для выгрузки нужных участков памяти, используя которые можно получить контроль над учетной записью.
  3. Шифрование файлов базы данных определяет, сможет ли преступник получить доступ к информации об учетных записях после похищения этих файлов. Очень важна корректная реализация механизма шифрования.

Разработчики предпринимают активные меры по защиты мастер-паролей и секретов, однако, сейчас момент большая часть менеджеров недостаточно ответственно относится к удалению паролей из памяти. Таким образом, у преступников появляется больше шансов создать утилиту для доступа к конфиденциальной информации.

Как убедиться в безопасности учетных данных?

  • Обеспечьте установку последних обновлений операционных систем.
  • Двухфакторная аутентификация на устройствах и в учетных записях позволит защититься от неправомерного доступа и сократит вероятность взлома аккаунта.
  • Регулярное обновление антивирусного ПО поможет детектировать вредоносов, пытающихся воспользоваться неисправленными уязвимостями. Целью подобных атак может быть выгрузка части оперативной памяти с конфиденциальными данными или точками входа в операционную систему, через которые можно получить удаленный доступ.
  • Большинство атак так или иначе основаны на социальной инженерии. Часто встречающийся сценарий – рассылка вредоносных файлов, замаскированных под другую информацию с расчетом, что жертва кликнет на заинтересовавшую ссылку. В этом поможет только ваша внимательность и осведомленность. Никогда не открывайте неизвестные и сомнительные вложения и ссылки.
  • Убедитесь, что в выбранном приложении реализованы надлежащие меры безопасности, а разработчики активно поддерживают свой продукт и регулярно выпускаются обновления.

Как выбрать менеджер паролей?

  • В безопасном менеджере паролей должна поддерживаться многофакторная аутентификация.
  • Так как возможны атаки на менеджер паролей, следует убедиться, что в выбранном сервисе поддерживается должный уровень безопасности при генерации, хранении и извлечении паролей.
  • Некоторые сервисы, например Avast Passwords, автоматически генерируют новые паролей в случае их компрометирования. На сайте разработчика этого сервиса можно указать электронную почту и узнать, были ли утечки паролей.
  • Менеджер паролей должен быть интегрирован с плагинами браузера и расширениями для автоматического заполнения форм с доступом на различных ОС, а также поддерживать автоматическую синхронизацию на разных ОС.

В идеале стоит избегать использования сторонних приложений для управления учетными данными и в то же время придерживаться кибергигиены, поскольку от человеческого фактора нельзя защититься никакими патчами.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.