Рекомендации по безопасной работе в интернете

Рекомендации по безопасности в интернете

Ниже приводятся рекомендации по защите персональных данных и минимизации последствий различных атак.

1. Двухфакторная авторизация (2FA).
   Используйте двухфакторную авторизацию не на основе SMS, т.к. злоумышленник может перехватить смс-ы (через восстановление сим-карты по подложным документам). Для этого установите на телефон такое приложение как Google Authenticator или Authy. Можно пойти еще дальше и повысить безопасность, используя в качестве второго фактора аппаратный ключ безопасности, например YubiKey. Его сложно подделать. Для выполнения атаки злоумышленнику придется получить физический доступ к ключу.
   
   
2. Google Voice 2FA.
   В некоторых случаях онлайновые сервисы поддерживает только слабый второй фактор на основе SMS. В этих случаях создайте номер телефона Google Voice (который нельзя перенести на SIM-карту) и используйте его.
   
   
3. Сократите свое присутствие в Интернете.
   Уменьшите потребность в бесполезном обмене личной информацией (дата рождения, местоположение, фотографии с геолокационными данными, встроенными в них и т.д.) Все эти практически общедоступные данные могут быть использованы против вас в случае атаки.
   
   
4. Создайте дополнительный адрес электронной почты.
   Вместо того, чтобы связывать все с одним адресом электронной почты, создайте дополнительный адрес для своих критически важных сетевых идентификаторов (банковских счетов, учетных записей социальных сетей, криптообменников и т.д.). Не используйте этот адрес электронной почты для чего-либо еще и держите его в секрете. Защитите этот адрес с помощью аппаратного ключа 2FA.
   
   
5. Автономный менеджер паролей. Используйте менеджер паролей для хранения ваших паролей, а еще лучше -- автономный менеджер паролей, например KeePass.
   
   
6. Для синхронизации файлов между устройствами используйте программы на основе криптографии и peer-to-peer (P2P) протокола, например SyncThing.
   
   
7. Браузерные расширения.
   Браузерные расширения могут перехватывать конфиденциальную информацию и выполнять нежелаемые действия от вашего имени как то: ставить дизлайки, снимать лайки и прочее, поэтому необходимо удалить все расширения, в надежности которых вы не уверены и почистить систему.
   
   
8. При использовании Git / Github настройте цифровую подпись при фиксации коммита в локальный репозиторий.   

Pros and cons of different request authorisation methods

In this diagram I recap pros and cons of different request authorisation methods

Diagram 1

https://coggle.it/diagram/XYjL2hz2iucAFw24/t/request-authentication-methods


Request authentication methods

COOKIE

• Requires CSRF for POSTs (hidden field or cookie)

OAuth Token - cons

• Redirects are not supported as
• Token is held in memory
• Problem with previous auth session in hydra. Logging out requires IDToken
• Problem with having a planned session expiry, say it, expire within 1h of inactivity, we dont control OAuth token expiration
• Security policy enforcement is hard to impl.
• IP-address tracking based
• Logout some / all  sessions

JWT

• Any desired custom attribute can be added to token
• We can control expiration as needed
• We can "remember" previous sessions and let user to choose
• User can selectively log out any session / on any device

Remarks

• Login form needs to be protected by CSRF in any way
• For REST apps CSRF can be generated once -- on logging in