Позвольте начать с того, что идеальной безопасности не существует. Уже нет. Раньше, примерно между 1780 и 1850 гг, был единственный период истории человечества, когда мы имели ту безопасность, что можно назвать идеальной. Она закончилась в 1851, когда Альфред Хоббс вскрыл «невскрываемый» замок.

Но не будем говорить здесь о вскрытии замков.

От кого вы защищаетесь?

Безопасность не существует просто в вакууме. Пока вы не знаете, от кого вы защищаетесь, вы не сможете принять подходящие контрмеры. Хорошим примером будет способ блокировки вашего iPad. Когда вы его выбираете, вы можете выбрать либо пароль, либо отпечаток пальца. Ваше решение зависит от того, собираетесь ли вы защитить устройство от трёхбуквенного правительственного ведомства, или от сидящего сзади вас соседа по автобусу, подсматривающего ваш пароль, пока вы печатаете.

Я лично считаю, что биометрические замки вроде сканера отпечатков — плохой подход к безопасности, но, скорее всего, у вашего попутчика не найдётся копии вашего пальца, и он не станет принуждать вас разблокировать что-либо. Таким образом, отпечаток хорошо подойдёт для защиты от попутчиков. С другой стороны, если вы хотите защититься от трёхбуквенного правительственного ведомства, или от органов правопорядка в целом, вам стоит использовать пароль. Существует судебный прецедент (прим. — в США; в РФ свои особенности), согласно которому, государство может принудить вас к разблокировке устройства, защищенного биометрическим способом типа отпечатка, при этом 5-я поправка (прим. — аналог 51 ст. Конституции РФ) позволяет вам не раскрывать свой пароль.

Суть в том, чтобы остановиться и подумать, для чего вам защита. К вам кто-то активно присматривается? Ваше место проживания или установленный режим подвергает вас риску случайных атак вроде карманной кражи или вырывания сумки в автобусе? Вы живете до скуки спокойной и безопасной жизнью в регионе с почти нулевой преступностью? Может быть, ваши потенциальные угрозы — пассивные, вроде утечки учетной записи в одной из сотен организаций, которая плохо хранила ваши данные?

Теперь, обретя нужную точку обзора на эти вещи, давайте посмотрим на мой практический опыт защиты цифровой жизни.

Персональная модель угроз

Для создания моей личной модель угроз, я принял во внимание следующие вещи:

  • Я владею личными криптовалютными активами;
  • Я поддерживаю несколько проектов открытого ПО, которое другие люди используют для взаимодействия с крипто-активами. То есть, я не только защищаю свои активы, но и ответственен за активы тех, кто использует моё ПО и доверяет ему;
  • Я являюсь достаточно публичным человеком, чтобы оказаться под прицелом;
  • Я предпочитаю принимать эффективные меры для предотвращения пассивных угроз (как было со взломом базы клиентов американского ритейлера Target).

Учитывая всё это, я установил для себя следующие принципы.

Пароли

  • Всегда используйте менеджер паролей для всего. Я использую 1Password, но есть много других вариантов, как платных, так и бесплатных (открытых);
  • Я не знаю своего мастер-пароля. Вместо этого, я запомнил его половину. Вторую половину мне предоставляет YubiKey4 (прим. — USB-ключ для двухфакторной аутентификации). За схему с паролем следует благодарить вот этот пост;
  • Никогда не пишите настоящие ответы к вопросам для восстановления пароля. Такую информацию практически всегда можно найти в открытом доступе. Вместо этого, используйте случайно сгенерированный ответ, хранящийся в менеджере пароля (не забудь сохранить и сам вопрос);
  • Никогда не пользуйтесь сервисами, которые требуют ввести учетные данные от другого сервиса. Если сайт спрашивает ваш логин и пароль к другому сайту, скорее всего, это плохая идея.

Двухфакторная аутентификация

  • Включите двухфакторную аутентификацию там, где её можно включить;
  • Избегайте использования СМС в двухфакторной аутентификации, особенно для чего-либо важного. Используйте что-то вроде Google Authenticator или Authy.

Безопасность криптовалютных активов

  • Пользуйтесь аппаратным кошельком. Я рекомендую и сам использую Ledger Nano S;
  • Распределяйте свои средства между холодным и горячим хранилищами. В холодном хранилище вы храните основную массу ваших средств. Горячее хранилище вы разблокируете регулярно, когда создаёте транзакции. Холодное хранилище вы должны открывать очень редко;
  • Не храните свои средства в обменнике. Coinbase может быть единственным приемлемым исключением, но вам следует знать, что вы подвергаете себя риску пренебрежения безопасностью со стороны обменника, либо произвольного ареста или заморозки ваших активов;
  • Обходитесь с любыми средствами и токенами, что не защищены мультиподписью или железным кошельком, как вы обходились бы с наличными деньгами в бумажнике. Большинство людей не рискуют таскать с собой 10 тыс. долларов в своих кошельках;
  • Используйте отдельные аккаунты для всего. Используйте другую учетную запись для каждого типа токенов, которые есть у вас во владении;
  • Убедитесь, что у вас есть бэкапы каждого из ваших приватных ключей. Ваш менеджер паролей хорошо подходит для этого;
  • Всегда отсылайте тестовую транзакцию перед отправлением крупной. Даже если вы «правда уверены»;
  • Никогда-никогда-никогда-никогда не вбивайте адрес вручную;
  • Если вы один из многих людей, кто не относится к техническим специалистам, и не уверены в безопасности того, что вы делаете, спросите кого-то, кто знает больше, чем вы.

Мобильная безопасность

Мобильная безопасность сложна. Если бы Black Phone от Silent Circle был совместим с моим оператором связи, я бы им пользовался. А т.к. я пока не готов принять издержки рутования моего смартфона и гарантирования полного владения им, я предпочитаю относиться к нему как к в значительной степени не доверенному устройству. Вдобавок, я использую Google Voice, и это не позволяет мне переключиться на iPhone.

  • iPhone в настоящий момент, вероятно, лучше защищён, чем Android;
  • Если вы пользуетесь Android, допускайте, что ваш оператор имеет полный доступ к вашему устройству;
  • Не загружайте ни контейнер, ни связки ключей вашего менеджера паролей на смартфоне;
  • Оставайтесь авторизованными в минимальном наборе аккаунтов.

Браузерная безопасность

  • Установите блокировщик рекламы. Я рекомендую ublock-origin;
  • Установите privacy badger;
  • Установите HTTPS Everywhere;
  • Chrome и Firefox, скорее всего, в схожи с точки зрения безопасности. Я предпочитаю Firefox;
  • Не стесняйтесь сидеть в режиме «инкогнито»;
  • Не позволяйте вашему браузеру хранить пароли. Я не вполне уверен, как с этим вопросом дело обстоит сейчас, но исторически, это было небезопасно (и вы уже используете менеджер паролей).

Сетевая безопасность

  • Используйте VPN. Куда легче доверять одному провайдеру VPN, чем каждому кафе и открытой точке доступа, к которым вы подключаетесь;
  • Проверьте, в какой юрисдикции находится ваш провайдер VPN. Избегайте провайдеров, расположенных в Соединённых Штатах (прим. — и вообще, тех стран, где вы сами находитесь). Я использую и рекомендую IPredator;
  • Для дополнительной защиты, настройте ваш домашний роутер так, чтобы он отправлял весь ваш трафик через VPN. Flashrouters — удобный вариант роутера «для ленивых», продающийся с предустановленной свободной ОС DD-WRT и настройкой под вашего VPN провайдера.

Физическая безопасность

  • Никогда не подключайте к вашему компьютеру устройство, которым вы не владеете, вроде USB-ключа или чужого телефона для зарядки;
  • Приобретите USB-презерватив для зарядки устройств.

Общие положения

  • Будьте параноидальны, особенно если речь идёт о значительных финансовых потерях;
  • Никогда за авторизуйтесь в чём-либо важном не на своём устройстве. Не используйте общественные компьютеры или ноутбук вашего друга для проверки почты;
  • Facebook Messenger пугает. Он запрашивает разрешения, которые не нужны ни одному приложению для чата. Он был замечен за включением микрофона при набирании текста. Рассмотрите возможность отказа от Facebook, просто потому что он ужасный и пагубный;
  • Не делитесь паролями ни с близкими, ни с кем-либо в принципе. Моя жена расстраивалась долгое время, что я не хотел давать ей никакие пароли. Прошло немало времени, прежде чем она поняла, что это не я скрывал что-то, а её понимание цифровой безопасности было слишком слабым, и с моим паролем она бы подвергла меня риску случайной утечки. Если вы не можете не делить логины, используйте отдельный контейнер в своём менеджере паролей;
  • Люди, скорее всего, всегда будут вашим слабым звеном. Помните, что социальная инженерия часто тривиальна, а ваша телефонная компания — слабое звено вашей безопасности. Одноразовые телефоны не слишком дороги.

В заключение

Выбор между безопасностью и удобством пользования зачастую заключается в компромиссе. Если вы хотите соблюдать высокий уровень безопасности, вы также можете ожидать более высоких издержек при повседневном взаимодействии с компьютером, равно как вам придётся мириться с некоторыми неудобствами. Отказ вставлять флэшку в ноутбук для передачи презентации может быть неудобен, но будет ли это действие стоить того, что все ваши крипто-аккаунты внезапно опустеют?