Posted in Kompiuterija Patarimai

Kaip apsaugoti darbinį Gmail paskyrą

on
novatech.lt

Kodėl darbinis el. paštas yra vienas patraukliausių taikinių

Jei manote, kad jūsų darbinis Gmail paskyra yra pernelyg neįdomi, kad kas nors ją norėtų nulaužti – tai bene pati pavojingiausia iliuzija, kurią galite turėti. Realybė yra tokia: įsilaužėliai dažniausiai nesiveja garsiausių vardų ar didžiausių kompanijų. Jie ieško lengviausio kelio, o tas kelias labai dažnai eina per paprastą darbuotoją, kuris naudoja tą patį slaptažodį jau trejus metus ir niekada neįjungė dviejų žingsnių autentifikacijos.

Darbinis el. paštas – tai ne tik susirašinėjimas. Ten sėdi sutartys, finansiniai duomenys, prieigos prie vidinių sistemų, klientų informacija ir dar daugybė dalykų, kurie kažkam gali būti labai vertingi. Vienas kompromituotas paskyros atvejis gali kainuoti įmonei ne tik pinigus, bet ir reputaciją, kuri statoma metų metais.

Šiame straipsnyje kalbėsime apie konkrečius, praktinius žingsnius, kuriuos galite padaryti šiandien – ne kažkada, ne „kai turėsiu laiko”, o dabar. Dauguma jų užtruks mažiau nei 10 minučių, bet apsaugos lygį pakels dramatiškai.

Dviejų žingsnių autentifikacija – ne pasirinkimas, o būtinybė

Pradėkime nuo to, kas svarbiausia. Dviejų žingsnių autentifikacija (2FA) yra vienas efektyviausių būdų apsaugoti bet kurią paskyrą, ir Gmail čia ne išimtis. Idėja paprasta: net jei kažkas sužino jūsų slaptažodį, jis vis tiek negalės prisijungti be antrojo patvirtinimo žingsnio.

Google siūlo kelis 2FA variantus, ir čia svarbu pasirinkti teisingai:

  • Google Authenticator arba kita TOTP programa – generuoja laikiną kodą kas 30 sekundžių. Veikia be interneto, todėl patikimesnė nei SMS.
  • SMS žinutės – patogu, bet silpniausia 2FA forma. SIM kortelės gali būti „perkeltos” sukčiavimo būdu (SIM swapping), todėl rimtam saugumui to nepakanka.
  • Fizinis saugos raktas (hardware key) – pavyzdžiui, YubiKey. Tai aukso standartas. Jokia phishing ataka negali jo apeiti, nes raktas fiziškai turi būti prijungtas prie kompiuterio.
  • Google Prompt – pranešimas tiesiai į telefoną. Patogus, bet reikia, kad telefonas būtų pasiekiamas ir turėtų internetą.

Jei dirbate su jautria informacija arba esate komandos vadovas, rimtai apsvarstykite fizinį saugos raktą. YubiKey kainuoja apie 50-70 eurų – tai mažiau nei vienos valandos darbo kaina daugelyje įmonių, o apsaugos lygis yra nepalyginamai aukštesnis.

Kaip įjungti: eikite į myaccount.google.com → Sauga → Dviejų žingsnių patvirtinimas. Procesas užtruks apie 5 minutes.

Slaptažodžių higiena – viskas, ką darote blogai

„Mano slaptažodis yra sudėtingas” – tai sakoma apie slaptažodžius tipo Vasara2023! arba Kompanija@123. Tokie slaptažodžiai yra lengvai atspėjami, nes žmonės mąsto panašiai, o įsilaužėliai tai žino ir naudoja žodynų atakas, kurios per kelias minutes išbando milijonus kombinacijų.

Štai ką iš tikrųjų reiškia stiprus slaptažodis:

  • Bent 16 simbolių ilgio
  • Atsitiktinė simbolių kombinacija – ne žodžiai, ne datos, ne vardai
  • Unikalus – naudojamas tik šiai vienai paskyrai

Žinoma, tokio slaptažodžio neįsiminsite. Ir nereikia. Tam egzistuoja slaptažodžių tvarkyklės. Bitwarden yra nemokama, atviro kodo ir puikiai veikia. 1Password yra mokamas, bet labai patogus, ypač komandoms. Dashlane – dar viena solidi alternatyva.

Slaptažodžių tvarkyklė generuoja ir saugo sudėtingus slaptažodžius už jus. Jums tereikia atsiminti vieną pagrindinį slaptažodį – ir tas turi būti tikrai stiprus bei unikalus.

Dar vienas dalykas: niekada nenaudokite darbinio el. pašto slaptažodžio kitur. Jei vienas iš tų „kitų” servisų bus nulaužtas ir duomenų bazė nutekės (o tai nutinka nuolat), jūsų darbinė paskyra taps automatiškai pažeidžiama. Šį reiškinį vadina credential stuffing, ir jis yra viena dažniausių paskyros kompromitavimo priežasčių.

Gmail saugos nustatymai, apie kuriuos daugelis nežino

Gmail turi daugybę integruotų saugos funkcijų, kurios tiesiog laukia, kol jas įjungsite. Eikite į myaccount.google.com ir skirkite 15 minučių peržiūrėti šiuos dalykus:

Prisijungimo veiklos peržiūra: Pačiame Gmail apačioje, dešiniajame kampe, yra nuoroda „Išsami informacija”. Ten matysite visus aktyvius seansus – iš kokių įrenginių ir vietų kas prisijungė prie jūsų paskyros. Jei matote kažką įtartino – nedelsdami atsijunkite nuo visų seansų ir pakeiskite slaptažodį.

Trečiųjų šalių prieiga: Eikite į myaccount.google.com → Sauga → Trečiųjų šalių programos su paskyros prieiga. Čia pamatysite visas programas, kurioms suteikėte prieigą prie savo Gmail. Tikėtina, kad ten bus keletas dalykų, kurių jau seniai nebenaudojate. Atšaukite nereikalingas prieigos teises – kiekviena iš jų yra potenciali saugumo skylė.

Atsarginiai kontaktai ir atkūrimo parinktys: Įsitikinkite, kad atkūrimo telefono numeris ir el. paštas yra aktualūs. Jei paskyra bus kompromituota, šie duomenys bus jūsų gelbėjimosi ratas.

Gmail konfidencialus režimas: Siunčiant jautrius dokumentus, galite naudoti Gmail konfidencialų režimą. Gavėjas negalės persiųsti, nukopijuoti ar atsisiųsti laiško, o jūs galite nustatyti galiojimo laiką. Tai ne tobula apsauga, bet papildomas sluoksnis.

Automatinis persiuntimas: Patikrinkite, ar jūsų laiškai nėra automatiškai persiunčiami į kitą adresą. Tai vienas pirmų dalykų, ką daro įsilaužėliai gavę prieigą – jie nustato persiuntimą ir tyliai skaito visą jūsų korespondenciją. Eikite į Nustatymai → Peržiūrėti visus nustatymus → Persiuntimas ir POP/IMAP.

Phishing atakos – kaip jas atpažinti, kol nevėlu

Techninis saugumas yra tik pusė kovos. Antra pusė – žmogiškasis faktorius. Ir čia phishing atakos yra absoliutus lyderis tarp priežasčių, kodėl paskyros yra kompromituojamos.

Phishing laiškai tapo neįtikėtinai sudėtingi. Tie laikai, kai sukčiai rašė su gramatikos klaidomis ir žadėjo milijonus iš Nigerijos, praėjo. Šiandien gausite laišką, kuris vizualiai identiškas oficialiam Google pranešimui, su tinkamu logotipu, tinkamu šriftu ir net tinkamu siuntėjo vardu. Skirtumas bus tik vienas – nuoroda ves į suklastotą svetainę.

Keletas praktinių taisyklių:

  • Visada patikrinkite siuntėjo el. pašto adresą – ne tik rodomą vardą, bet ir tikrąjį adresą. Google Support kaip vardas nieko nereiškia, jei adresas yra [email protected].
  • Niekada nespauskite nuorodų iš laiškų, kuriuose prašoma prisijungti – geriau rankiniu būdu įveskite adresą naršyklėje arba naudokite išsaugotus žymeklius.
  • Prieš įvesdami slaptažodį patikrinkite URL – ar tikrai esate accounts.google.com, o ne accounts.google.com.phishing-site.ru?
  • Skubumas yra raudonas vėliavėlis – „Jūsų paskyra bus užblokuota per 24 valandas!” – tai klasikinė manipuliacijos technika, skirta priversti jus veikti neapgalvotai.

Jei dirbate komandoje, labai rekomenduoju bent kartą per metus organizuoti phishing simuliacijos testą. Yra nemokamų įrankių tam, pavyzdžiui, GoPhish. Tai ne tam, kad sugėdintumėte darbuotojus, o tam, kad realioje situacijoje jie žinotų, kaip atrodo ataka.

Įrenginių saugumas ir prisijungimo valdymas

Jūsų Gmail paskyros saugumas yra toks stiprus, koks stipriausias yra įrenginys, iš kurio prisijungiate. Jei nešiojamas kompiuteris neturi slaptažodžio, ekranas neužsirakina automatiškai, o antivirusinė programa neatnaujinta – visa kita saugos priemonės yra beveik beprasmės.

Keletas dalykų, kuriuos verta patikrinti:

Ekrano užraktas: Kompiuteris turėtų užsirakinti po 5-10 minučių neveiklumo. Telefonas – po 1-2 minučių. Tai elementaru, bet stebėtinai dažnai ignoruojama.

Disko šifravimas: Windows sistemoje įjunkite BitLocker, Mac – FileVault. Jei nešiojamas kompiuteris bus pavogtas, duomenys bus neprieinami be slaptažodžio. Tai ypač svarbu, jei Gmail paskyra yra sinchronizuota su el. pašto klientu kaip Outlook ar Apple Mail.

Viešieji Wi-Fi tinklai: Prisijungimas prie Gmail per kavinės ar oro uosto Wi-Fi be VPN yra rizika. Naudokite VPN – arba korporatyvinį, kurį suteikia darbdavys, arba patikimą komercinį kaip Mullvad ar ProtonVPN. Nemokamų VPN vengkite – jie dažnai uždirba parduodami jūsų duomenis.

Mobiliųjų įrenginių valdymas: Jei Gmail paskyra yra telefone, telefonas turėtų turėti PIN kodą arba biometrinę apsaugą. Jei telefonas bus pamestas ar pavogtas, turėtumėte galėti jį nuotoliniu būdu ištrinti – Google Find My Device arba Apple Find My tai leidžia padaryti.

Ką daryti, jei paskyra jau buvo kompromituota

Kartais, nepaisant visų atsargumo priemonių, nutinka blogiausia. Galbūt pastebite, kad laiškai buvo pažymėti kaip perskaityti, nors jūs jų neskaitėte. Galbūt kontaktai praneša, kad gavo keistų laiškų iš jūsų. O gal tiesiog negalite prisijungti.

Veikite greitai ir sistemingai:

  1. Pakeiskite slaptažodį nedelsiant – jei dar galite prisijungti, tai pirmas žingsnis.
  2. Atsijunkite nuo visų seansų – Gmail nustatymuose yra galimybė atsijungti nuo visų aktyvių seansų vienu paspaudimu.
  3. Patikrinkite persiuntimo taisykles ir filtrus – įsilaužėliai dažnai palieka „galines duris” persiuntimo forma.
  4. Peržiūrėkite išsiųstus laiškus – ar buvo išsiųsta kažkas, ko jūs nesiuntėte? Tai padės suprasti, ką įsilaužėlis galėjo daryti.
  5. Pranešite IT skyriui arba vadovybei – jei tai darbinė paskyra, tai ne tik jūsų problema. Gali būti, kad ataka buvo platesnė.
  6. Pakeiskite slaptažodžius kitose paskyrose, ypač jei naudojote tą patį arba panašų slaptažodį.
  7. Įjunkite 2FA – jei dar nebuvo įjungta, dabar tikrai laikas.

Google taip pat turi specialų Paskyros atkūrimo procesą adresu accounts.google.com/signin/recovery. Jei praradote prieigą, tai pirmas sustojimas.

Saugumas nėra vienkartinis projektas – ir štai kodėl

Daugelis žmonių galvoja apie saugumą kaip apie kažką, ką padarai vieną kartą ir pamiršti. Įjungei 2FA, susikūrei stiprų slaptažodį – ir viskas, galima atsipalaiduoti. Deja, taip neveikia.

Grėsmės keičiasi. Kiekvieną mėnesį atsiranda naujų atakos metodų, nuteka naujos duomenų bazės, atsiranda naujų pažeidžiamumų. Tai, kas buvo saugu prieš dvejus metus, šiandien gali būti nebepakankamai saugu.

Štai keletas dalykų, kuriuos verta daryti reguliariai:

  • Kas 3-6 mėnesius peržiūrėkite trečiųjų šalių prieigą prie savo paskyros ir atšaukite nereikalingas.
  • Patikrinkite, ar jūsų el. paštas nėra nutekėjusiose duomenų bazėse – haveibeenpwned.com tai padaro per sekundę.
  • Atnaujinkite atkūrimo informaciją – jei pakeitėte telefoną ar atsarginį el. paštą, atnaujinkite ir paskyros nustatymuose.
  • Sekite Google saugos pranešimus – Google siunčia įspėjimus apie įtartiną veiklą. Neignoruokite jų.

Saugumas yra procesas, ne būsena. Ir kuo anksčiau tai suprasite, tuo mažesnė tikimybė, kad vieną rytą atsikelsite ir sužinosite, kad jūsų darbinis el. paštas jau seniai dirba kažkam kitam. Geros žinios yra tai, kad didžioji dalis čia aprašytų priemonių nereikalauja nei didelių investicijų, nei techninių žinių – tik keliolikos minučių dėmesio ir noro imtis atsakomybės už savo skaitmeninį saugumą. O tai, sutikite, nėra per didelė kaina.

Taip pat gali patikti

Daugiau

Kaip pagerinti Mac baterijos laiką