Сегодня хочется поговорить о том, как обезопасить свой Skype от непрошеных гостей, ведь за последнее время частота взломов в покерных кругах только увеличивается. До авторов Покерофф взломщикам также удалось добраться, пусть и закончилось это более менее благополучно. Чтобы не забивать вашу голову лишней информацией, я решил сделать короткое руководство, которое, как минимум, усложнит задачу юным любителям халявы.

Прежде чем начать, хочется отметить, что Skype был и остаётся решетом, но самое главное, что Microsoft никак не старается исправить ситуацию, а зачастую и вовсе усугубляет её. Вспомнить хотя бы прошлогоднюю историю с маркером пароля, когда практически любой уверенный пользователь ПК мог «угнать» любой аккаунт другого пользователя, обладая минимумом общедоступной информации.

Анонимный электронный адрес

Обычно электронные адреса пользователей легко найти в открытом доступе, нам необходимо устранить сей досадный факт, дабы не испытывать судьбу. Заведите новый адрес электронной почты на mail.google.com Сделать это достаточно просто, подсказки тут не нужны.

Замена основного адреса

Далее идём на Skype.com, логинимся и меняем основной адрес электронной почты (Primary email) для аккаунта Skype на новый, только что созданный, и забываем о его существовании до лучших времен. Сменить основной e-mail прямо из клиента Skype нельзя.

Двухэтапная аутентификация

Самый главный козырь в нашем гайде — это двухэтапная аутентификация электронной почты. Фича крайне полезная, помогает защитить наш аккаунт от несанкционированного доступа. Даже если злоумышленнику каким-либо способом удалось узнать пароль, он не сможет войти в аккаунт без кода подтверждения, который направляется только на мобильный телефон владельца аккаунта. Чтобы включить данную фичу для своего google аккаунта, проделываем следующие нехитрые действия:

Такие разные пароли

Настоятельно рекомендую не использовать один и тот же пароль на нескольких ресурсах. Зачастую, получив пароль от одного из аккаунтов на любом посещаемом вами сайте, мошенники, зная ваш логин, пробуют «примерить» полученный пароль где это только возможно. О случаях, когда база порталов вроде NeverFold продавалась за жалкие $10, и вовсе говорить не стоит. Сомнительные сайты стоит обходить стороной.

Антивирусное ПО

По роду своей деятельности мне приходится сталкиваться с различными антивирусами, и я, мягко говоря, расстроен не только их быстродействием, но и эффективностью. Одна из немногих программ которая работает не на словах на деле — Dr. Web Cure IT. Тот случай, когда действительно стоит потратить 15 минут вашего драгоценного времени, чтобы пройти полное сканирование. Софт абсолютно бесплатный, но при этом получающий регулярные обновления.

Альтернатива

К сожалению, из-за своей популярности найти замену Skype достаточно сложно. Но если для вас на первом месте безопасность, я рекомендую обратить внимание на Google Hangouts. Здесь есть чат, видеозвонки, смс и бесплатные видео-конференции. Чтобы начать пользоваться Hangouts, необходим логин и пароль от вашего google аккаунта, а также один из популярных браузеров. После автоматического скачивания расширения для браузера приложение готово к работе.

Блокировка аккаунта

Да будет вам известно, что аккаунт Skype может быть заблокирован при поступлении 40 однотипных жалоб (для этого достаточно отправить в соответствующую переписку нехитрый код и много раз на него нажать, пускай даже с одного аккаунта). Защититься от этого достаточно просто — необходимо иметь баланс счета от $2, и активированую премиум подписку.

Заключение

Мы все с вами взрослые люди, поэтому, я думаю, не стоит напоминать вам о том, что открывать подозрительные ссылки, как и принимать файлы от малознакомых контактов нельзя. Чтобы не оказаться на месте одной из жертв взломщика, получив сообщения с текстом вроде: «Одолжи 100$ вебмани или яндекс до завтра, отдам 110$.» попробуйте позвонить контакту и всё встанет на свои места. Также при подозрении на взлом стоит опросить ваших общих знакомых на предмет получения схожих по содержанию сообщений.

Этот короткий гайд не является истинной в последней инстанции, а как раз наоборот создан для того, чтобы получить еще больше рекомендаций по безопасности от читателей Покерофф.

Грамотный подход к обеспечению IT безопасности в плане авторизации на своих серверах внутри компании и за ее пределами, подразумевает целый ряд мер, таких как: обеспечение уникальности имени пользователя, требований сложности и плановую замену пароля, неразглашение учетных данных сторонним лицам и т.д. Но зачастую бывает так, что пользователь быстро забывает про все это, и для своего удобства вешает бумажку с логином и паролем на видном месте, например, на своем мониторе. Что может оказаться вполне удобным для злоумышленника, желающего получить доступ к данным.

Конечно, существует целый ряд мер, в том числе административных, чтобы данная ситуация не привела к утечке информации. Мы же рассмотрим другой подход.

Радикальным решением является применение двухфакторной аутентификации, основанной на генерации одноразовых паролей.

Одноразовый пароль (англ. one time password, OTP) это пароль, действительный только для одного сеанса аутентификации.

Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации (или прочитал с бумажки), не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.

Используемые продукты

В качестве примера, рассмотрим реализацию внедрения OTP пароля, основанном на проекте multiOTP — опенсорсовом софте PHP, умеющим работать на стандартных алгоритмах, которые хорошо себя зарекомендовали в индустрии обеспечения многофакторной аутентификации (HOTP, TOTP, OCRA).

Для обеспечения дополнительного поля ввода OTP пароля в окне входа в систему Windows будем использовать плагин MultiOneTimePassword-CredentialProvider.

Пользователь будет генерировать одноразовые пароли у себя на мобильном устройстве с помощью Google Authenticator.

Установка multiOTP

Скачиваем продукт multiOTP и размещаем содержимое папки windows (из скачанной директории) в корень системного диска: C:\multiotp.

Вся настройка происходит через командную строку. Запускаем CMD от имени администратора и переходим в нашу директорию:

Далее приводится список команд для настройки и синхронизации сервиса multiOTP с Active Directory:

1. C:\multiotp>multiotp -config default-request-prefix-pin=0

Ввод ПИН-кода по умолчанию, при создании новых пользователей (1 | 0)

1. C:\multiotp>multiotp -config default-request-ldap-pwd=0

Использование пароля Active Directory вместо ПИН-кода по умолчанию(1 | 0)

1. C:\multiotp>multiotp -config ldap-server-type=1

Выбор сервер AD/LDAP (1=Active Directory | 2=standart LDAP )

1. C:\multiotp>multiotp -config ldap-cn-identifier="sAMAccountName"

CN идентификатор пользователя (sAMAccountName, eventually userPrincipalName)

1. C:\multiotp>multiotp -config ldap-group-cn-identifier="sAMAccountName"

CN идентификатор группы (sAMAccountName for Active Directory)

1. C:\multiotp>multiotp -config ldap-group-attribute="memberOf"

Атрибут, определяющий принадлежность к группе

1. C:\multiotp>multiotp -config ldap-ssl=0

Использование SSL соединения по умолчанию (0 | 1)

1. C:\multiotp>multiotp -config ldap-port=389

Порт подключения (389 = standart | 636 = SSL connection)

1. C:\multiotp>multiotp -config ldap-domain-controllers=servilon.com,ldaps://192.168.254.10:389

Указываем сервер(а) Active Directory

1. C:\multiotp>multiotp -config ldap-base-dn="DC=SERVILON,DC=COM"

Указываем суффикс домена

1. C:\multiotp>multiotp -config ldap-bind-dn="CN=Administrator,CN=Users,DC=servilon,DC=com"

Аккаунт, под которым подключаемся к AD DS.

1. C:\multiotp>multiotp -config ldap-server-password="P@$$w0rd"

Пароль, под которым подключаемся к AD DS.

1. C:\multiotp>multiotp -config ldap-in-group="OTP«

Группа, пользователи которой будут использовать OTP для входа на сервер.

1. C:\multiotp>multiotp -config ldap-network-timeout=10

Таймаут ожидания синхронизации в секундах.

1. C:\multiotp>multiotp -config ldap-time-limit=30

Таймаут смены OTP пароля на новый.

1. C:\multiotp>multiotp -config ldap-activated=1

Включение поддержки AD/LDAP сервисом multiotp.

1. C:\multiotp>multiotp -debug -display-log -ldap-users-sync

Синхронизация пользователей с AD/LDAP. Последнюю команду необходимо запускать каждый раз при добавлении новых пользователей или настроить в виде запуска скрипта по расписанию.

Если все команды введены корректно и сервер AD/LDAP доступен, то последняя команда должна показать синхронизацию и создание новых пользователей для сервиса multiotp:

Настройка Google Authenticator

Теперь необходимо передать уникальный ключ пользователя на устройство пользователя. Удобней всего это сделать через QR код. Для этого нам необходимо установить web-server который нам поможет в просмотре и регистрации пользователей. Просто заходим в папку multiotp и запускаем webservice_install.cmd, после чего должен открыться браузер с консолью администрирования. После входа, мы можем создать нового локального пользователя или просмотреть список существующих, что весьма полезно:

Но самое главное, вэб-консоль поможет нам зарегистрировать пользователя на мобильном устройстве. Нажимаем «Print» в строке необходимого пользователя и на новой вкладке мы видим QR код, сгенерированный для данного пользователя:

Сканируем полученный QR код с помощью Google Authenticator. Регистрация завершена.

Как видите все просто, можно например, переслать QR код пользователю почтой и он сам справится с регистрацией. Если все прошло успешно, та на экране мобильного устройства будет доступен OTP пароль, который обновляется каждые 30 секунд:

Установка MultiOneTimePassword-CredentialProvider

Теперь необходимо указать нашему серверу Terminal дополнительно использовать OTP пароль при аутентификации пользователя. Для этого запускаем ранее скачанный установщик MultiOneTimePassword-CredentialProvider, где нам требуется лишь указать установку Default Provider и папку с сервисом multiotp:

Важно! После установки CredentialProvider, пользователи, которые не получили настройку OTP не смогут зайти на сервер. Поэтому необходимо позаботится чтобы у учетной записи администратора был также настроен OTP пароль.

Результаты

Теперь наш сервер Terminal получил дополнительный уровень безопасности в виде внедрения OTP пароля на базе бесплатного решения проекта multiOTP и multiOTP-Credential Provider.

Данное решение вполне можно развернуть и на самом ПК пользователя, выставив барьер для злоумышленника при попытке входа на рабочем месте сотрудника.

Источники

• http://www.pokeroff.ru/kak-zashitit-svoj-akkaunt-skype-ot-vzloma-post-2895029
• http://servilon.ru/dvuhfaktornaya-autentifikaciya-otp/