Рекомендации написаны для пользователей компьютеров Mac с операционной системой OS X 10.7 и выше, а также для пользователей мобильных устройств iPhone/iPad/iPod touch с системой iOS 5.0 и выше. Написаны они для ситуаций, когда происходит потеря или изъятие техники, а вы не хотите, чтобы информация с этих устройств попала в неизвестные руки. Также в этом списке содержатся рекомендации общего характера, относящиеся к базовым правилам сохранения неприкосновенности вашей личной информации, в случае если вы можете подвергаться хакерской атаке.
Разумеется, даже если вы будете неукоснительно применять все эти советы на практике, это не гарантирует на 100%, что с вашей информацией ничего не случится, но в целом уровень сложности несанционированного доступа к вашим устройствам и аккаунтам это должно повысить. Что-то из нижеперечисленного может оказаться достаточно очевидным на ваш взгляд, но не перечислить это все равно было нельзя. Также хочу отметить, что для большинства вещей, описанных ниже, я не стал писать пошаговых инструкций. Мне кажется, если вас будет настолько беспокоить безопасность ваших данных, вы сможете сами разобраться что к чему.
Данные на компьютере
-
Общие рекомендации
- Пароль на доступ к учетной записи должен быть сложным, содержащий в себе буквы, цифры и специальные символы
- Желательно минимизировать количество других пользователей на компьютере, а их пароли тоже должны быть сложными (безопасными)
- Возможность “гостевого” входа тоже должна быть отключена.
-
Настройки безопасности компьютера
- обязательный вход по логину-паролю, отключение автоматического логина
- запрос пароля по выходу из сна и скринсейвера
- минимальное время для активации скринсейвера
- настройка “горячих углов” для активации скринсейвера
- Log out после определенного времени неактивности
- активация Firewall в системе
- активация Stealth Mode (паранойя, а что делать?)
- Отключение любых опций Sharing в Настройках
-
FileVault
- обязательная активация FileVault на диске с системой и БЕЗ возможности восстановления через MobileMe аккаунт
-
Хранение файлов
- Лучше всего для рабочих файлов создать зашифрованный образ диска, защищенный паролем с помощью Disk Utility и хранить все важные рабочие файлы на нем
- Альтернативный вариант — использование TrueCrypt с той же целью.
- Все внешние хранители данных (жесткие диски, USB Flash-карты), которые будут использоваться для хранения данных и обмена файлами между компьютерами Macintosh, должны обязательно быть Encrypted — в этом случае они будут запрашивать пароль при монтировании на рабочем столе Мака.
- Удаление всех данных на компьютере должно происходить с использованием опции Secure Empty Trash.
- Форматирование дисков и карт памяти должно происходить обязательно с использованием Secure Erase в Disk Utility
Этот образ диска необходимо хранить в облачных сервисах (например, DropBox или на другом хостинг-провайдере), и монтировать его каждый раз при начале работы с компьютером, вводя соответствующий пароль
Она умеет создавать образы из двух частей, с двумя паролями — при вводе одного отображается одна часть, с единорогами и бабочками на ней, при вводе другого — другая, с важной информацией. Таким образом можно добросовестно выдать один пароль, но не выдавать другой. Математическая модель построена таким образом, что невозможно установить, есть ли в конкретном образе диска вторая “секретная” часть, или нет.
-
iCloud
- Есть возможность посмотреть местонахождение устройства на сайте icloud.com
- Есть возможность удаленно “залочить” устройство запароленным доступом
- Есть возможность удаленно очистить устройство от всех данных
- Кроме того, при включении опции Email me when this device is found” на сайте iCloud, будет приходить информация о включениях устройства, когда оно было утеряно/изъято.
На всех устройствах (Mac, iPhone, iPad) обязательно должна быть настроена учетная запись iCloud (пароль на учетную запись должен быть сложным) и активирована опция Find My iPhone. В этом случае обеспечиваются несколько вещей (при условии, что устройство включено):
-
Безопасность мобильных устройств (iPhone/iPad)
- Пароль на доступ в телефон должен быть обязательно установлен “сложный”, не 4-значный цифровой, а произвольный. Это обеспечит защиту от доступа и копирования данных с телефона при получении к нему физического доступа.
- Время активации блокировки экрана с паролем — минимальное, 1 минута или даже “немедленно”.
- Отключение работы Siri при залоченном экране
- Обязательно должна быть включена опция удаления данных после 10 неправильных попыток ввода пароля.
- На телефоне обязательно должна быть настроена учетная запись iCloud (см выше про iCloud)
- Должен быть отключен Bluetooth
- Избегать подключения к открытым WiFi-сетям (без паролей)
- Не синхронизировать устройства с iTunes через WiFi
- Регулярно обновлять ПО мобильных устройств обновлениями производителя
- По возможности использовать для переписки между устройствами (iPhone/iPad/Mac) iMessage, которые шифруются.
- При создании локальной резервной копии данных телефона через iTunes эта копия должна обязательно шифроваться, а пароль должен быть сложным.
В случае, когда при этом и пароль сложный, очень хочется махнуть на это все рукой, но не стоит.
-
Онлайн-аккаунты
- В 1Password устанавливается 1 мастер-пароль, который должен быть сложным и безопасным
- 1Password интегрируется со всеми браузерами, в том числе с Safari, Chrome и Firefox
- База данных логинов и паролей в этом случае переносится между браузерами
- При регистрации новых аккаунтов 1Password обеспечивает генерацию случайных сложных паролей, которые потом сам в себя и сохраняет
- Таким образом, пользователь даже не знает пароль (поэтому его невозможно забыть), и для входа в тот или иной сайт использует сохраненные в 1Password пароли
- Бэкап базы 1Password можно автоматически сохранять в облачный сервис типа Dropbox.
- Никогда не использовать одинаковые пароли для разных сервисов. Минимум — общий пароль-база с изменяемыми параметрами, если это абсолютно необходимо (например, база “A1ex3y-”, далее домен сайта в обратном порядке – A1ex3y-Xednay для yandex.ru, A1ex3y-Xobpord для dropbox.com и т.п.).
Для различных сервисов в интернете крайне рекомендуется к использованию приложение 1Password. Оно обеспечивает не только безопасное хранение паролей, но и генерацию паролей. Алгоритм следующий:
-
Использование Keychain на Mac
- Сохранение логинов и паролей в браузере Safari должно быть отключено
- При использовании шифрованных образов дисков и других подключений на уровне OS X возникает соблазн сохранить пароль в Keychain, чтобы избежать последующих вводов паролей. Сохранять пароли в Keychain не стоит.
-
Использование почтового сервиса Gmail
- обязательно включить двухэтапную авторизацию на сайте Gmail, при которой на телефон будет приходить SMS-сообщение при логине
- Периодически проверять, не установлена ли пересылка всей корреспонденции на какой-то неожиданный адрес
- В идеале — периодически менять секретный вопрос-ответ.
это даст возможность вовремя выявить несанкционированный доступ и отключить остальные сессии к почтовому сервису.
-
Сохранение данных на мобильных устройствах
- При запросе браузера Mobile Safari на iPhone/iPad на сохранение логина-пароля — отказываться, данные не сохранять
- Существует версия 1Password для iPhone/iPad, которая обладает встроенным браузером, что вызывает определенный дискомфорт, когда это не Safari, зато безопасные пароли удобно применять
- В этой ситуации можно настроить синхронизацию файла паролей 1Password между всеми устройствами и для входа в области с логином-паролем использовать 1Password.
-
Передача данных по сети
- Обязательно использование HTTPS
- При настройке почтового клиента в приложении Mail обязательно использование подключения SSL
-
Настройка домашней сети
- Обязательная защита паролем беспроводной сети с системой WPA2
- Настроить доступ в сеть только разрешенным устройствам (фильтрация по MAC-address)
Антивирус
Это практически религиозный вопрос для многих Мак-пользователей — надо ли устанавливать антивирусное ПО на OS X, ведь Джобс столько лет твердил, что Маки безопасны и антивирус им не нужен. Я считаю, что для продвинутых пользователей Маков, которые при этом не бродят по порно-сайтам или торрент-трекерам, антивирус на самом деле не особо нужен, они способны следить за чистотой своих компьютеров и сами. Но при этом нужно понимать, что есть риск заражения даже без дополнительных действий со стороны пользователя, как показала недавняя история с трояном Flashback. Поэтому лучше подобрать себе подходящий пакет антивируса и установить его, дабы чувствовать себя в большей безопасности.
Кроме этого, после выхода OS X 10.8 пользователям пригодится опция, которая обеспечит возможность запрета установки-запуска приложений, которые попали на Мак не из App Store или же не были подписаны сертификатом разработчика. Это также должно помочь предотвратить установку ПО, пытающегося попасть на ваш Мак в обход пользователя.
В общем, это то, что пришло в голову за последние пару дней. Что-то упустил? Добавляйте в комментариях.