Фишингдан энг ишончли ҳимоя
Google компанияси 2017 йил бошида барча ходимларини токен қурилмалари – фойдаланувчи аккаунтини қўшимча равишда ҳимоялайдиган қурилмалар билан таъминлади. Компания вакилларининг айтишларича, ўшандан буён ходимлар аккаунтларидан маълумот ўғирлаш ҳолати бирор марта ҳам қайд этилмаган.
Токен қурилмалари оддий USB-флешкага ўхшайди. Уларда шифрланган маълумот сақланади ва икки босқичли аутентификация ўрнига қўлланилади.
Икки босқичли аутентификацияда фойдаланувчи аввал ўзи биладиган паролни киритади, сўнгра эса SMS ёки Google Authentificator орқали олинган кодни киритади (код ҳар дақиқада янгиланади).
Бу ҳолатда фойдаланувчи пароли ўғирланганда ҳам унинг аккаунтига киришнинг имкони бўлмайди – фойдаланувчининг телефонига ҳам кириш талаб этилади. Аммо уяли телефонлар ишлайдиган инфратузилманинг хакерлар SMS-хабарларни ўқий олиши мумкин бўлган ожиз тарафи бор.
Google Authentificator каби парол генератори ҳам хавфсиз ҳисобланади — код тармоқ орқали жўнатилмайди, балки қурилманинг ўзида ишлаб чиқилади. Лекин бу усулда ҳам хакерлар кодни эгаллаб олишлари мумкин. Бунинг учун улар фойдаланувчини ҳақиқий сайтга ўхшайдиган фишинг сайтга ўтишга ва парол ҳамда кодни ўша ерда киритишга йўналтиришлари мумкин.
Токен қурилмаларида бундай камчиликлар йўқ. Фойдаланувчи аккаунтига кириш учун аввал паролни киритиши, сўнгра USB-портга токенни улаши лозим. Токен сайт манзилини текширади ва Google ходими аккаунти ўғирланмаслигига ишонч ҳосил қилинганидан кейингина кодни киритади.
Мазкур қурилмаларни ўрганган Брайан Кребснинг айтишича, токенларнинг битта камчилиги бор - улар фақат Chrome ва Opera браузерларида ишлайди. Firefox браузерида уни ишлатиш учун созламаларга ўтишга тўғри келади, Edge браузерида эса унинг ишлаш функцияси кейинроқ пайдо бўлади.
Фишинг – интернет-фирибгарликнинг бир тури бўлиб, номи инглизча «fishing» – «балиқ ови» сўзидан олинган. Бунда фирибгарлар сизга электрон почта орқали хатда сохта ҳавола (link, ссылка) юбориб, ўша ҳавола бўйича ўтишингизни сўрашади. Унда кўрсатилган сайтга кирсангиз, ўзингизнинг шахсий маълумотларингиз (логин, пароль ва ҳоказолар) уларнинг қўлига ўтиши мумкин.