Розповідаю про налаштування безпеки Мак на особистому прикладі

1. що захищаємо
2. Безпека Mac
3. Безпека iPhone і iPad
4. Резервне копіювання
5. Захист від зовнішніх загроз
6. В підсумку

начитавшись, як поламали журналіста Wire Мета хона (Mat Honan), а також різних параноїдальних статей про безпеку Mac, я вирішив описати, як особисто я березі свій Maс, iPhone і iPad від зовнішніх ризиків. З моменту виходу першої версії цього матеріалу пройшло вже більше 6 місяців. Деякі речі змінилися, тому я вирішив його оновити та Переопубліковать.

Почну з того, що на моїй техніці немає планів державного перевороту або креслень підводних човнів, тому рекомендації Пацая , На кшталт «пароль на доступ в iPhone повинен бути обов'язково встановлений складний, не 4-значний цифровий, а довільний», я вважаю сильним перегибанием палиці.

Порушення балансу між безпекою та зручністю не викликає нічого, крім роздратування і бажання вимкнути все це до чортової бабусі. Тому при налаштуванні своєї системи я намагався дотримуватися почуття міри.

що захищаємо

Основна інформація, яку мені треба убезпечити, пов'язана з електронними гаманцями, правами доступу до серверів і т.п. Грубо кажучи, тут все зводиться до захисту бази даних 1Password , Де це добро і зберігається. Далі йдуть призначені для користувача дані, на кшталт фотографій, музики та іншої особистої інформації. Якщо ви збирали все це не один рік, то цінність таких даних, особливо фотографій, постійно зростає.

Втратити інформацію на Mac можна як через фізичного втручання (пожежа, крадіжка), так і від атаки ззовні. Тому захист будемо ставити по обидва боки.

Не зайвим буде убезпечити себе від втрати iPhone або iPad, так вони можуть стати причиною серйозної витоку даних. При використанні стандартних налаштувань будь-хто може отримати доступ до вашої пошти або папці Dropbox.

Безпека Mac

Свідомі користувачі більшість цих рекомендацій вже використовують, але все ж таки повторюся на своєму прикладі:

• Встановіть пароль до вашого облікового запису, а Гостьову - вимкніть. Остання дія дає очевидну вигоду - ніхто не зможе скористатися вашим Mac ні за яких умов. Але є і мінуси - при крадіжці його не можна буде відстежити функцією пошуку iCloud.

Відключити гостьовий вхід можна в розділі Системні настройки → Користувачі і групи.

Тут же можна задати пароль адміністратора.

• Пароль потрібно вводити кожен раз після виходу з режиму сну або заставки, а також при кожному включенні. Після певного часу навіть складні паролі ви почнете вводити на автоматі, так що ніяких незручностей це не приносить.

Періодичність запрашіванія пароля налаштовується в Системних налаштуваннях → Безпека.

• Увімкніть FileVault для шифрування даних на диску, і без пароля адміністратора зловмисники будуть розшифровувати ваш диск не один рік.

Включити шифрування FileVault можна у відповідній вкладці розділу Безпека.

• Увімкніть Брандмауер і Невидимий режим. Це створить додатковий бар'єр для атак з мережі.

Обов'язково активуйте Брандмауер.

Невидимий режим включається в Параметрах брандмауер

Все просто, достатньо ефективно і без проблем. Єдине, що вам тепер доведеться робити - вводити пароль при вході в систему. Якщо хочете ще більше надійності, то можна позбавити основний аккаунт прав Адміністратора, але це вже позначиться на зручності.

Безпека iPhone і iPad

Основна проблема при втраті телефону полягає в тому, що знайшов отримує доступ до поштових скриньок і вмісту Dropbox (куди любить бекапіть 1Password). Тому перше що потрібно зробити при налаштуванні iPhone - поставити пароль на його розблокування.

Як я вже згадував, складний варіант паролів для iPhone (фрази) - тільки для параноїків. Я користуюся класичним кодом з чотирьох цифр. При використанні випадкових (!) Комбінацій, ймовірність вгадати код з 10 спроб становить менше 4%. Якщо кому цікаво, то почитайте відмінний переклад на Хабре Чи складно вгадати PIN-код?

Відключити гостьовий вхід можна в розділі Системні настройки → Користувачі і групи
Чим темніше точка, тим частіше люди використовують цей PIN
Якщо резюмувати це дослідження, ми отримаємо наступні рекомендації:

• Уникайте зростаючих послідовностей;
• Уникайте будь-яких дат на кшталт ДДММ, ДДММ, ММГГ і т.п. (2311, 1123 1984, 0683 ...);
• Уникайте клавіатурних патернів (1245, 2580, 3698 ...);
• Уникайте цифрових патернів (8585, 6969, 4567 ...);
• І ніколи не використовуйте один з цих кодів:

0000 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-1103, 1110-1112, 1123 1201-1203, 1210-1212, 1234, 1956-2015, 2222, 2229, 2580, 3333, 4444, 5252, 5683, 6666, 7465, 7667.

Ну а тепер повернемося до iPhone і тому, що на ньому треба налаштувати:

• встановіть пароль на телефон;
• виберіть автоблокування через 1-2 хвилини;
• включите видалення даних після 10 неправильних спроб введення пароля;
• налаштуйте iCloud для резервного копіювання важливих даних (адресна книга).

Всі ці дії допоможуть запобігти доступ зловмисника до ваших програм.

Резервне копіювання

Правильне резервне копіювання зведе до нуля повну втрату даних. Я використовую трирівневі бекапи. Зрозуміло, тут все крутиться навколо Time Machine . Це означає, що резервне копіювання може автоматично відбуватися будинку на Time Capsule (або будь-який зовнішній диск), а також на додатковий диск на роботі.

Імовірність одночасно розтринькати обидва диска і комп'ютера куди менше. Але якщо і це відбудеться, то в господарстві знадобиться USB-стік з базою 1Password і важливими файлами, який можна заховати в банківському сейфі. Оновлювати його вміст потрібно тільки при плановій зміні основних паролів. На практиці це відбувається не частіше двох разів на рік, тому незручностей метод не приносить, а ось користі від такої чарівні палички може бути маса.

Зрозуміло, диск з резервними копіями Time Machine і USB-стік повинні бути зашифровані. Зробити це можна за допомогою Дисковою утиліти.

Захист від зовнішніх загроз

Найпоширеніший сценарій - хтось отримає доступ до вашої поштової скриньки і відновить на нього паролі від інших служб. Немає ніякого сенсу говорити про складність паролів, краще поговорити про саму ідеологію роботи з поштою.

Історія показує, пошта на @ me.com неодноразово компрометувала себе. Тому реєструвати на неї домени з хостингом та іншою важливою інформацією буде тільки божевільний. Ось відмінний приклад, як був зламаний MacPages.me саме через цю пошту.

Для важливих даних потрібно завести окремий імейл відомий лише вам. До речі, ось тут можна забити на Gmail і звернутися по допомогу інших сервісів. Наприклад, безкоштовного аккаунта в Lavabit для цих цілей буде більш ніж достатньо (на момент написання статті вони тимчасово призупинили реєстрації).

На цей же поштовий ящик можна зав'язати відновлення паролів з усіх інших поштових адрес і служб. А ось чого робити не треба, так це підключати таку пошту на iPhone або iPad.

Після створення такого email'a і перекладу ключових сервісів на нього не забудьте пошукати паролі в вашому старому поштовій скриньці. Ви здивуєтеся, скільки «витоків» там можна знайти.

Таким чином, злом будь-якого з ваших публічних ящиків не дозволить зловмиснику відновити паролі до домену, хостингу, Twitter, Facebook, а також іншим поштових акаунтів і до решти добру.

Ну, а якщо ви зупинили свій вибір на Gmail, то зменшити ймовірність самого злому допоможе дворівнева авторизація (коли крім пароля потрібно ввести код підтвердження, що прийшов на телефон).

Дворівневу авторизацію обов'язково варто встановити і на Dropbox, де зберігається та сама база даних 1Password.

До речі, недавно дворівнева авторизація з'явилася і для акаунтів Apple ID, але поки вона доступна лише для кількох країн. Більшість жителів Європи поки пролітають ...

Останній штрих - одноразові паролі в Gmail для авторизації додатків. При включенні цієї функції для кожної програми, що працює з сервісами Google, можна зробити одноразовий пароль.

Він особливо корисний для iPhone або iPad. При втраті пристрою вам тільки доведеться зайти в аккаунт і «відключити» від пошти потрібні програми (пристрої). Зацікавлені можуть почитати замітку Як працюють одноразові паролі? на Хабре.

Тепер по пунктах:

• Використовуйте роздільні імейли: особистий, робочий, для треш-реєстрацій і суперсекретний;
• Налаштуйте дворівневу авторизацію всюди, де це можна;
• Відновлення важливих паролів, в тому числі і паролі від публічних поштових скриньок, зав'яжіть на секретний імейл;
• Всі зовнішні поштові програми повинні працювати на одноразових паролів.

Система досить ефективна, так як злом будь-якого з публічних ящиків не несе ніяких серйозних наслідків, та й сам цей процес без фізичного доступу до телефону неможливий. Втрата ж самого телефону також не проблема - за пару хвилин можна відключити його від пошти або взагалі очистити. Доступ до акаунтів можна виконати, використовуючи один з секретних одноразових паролів.

Єдина заморочка - ці самі одноразові паролі, які треба генерувати при підключенні кожної нової програми, яка працює з поштою. Але робити це потрібно лише один раз (для поточної сесії).

В підсумку

Мені здається, що завдання захистити дані при мінімальному задалбиваніі користувача виконана. У всякому разі, це працює для мене. Тили прикриті, в голові не треба тримати купу складних паролів, а призначені для користувача дані практично неможливо знищити. При будь-якому сценарії можна розгорнути систему до початкового стану, а паролі відновити.