Самоучитель по выживанию в интернете

Что тут вообще происходит

Интернет не такой уж приветливый - это опасное, жесткое место…

Давай начистоту. Многое в цифровом мире ты делаешь на автомате, не особо задумываясь. И это нормально: я и сам убеждён, что технологии должны быть простыми и удобными. Но у такой небрежности есть цена: взлом аккаунтов, утечка данных, кража денег.

Справиться с этим самому не так-то просто. Информации — гора, а рядом с ней ещё горный хребет, но она вся разрозненная и не даёт простых ответов на сложные вопросы. В какой-то момент мне понадобилось руководство, которое я смогу скинуть буквально любому со словами «делай вот это, и будет хорошо». Так появился этот текст — сбалансированная стартовая точка, которую потом можно улучшать по необходимости. Я постарался выделить только самое важное, донести простыми словами и объяснить, почему всё обстоит именно так, а не иначе.

Даже при всех моих стараниях сжать информацию, текст может показаться громоздким. Если хочешь устроить спринт, в самом конце есть простой чек-лист — там буквально пошаговая инструкция.

Чего здесь не будет: прямых инструкций, какие кнопочки тыкать. Потрать 10 секунд, спроси в умном чате или поисковике. Тем более что ссылки на официальные руководства я где надо оставил.

Со вступлением вроде все. Ну че, йобана в врот, погнали нахуй!

Защита устройств

Первым делом разберёмся с SIM-картой. Потому что если угонят твой телефон, то про номер можешь забыть. Как минимум на первое время. А куда привязан номер телефона? К паре-тройке мессенджеров, нескольким банкам, записан у бабушки и в бухгалтерии, в налоговой и на почте, у доставки и такси. Восстановив доступ лишь к последнему, злоумышленник сразу получит и данные банковской карты, и полный адрес, и маршруты передвижения. Продолжать надо? ;)

Поменяй PIN-код для SIM-карты! Для любого пароля важна в первую очередь случайность. Если твой пароль 0000, 1111 или 1234 — всё, потрачено. Никакие антивирусы и файрволы не помогут. Даже если я не угадал и твой PIN, скажем, 6969 или год рождения матери — телефон ведь может украсть не только случайный незнакомец в метро, но и недобросовестный знакомый. Так что вероятность угадать намного выше, чем может показаться.

1. Идёшь сюда, генерируешь новый PIN.
2. Записываешь его на листик. Листик потом положишь к документам, но пока не прячь — он ещё понадобится.
3. Только после того, как новый PIN записан на бумагу, идёшь в настройки телефона и меняешь его.

Теперь надо разобраться со всем остальным: телефон, планшет, ноутбук… Для всего этого там же генерируешь ещё один пароль (на этот раз 6 цифр), потом записываешь на листочек и лишь затем меняешь на всех своих гаджетах. Телефон, планшет, компьютер — везде, в общем.

Да, в идеале на каждое устройство должен быть свой пароль. Но давай посмотрим правде в глаза: ты половину из них сразу забудешь, а если будешь бегать с листочком — не дай бог потеряешь или порвёшь его. В итоге у тебя заблокирован комп, я виноват, что насоветовал плохого, а это ваше секьюрити пошло к чёрту. Оставь так, этого достаточно.

Почему так? На SIM-карту будет всего 3 попытки, а комбинаций из четырёх цифр — 10 тысяч. Для телефона количество попыток вроде не ограничено, и миллион комбинаций для 6-значного кода подбирается почти мгновенно. Но помнишь, как при нескольких неудачных попытках телефон уходит на перерыв? Чем больше неправильных попыток, тем дольше он будет отказываться сотрудничать. Это и есть защита от перебора, встроенная в любое современное устройство.

Касательно биометрии — отпечаток пальца и/или лицо. Работает нормально, ставь и не заморачивайся.

Главный аккаунт

Тебе понадобиться один «главный» аккаунт, к которому будут привязаны:

1. Электронная почта
2. Номер телефона
3. Менеджер паролей (об этом далее)

Скорее всего, это будет аккаунт Google (он просто есть вообще у всех), но любой другой из популярных — Apple, Microsoft — тоже подойдёт. Дальше я буду исходить из настройки именно Google, но не агитирую использовать именно его.

Идёшь в настройки выбранного сервиса (для Google это раздел «Личная информация»), добавляешь свой номер (если его там ещё нет) и обязательно подтверждаешь через звонок/SMS. Там же убеждаешься, что выбран пункт о восстановлении доступа к аккаунту по номеру телефона. После этого включаешь двухэтапную аутентификацию по номеру телефона (для Google это раздел «Безопасность»).

Затем возвращаешься на сайт для генерирования паролей и создаёшь мнемоническую фразу — для этого нужно сменить поле «Type» на «Passphrase». Оптимум — 4–6 слов, заглавные буквы и разделитель между словами — по желанию. Зачем? На эту тему есть отличный комикс, но если вкратце — мнемонические фразы сравнимы по сложности взлома с обычными паролями, но запоминаются намного проще. Эту фразу сначала записываешь на ту же бумажку с остальными паролями и только потом идёшь в настройки и меняешь свой текущий пароль на неё.

После смены пароля в идеале стоит периодически выходить из своего аккаунта и входить в него заново, пока мнемоническая фраза не впечатается тебе на подкорку.

Потеря доступов

Теперь все дальнейшие действия будут крутиться вокруг твоей «главной» учётной записи. Она — твоё цифровое «я», где будут и все пароли, и все документы, и все фотографии. В общем, всё. Значит, если потеряешь к ней доступ — пиши пропало, придётся всё создавать с нуля. Как этого избежать — далее (согласно моей абсолютно невыдуманной статистике, вероятность восстановления составляет 99%), но давай всё-таки подготовимся к худшему. Ты ведь оформляешь туристическую страховку, не так ли? Вот это примерно оно и есть.

Представь худшее: ты в коме или вообще отчалил в мир иной. В таком случае есть два варианта:

1. Снести всё к х*ям. Оно ведь тебе уже всё равно не понадобится, так? Зато так можно избежать и утечек, и потенциальных взломов. Идём в настройки (Google) и ставим автоудаление аккаунта после определённого периода бездействия. Далеко не все сервисы предоставляют такую возможность, но если она есть — однозначно стоит её использовать. Также можно попросить друзей/знакомых закидать аккаунт жалобами, чтобы его удалили/забанили. Особенно полезно если аккаунт взломали и вернуть его не выходит.
2. Передать доступ друзьям/родственникам. Иногда доступна опция передачи аккаунта. Ниже будет более продвинутый способ, но имей в виду и этот. Google: тык, Microsoft: тык, Apple: тык. Это поможет предотвратить утечку данных или взлом аккаунта, над которым у тебя всё равно уже не будет никакого контроля. Да, в некоторых случаях Google, Apple и Microsoft могут и сами удалить неактивный аккаунт по своим правилам (а могут и не сделать этого), но, бьюсь об заклад, ты хочешь иметь прямой контроль над тем, что открывает двери в цифровой мир.

Тут возникает логичный вопрос: не слишком ли много рисков? Ну, смотря с какой стороны посмотреть. С одной стороны — да, всё в одном месте. Если потеряешь или взломают — ситуация будет не из приятных. С другой стороны, в этом и смысл. Ты фокусируешься на безопасности всего одного аккаунта, вместо того чтобы пытаться уследить за десятками. К тому же все остальные сервисы в любом случае будут привязаны к твоей почте и/или телефону и при желании легко через них восстановятся, так что…

Что ещё можно сделать, чтобы снизить шансы потери доступа к аккаунту?

1. Добавь контакты для восстановления. Google: тык, Microsoft: тык, Apple: тык.
2. Всегда имей хотя бы одно устройство с активным сеансом. Так у тебя как минимум будет возможность перенести данные в другое место.
3. Крупные компании вроде Google, Microsoft, Facebook и иже с ними очень любят отслеживание местоположения по IP и концепцию «доверенных устройств» — то есть тех, которыми ты когда-либо пользовался. По сути, они используют их комбинацию как неявный третий фактор аутентификации, не говоря тебе об этом. При этом прозрачных критериев, пройдёшь ты эту проверку или нет, не существует. На практике это значит, что они могут заблокировать любую твою попытку входа, если посчитают её «подозрительной» (да, даже с правильным паролем). Я не знаю, помогает ли VPN подменить геолокацию, если ты вдруг оказался в другой части света. Могу предположить, что нет (они знают IP-адреса VPN-серверов, и это будет даже хуже), но в крайнем случае стоит попробовать. Еще один вариант: попросить кого-то сменить настройки в твоём аккаунте по видеосвязи.
4. Утерянную SIM-карту, как правило, можно восстановить. Если номер привязан к паспортным данным — вероятно, проблем будет меньше. Но даже если ты никак не подтверждал личность у оператора, стоит с ним связаться.

Резервная копия

В любом случае, давай всё-таки не будем ничего терять. Для правильной резервной копии важно сохранить доступ к SIM-карте, мнемоническую фразу от аккаунта и пароли к устройствам. Если у тебя с кем-то очень доверительные отношения, можешь добавить их отпечатки пальцев или лицо. Но мы сделаем ещё хитрее.

Умные люди придумали схему разделения секрета Шамира. Суть следующая: текст разбивается на 5 зашифрованных частей¹. Каждая часть сама по себе бесполезна, но, объединив хотя бы три любые из них, можно расшифровать исходный текст. Этим и воспользуемся.

Плюсы:

• Ты разделяешь ответственность между близкими людьми. Если двое потеряют твои данные — не беда.
• Не нужно ждать 6–18 месяцев, пока Google вышлет письмо доверенным лицам. Даже выбравшись голым и контуженным из канавы после ковровых бомбардировок, ты сможешь восстановить всё — от счёта в банке до Тиндера.
• Усложняешь жизнь злоумышленникам. Если кто-то нехороший попробует украсть или выманить резервные копии, ему нужно будет проделать это трижды. Уговорить бабулю продиктовать цифры с карты — это одно, а вот обманывать твоего друга-айтишника, жену-красавицу и соседа-пьяницу — оно тому хакеру надо?
• Чего уж, тебе самому после канавы придётся доказывать, что ты — это ты.

Минусы:

• Требуется немного времени и внимательности. Если нужно что-то попроще и побыстрее — используй базовые настройки из прошлых разделов (они тоже нормально работают) и листай к следующей теме.
• При смене важных данных (мнемоническая фраза, пароль, номер телефона) придётся повторять всю процедуру заново.

Теперь к делу. Создаёшь 5 папок и называешь их в духе «Для Насти Ивановны, на случай беды с Петей Петровым». Это твоё цифровое завещание. В каждой папке будут храниться три файла:

• Инструкция, что делать дальше.
• Зашифрованные доступы.
• Шифратор/дешифратор.

Последний файл — шифратор/дешифратор — скачиваем (Ctrl+S) по этой ссылке. Будет сохранён файл с расширением .html, переименовываем его в Шифратор.html и копируем в каждую из пяти папок. Это на случай, если сайт вдруг станет недоступен. Затем пишем (но никуда не сохраняем) примерно такой текст:

Пароль от аккаунта Google (без кавычек): "unpleased said unsmooth donator silencer"
Пароль от телефона: 752842
Пароль от компьютера: 965227
Пароль от SIM-карты: 5994
PUK-код от SIM-карты: 45227693
Номер телефона: +0123456789
Фраза шифрования диска (без кавычек): "depletion staleness immobile quartered pulsate"

Копируем этот текст, открываем наш Шифратор.html в браузере и вставляем в поле слева. Ниже появятся 5 зашифрованных частей. В каждой из 5 папок создаём файл «Доступы зашифрованы.txt» и вставляем туда свою зашифрованную часть. Какая именно часть в какую папку пойдёт — не важно, но помни правило: одна папка — одна зашифрованная часть.

Отлично, сложный этап закончен. Осталось немного.

Создаём файл «Прочти меня.txt». Далее лишь пример, у тебя текст будет свой. Помнишь? Это твоё цифровое завещание:

Привет. Если ты это читаешь, значит, либо меня больше нет, либо я в состоянии овоща, либо я просто круп(без кавычек)но влип и мне нужна твоя помощь в восстановлении аккаунтов :)

Если последнее — перешли мне, пожалуйста, остальные два файла из этой папки: «Доступы зашифрованы.txt» и «Шифратор.html». Но только убедись, что это на самом деле я, а не искусственный интеллект. В идеале — передай лично на флешке.

Если же со мной и правда что-то случилось... у меня будет последняя просьба: удалить меня из сети.

В этой папке находятся два файла: «Доступы зашифрованы.txt» и «Шифратор.html». Так как доступы зашифрованы, ты не сможешь войти в мои аккаунты самостоятельно. Такая же папка есть ещё у четырёх человек:

1. Ваня, +0123456789
2. Света, +987654321
3. Кирилл, +8529637410
4. Настя, +741963852

Тебе нужно связаться ещё с двумя любыми людьми из списка. Тогда вы сможете открыть в браузере файл «Шифратор.html» и, собрав в сумме три части из файлов «Доступы зашифрованы.txt», скопировать их содержимое в шифратор. Он выдаст вам все необходимые данные для входа в мои устройства, аккаунт Google и для восстановления номера телефона, если понадобится.

Из моего аккаунта Google вы сможете попасть в менеджер паролей, где будут видны все мои остальные аккаунты, и в приложение Google Authenticator с кодами двухфакторной аутентификации.

Не кринжуйте с моих переписок слишком сильно ♥
Детали и подсказки, почему всё работает именно так: https://foo.bar

Можно заметить, что я чуть забежал вперёд в инструкции — пока не обращай внимания. Мы поговорим и об аутентификаторе, и о менеджере паролей ниже.

Осталось разослать эти папочки людям и попросить сохранить их «на случай, если произойдёт что-то плохое». Можно превратить их в ZIP-архивы и отправить «как есть», а можно выгрузить на свой же облачный диск и раздать доступы по почте (доступ по ссылке не используй, может скомпрометироваться).

Всё, теперь можешь смело сжигать свою бумажку со всеми паролями.

Менеджер паролей

Я уже упоминал, что у нас будет «главный аккаунт», и к этому аккаунту будет привязан менеджер паролей. На практике штука просто прекрасная, с тех пор как перешёл — никак не нарадуюсь :)

Люди не умеют ни придумывать надёжные пароли, ни запоминать их. В итоге имеем: человек придумал ненадёжный пароль, использовал его везде без изменений или с минимальными, а потом — ой, опять кого-то взломали, как же так вышло-то, бл*ть. Но без паролей никак, они с нами если не навечно, то ещё о-о-очень надолго, потому будем выкручиваться. Задача — переложить груз ответственности за создание и запоминание надёжных (уникальных, длинных и случайных) паролей с тебя на машину. Бонусом получим список (почти) всех мест, куда ты когда-либо отдавал свои данные.

Но что если мой менеджер паролей взломают? Злоумышленник получит все мои пароли!

И это абсолютно верно. Поэтому ты должен безусловно доверять этой программе. Но неверно думать, что использование хорошего менеджера паролей делает тебя более уязвимым. Подобный софт постоянно находится под присмотром и аудитом. А вот повторяющиеся, простые и популярные пароли, пароли на основе дней рождения, имён домашних животных и прочее — прямой путь к взлому. Более того, некоторые полезные штуки, о которых поговорим далее (TOTP, Passkeys), просто не работают иначе².

Не использовать: LastPass. Это как раз тот случай, когда у компании плохая репутация.

Нужно импортировать все существующие пароли. Если пользуешься несколькими браузерами — заходишь в них, находишь в настройках сохранённые пароли, экспортируешь в файл. Затем открываешь свой менеджер паролей и импортируешь из этих файлов, а сами файлы по завершении процедуры — удаляешь. Раз уж мы привязались к Google, Microsoft или Apple — импортируем в Chrome, Edge или Safari соответственно. Убедись, что ты вошёл в свой аккаунт в браузере, чтобы пароли отправились на серверы компании — это важно.

С этих пор любой твой новый пароль генерируется менеджером паролей, сохраняется в него и живёт там же.

Имей в виду, что обычно пароли можно сохранить только для сайтов. Под документы или пароли, которые не выйдет добавить в менеджер (например, фразу от криптокошелька), я рекомендую создать отдельную папку на диске.

Скучная, но важная часть

Тут мне нужно сделать шаг в сторону и поговорить о «факторах» аутентификации, то есть способах подтвердить личность. Ты наверняка знаешь аббревиатуру MFA (многофакторная аутентификация) или 2FA (двухфакторная аутентификация как подвид MFA). Стоит запомнить простую вещь: одного фактора недостаточно. Допустимо, если это что-то несерьёзное (скажем, форум по садоводству), но для банка, почты, хранения документов, переписок и тому подобного — нет, нет и ещё раз НЕТ!

Исторически люди использовали всего один «фактор» — пароль. Если ты знаешь пароль, то, вероятно, тебе можно доверять. И с надежными паролями, ответственность за создание и хранение которых мы полностью отдали машине, все стало значительно лучше. Правда, есть один нюанс: пароли «текут». Так что будем внедрять MFA.

На практике встречаются 5 форм MFA: OTP (One Time Password), TOTP (Time-based One Time Password), через доверенные устройства, облачный пароль и вход через другую связанную учётную запись³.

• Связанная учётная запись — это та самая кнопка «Войти с помощью X».
• Аутентификация через доверенные устройства — будет предложено автоматически, тут ничего не настроить.
• OTP — те самые одноразовые коды, которые приходят тебе в SMS, на почту или в самом сервисе на другом устройстве. Ещё может быть звонок от робота. Не путать с капчей! Если сайт просит выбрать светофоры на картинке или собрать пазл — это лишь проверка на то, что ты не робот.
• TOTP — одноразовые коды, которые генерируются раз в 30 секунд. Для них нужно специальное приложение: Google Authenticator, Microsoft Authenticator и т. п.
• Облачный пароль обычно встречается в мессенджерах и работает как обычный пароль, только наоборот: сначала вход по номеру телефона, а потом подтверждение паролем.

Ещё одна штука — Passkeys. Это фрагмент данных, который сохраняется в твой менеджер паролей и в идеале может заменить и пароль, и второй фактор. На деле всё обстоит не совсем так, но это в любом случае наилучший из доступных вариантов. Один из главных плюсов: он почти полностью снимает угрозу фишинга — ты физически не сможешь ввести свой Passkey на поддельном сайте.

Теперь надо все эти знания применить. Выписываешь на листик все свои важные аккаунты: здоровье, финансы, социальные сети, мессенджеры, банки, госучреждения, путешествия и пр. Да, именно выписываешь, чтобы явно отделить важное от неважного. Вероятно, наберётся около 10 пунктов. Я очень прошу тебя набраться терпения и зайти в каждый из них, сменить пароль на надёжный (сгенерированный менеджером) и настроить двухфакторную аутентификацию. Это правда очень, очень важно. Заодно будет возможность потыкать другие настройки — скажем, в Telegram тоже можно настроить удаление аккаунта по неактивности, а в Facebook — памятный статус.

Чтобы тебе было чуть проще — вот пошаговая диаграмма:

Защита электронных устройств, часть 2

Шо, опять? Да, опять. Как уже обсудили, главная угроза твоим устройствам — стать участником художественного фильма «Спиздили».

Тут всё просто: сходи и настрой отслеживание потерянных устройств. Если не сможешь вернуть, так хоть удалённо заблокируешь или сотрёшь всё. Вот инструкции для Microsoft, для Apple, для Google.

Защита электронных устройств, часть 3

Да ты задрал!

Я специально вынес это в отдельный пункт, так как он не для всех актуален. Но если ты любишь путешествовать, таскаешь ноут с собой или собираешься отдать технику в ремонт — милости прошу. Бывает, что мы что-то теряем с концами, и одному богу известно, какие зверства будет вытворять с нашей железкой новый владелец. А с учётом того, что самое важное обычно хранится именно на компе…

Собственно, речь о шифровании. С современными телефонами (Android 10+, iOS 8+) и планшетами ничего делать не нужно: всё настроено «из коробки». А вот на компьютерах, где обычно и хранится всё самое важное, пароль сам по себе, как ни парадоксально, не защищает данные от чтения. Если диск не зашифрован, его можно просто достать и подключить к другому компьютеру напрямую либо загрузиться в обход, что делается элементарно. Хрень какая-то, скажи? ;)

Давай сразу оговорюсь: есть два способа⁴ зашифровать диск. В первом случае всё просто: тебе нужен только пароль от устройства и пара кликов, но он требует современного железа. На новых MacBook такое шифрование обычно включено по умолчанию, вот инструкция, как перепроверить. Для Windows, скорее всего, шифрование будет отключено, но можешь попробовать его включить: инструкция.

Если же шифрование отключено (MacBook) или недоступно (Windows), можно прибегнуть ко второму способу. Он работает практически везде, но требует ещё одной мнемонической фразы, которую нужно будет вводить при каждой загрузке, и в редких случаях может замедлять систему. Готов ли ты мириться с такими неудобствами — решать тебе. Моя позиция: если комп выносится за пределы дома, стоит настроить. Новую фразу добавишь в свой резервный бэкап или на облачный диск к документам.

Чтобы включить такое шифрование, на macOS включаешь FileVault, на Windows — BitLocker.

Если ты вдруг на Linux: шифрования у тебя, скорее всего, нет. Включить его проще всего при переустановке системы, искать LUKS. Linux Mint при установке позволяет зашифровать только домашнюю директорию, в таком случае новый пароль не потребуется.

Обновления

Тут с одной стороны вроде всё просто: пусть будут включены автоматические обновления, потому что так о них не нужно думать и можно спокойно работать. Самому ты все-равно не будешь их устанавливать.

С другой стороны, пытаясь уложиться в горящие сроки, компании отнюдь не всегда выпускают хорошо протестированный продукт, и можно неожиданно отхватить проблем.

Моя позиция следующая:

1. Приложения должны обновляться автоматически. Даже если будет какой-то косяк, он, вероятно, окажется не особо критическим, а заплатку разработчики смогут выпустить довольно быстро.
2. То же самое касается обновлений безопасности операционной системы — то есть обычных обновлений на текущую версию.
3. Обновления на следующую версию операционной системы (например, с Windows 10 на Windows 11) следует ставить только вручную и с заранее подготовленными бэкапами, причём через 3–6 месяцев после выхода. Связано это с тем, что если выпускается сырая сборка, ты, как потребитель, будешь выступать в качестве бесплатного тестировщика и страдать, пока её не отполируют. Это обычно занимает как раз несколько месяцев. То же самое, к слову, касается новых моделей вообще чего угодно — от автомобиля и телефона до холодильника. Потерпи полгода, за это время и баги поправят, и цена чуть упадёт.

Инструкции по настройке: macOS, iOS, Apple Store, Windows, Microsoft Store, Android, Google Play. Но для Windows обязательно настрой периоды активности, потому что она любит выбирать самые неподходящие моменты.

Антивирусы и файрвол/брандмауэр

Оставь всё по умолчанию. Современных защитных средств, которые идут «из коробки», более чем достаточно. Просто не игнорируй уведомления от своего устройства. Без специальных знаний и навыков лучше всё равно не сделаешь, а вероятнее всего — наоборот, навредишь.

Браузер

Как и с антивирусом: работает — не трогай. Почти весь⁵ трафик сейчас по умолчанию зашифрован — именно на это указывает значок замка в адресной строке. Если браузер кричит, что соединение небезопасно, — не игнорируй, как бы ни хотелось зайти на сайт. Если его создатели не позаботились о базовой настройке шифрования, то доверия им ноль.

Источники приложений

Качаем только из официальных магазинов приложений, в крайнем случае — с официальных сайтов. Обходим седьмой дорогой всё остальное. Думаю, здесь комментарии излишни, так ведь?

Как не про*баться

Если ты всё настроил правильно (особенно двухфакторную аутентификацию), то теперь самым уязвимым звеном становишься именно ты. Слышал мнение что любая, даже самая тупая фишинговая атака на большой выборке всегда даст результат в 3–5%, просто из-за человеческого фактора. Новые схемы обмана появляются каждый день, а в век нейросетей отличать правду от вымысла становится всё сложнее. Чего ожидать от уставшего человека, отпахавшего 12-часовую смену? Иногда мозг просто «не схватывает», и это нормально.

Кроме скучных рекомендаций вроде «не переходи по подозрительным ссылкам» и «не переводи свадебный бюджет троюродному дяде в Камбоджу», подкину несколько идей, которые, надеюсь, смогут тебя уберечь:

1. Грамотная атака призвана отключить мозг и включить рефлексы. Лучше всего для этого работает страх. Такой себе цыганский гипноз.
2. Отвлечься на три минуты и обдумать — благо, а не риск. За три минуты ничего страшного не произойдёт.
3. У сотрудников любой компании и так есть все необходимые им данные о тебе и средства для решения проблем. Можешь не переживать: если банк действительно обнаружит подозрительную активность, он её сам мгновенно заблокирует.
4. Мне сложно представить ситуацию, когда с тобой могут связаться только по телефону или имейлу. Уведомления от сервисов в первую очередь приходят в приложения или на сайт. Никто не будет содержать дорогой колл-центр или рассылать письма, если можно этого не делать. Как в поддержку дозвониться — так пройди семь кругов ада, чтобы достучаться до живого оператора, а как номер паспорта сказать — так сразу личный менеджер нашёлся. Ничего не смущает?
5. Если от тебя (особенно срочно) требуют какую-то информацию под любым предлогом, нет ничего стыдного или странного в том, чтобы оборвать связь и связаться напрямую самостоятельно. Скажем, звонит сын из школы, срочно просит денег, «потом объясню». Разве не повод сбросить и набрать его классному руководителю? Или звонят из больницы: «Муж попал в аварию, срочно продиктуйте страховой номер». Ну так хватай документы и езжай в больницу. При угрозе жизни они должны волноваться о другом.

На случай большой беды

Это совсем другая тема для беседы, но мне кажется важным её затронуть.

Потерять почту или даже все сбережения — это ужасно. Однако потерять жизнь или здоровье — несравнимо большая потеря.

Прочитай эти страницы: Android, iOS. Грех не пользоваться, если есть такая возможность. Трагедии случаются неожиданно.

Общие рекомендации

Наконец, когда все «шаги» пройдены, ещё несколько замечаний по цифровой гигиене в целом:

• Тебе не обязательно «быть» в сети. Ты не обязан вести соцсети, постить в ленту и прочее. Выйди на улицу, потрогай траву.
• Тебе не обязательно вести открытый аккаунт, если ты не публичное лицо. А ты, скорее всего, не публичное лицо. Закрытый аккаунт «для своих» — вероятно, намного лучше.
• Если тебе нужно вести публичную деятельность (работа, активизм, блог, бизнес) — заведи для этого отдельный аккаунт. Это поможет и алгоритмам, и твоей менталке.
• Тебе не обязательно давать свои реальные данные (если только ты не обязан по закону, как в случае с банками). Да, это может быть против условий использования сервиса (ToS), но мы же всё понимаем. Никнейма и котика на аватарке вполне достаточно. Facebook очень хочет знать, где ты родился, в какую школу ходил и с кем вчера спал, потому что он на этом зарабатывает. Ты — нет.
• Всё, что попадает в интернет, остается в интернете и всегда доступно публично. Да, это не совсем так, но эта установка сильно упрощает выбор: нажать кнопку «Отправить» или всё же не стоит.
• Не надо постить (да и вообще публично обсуждать) других людей, особенно детей. Просто не надо, они сами способны это сделать. Спроси разрешение, прежде чем выкладывать общую фотку. С детьми вообще отдельная тема. Понимаю, хочется похвастаться успехами своего чада, но просто не надо. Дай ребёнку подрасти и сделать свой выбор о том, что делать публичным.
• Знай свои права. Если ты резидент ЕС или некоторых штатов Америки, то тебе повезло — на твоей стороне законы вроде GDPR, которые дают хороший юридический базис для контроля над своими данными. Если вкратце: ты вправе требовать удаления, изменения или просмотра своих данных.
• Запланируй день цифровой уборки. Раз в полгода достаточно (чаще не рекомендую, будет слишком много всего, и ты забьёшь болт). Пройдись по галерее, файлам на устройствах, удали ненужное. Особенно важно — загляни в настройки своих основных аккаунтов (почта, соцсети, банки). Проверь актуальность данных (например, если сменился телефон или почта), отключи персонализированную рекламу и ненужные службы (например, отслеживание геолокации). Пройдись по списку приложений на телефоне и пересмотри разрешения (доступ к камере, контактам и прочему). Сделай бэкапы важного. Да, лениво, но это как с чисткой зубов: всё хорошо до поры до времени.
• Знай условия пользования сервисом и его политику конфиденциальности. Ссылки на них, как правило, расположены в нижней части сайта. Да, они ужас какие длинные, и их специально пишут так плохо, чтобы все просто соглашались. Но у нас теперь есть языковые модели, так что, пожалуйста, потрать лишние 2 минуты, закинь текст в чат. Вот тебе даже пример запроса:

Представь, что ты юрист. Пожалуйста, внимательно прочитай и проанализируй следующий документ. В нём описываются условия обслуживания/политика конфиденциальности. Сделай для меня краткую выжимку по следующим пунктам:

1. Какие данные собираются?
2. Каков срок хранения моих данных?
3. Как я могу запросить изменение или удаление моих данных?
4. При каких условиях и кому могут быть переданы мои данные?
5. Какие права я предоставляю этому сервису в отношении моих данных?
6. Какие аспекты этого документа неясны, непрозрачны и на что мне следует обратить внимание?

Ещё один хороший ресурс по политикам различных сервисов: ToSDR.

Чек-лист

• Настроить электронные устройства
  • Поменять пароль для SIM
    • Создать новый PIN для SIM по этой ссылке
    • Записать новый PIN на листик
    • Поменять PIN-код на новый
  • Поменять пароль на остальных устройствах
    • Создать ещё один пароль (6 цифр) по этой ссылке
    • Записать его на листик
    • Поменять пароль на:
      • Телефоне
      • Компьютере
      • Планшете
      • Ноутбуке
      • Ещё что-то электронное?
  • Добавить отпечаток пальца и/или скан лица
  • Настроить шифрование диска
    • Если шифруешь с мнемонической фразой — записать её на листик с остальными паролями
  • Положить листик в надёжное место (к документам)
  • Включить отслеживание потерянных устройств
  • [Windows] Убедиться, что антивирус включен
  • Настроить обновления
    • Для приложений включить автообновления
    • Для ОС отключить автоматическое обновление на новые версии
• Настроить свой «основной» аккаунт
  • Настроить базовую безопасность
    • Выбрать экосистему, которой ты чаще всего пользуешься: Google, Microsoft или Apple
    • Добавить номер телефона в настройках аккаунта
    • Подтвердить номер телефона
    • Установить номер телефона как «номер для восстановления»
    • Включить двухэтапную аутентификацию по номеру телефона
    • Сгенерировать мнемоническую фразу (4–6 слов) по ссылке
    • Записать фразу на листик к остальным паролям
    • Сменить пароль в аккаунте на новую мнемоническую фразу
    • Положить листик в надёжное место (к документам)
  • Настроить опции на случай потери доступа
    • Настроить автоудаление аккаунта по периоду бездействия
    • Настроить контакты для восстановления аккаунта
    • Настроить опцию передачи аккаунта родственникам в случае смерти
• Включить двухфакторную аутентификацию для всех важных аккаунтов
  • Здоровье (!)
  • Финансы (!)
  • Социальные сети и мессенджеры (!)
  • Госучреждения (!)
  • Путешествия и поездки
  • Почта и доставки
  • Что-то ещё?
• Создать резервную копию

Очень краткое послесловие

Фух. Ну, вроде всё. Поздравляю! По моей абсолютно достоверной статистике, ты теперь круче и осознаннее 99,(9)% других людей в интернете :)

Если было полезно — лучшей благодарностью будет переслать ссылку на этот текст своим друзьям и родственникам.

Обнял.

Оговорки и упрощения

Footnotes

1. На самом деле, количество может быть и другим. Но 3/5 — хорошая стартовая точка. ↩

2. Это не совсем так. Обе эти технологии требуют отдельного ПО, но это не обязательно должен быть именно менеджер паролей. Просто, как правило, весь такой функционал находится где-то рядом. ↩

3. Технически это не MFA, а OAuth или SSO. Но при настроенной MFA на аккаунте, через который осуществляется вход, критерий наличия MFA выполняется автоматически. ↩

4. Способов намного больше, но это совсем другая тема, не имеющая отношения к предмету разговора. ↩

5. Не весь, потому что протоколов в интернете намного больше, чем один HTTP(S), но всё больше трафика переходит в зашифрованный вид (например, FTP -> FTPS, DNS -> DoT/DoH). ↩