Аккаунты в Википедии могут быть скомпрометированы (взломаны) несколькими способами, что позволяет злоупотреблять уровнями доступа пользователей , а также репутацией пользователей в незаконных целях. Важно, чтобы пользователи предпринимали активные шаги для защиты своих аккаунтов, особенно тех, у кого высокие уровни доступа, например администраторы . Это можно сделать несколькими способами.
Пользователям, чьи учетные записи были скомпрометированы, может быть ограничен доступ, а их учетные записи могут быть заблокированы или заблокированы глобально.
Почему аккаунты становятся скомпрометированными
Уязвимы как слабые, так и сильные пароли , хотя сильные пароли лучше. Хотя это написано с учетом Википедии, большая часть этого применима и к другим учетным записям веб-сайтов.
Слабые пароли
Слабые пароли особенно уязвимы. Слабые пароли также уязвимы к методам, используемым для надежных паролей.
Злоумышленники пробуют многочисленные пароли, часто в автоматическом режиме, пока не наткнутся на правильный пароль. Хотя в Википедии есть ограничения на количество попыток входа в систему за определенный период времени, пользователи все равно уязвимы, если используют слабые пароли, особенно часто используемые. Контрмеры — максимум 5 попыток входа каждые 5 минут, не более 150 попыток каждые 48 часов. Также ведется учет каждой неудачной попытки входа.
Взломанный сайт с украденными данными
Пользователь мало что может сделать против утечки данных с веб-сайтов. Хотя надежные пароли также могут быть уязвимы, если это произойдет, слабые пароли гораздо легче расшифровать, если веб-сайт использует шифрование для шифрования своей базы данных паролей .
Надежные и слабые пароли
Даже надежные пароли могут легко стать уязвимыми. Но они намного лучше слабых паролей, в основном потому, что они препятствуют атакам методом подбора и делают взломанные веб-сайты гораздо менее уязвимыми для кражи паролей.
Совместное использование паролей для многократного использования
Пароли очень уязвимы, если их повторно использовать на разных сайтах. Если взломать один сайт и сломать хеш пароля или пароли не были надежно сохранены, все остальные сайты с тем же паролем уязвимы. То же самое касается и других форм взлома паролей.
Похожие пароли для многократного использования
Если на нескольких веб-сайтах используются похожие пароли, хакер может угадать правильный пароль для другого использования, каким бы сильным он ни был. Это может включать метод подбора методом подбора.
Небезопасная электронная почта — сброс пароля и т. д.
Многие сервисы, включая Wikipedia, позволяют пользователям сбрасывать забытый пароль, запрашивая ссылку для сброса на зарегистрированный адрес электронной почты . Если ваш аккаунт электронной почты каким-то образом скомпрометирован, злоумышленник может использовать его, чтобы получить контроль над другими вашими аккаунтами. Поэтому вам следует защитить свой аккаунт электронной почты, который получает ссылки для сброса, по крайней мере, так же, как и любые пароли, которые могут нуждаться в сбросе. Gmail и Fastmail (и, вероятно, другие) поддерживают двухфакторную аутентификацию (2FA), и вам, вероятно, следует использовать ее, если вы получаете конфиденциальную электронную почту или сбросы паролей. Если 2FA слишком неудобен для повседневной электронной почты, вы можете настроить отдельный защищенный 2FA почтовый ящик только для ссылок для сброса и других конфиденциальных материалов.
Вход в систему с незащищенных компьютеров или устройств, особенно для общественного пользования, может привести к краже паролей. Пароль копируется при его вводе для входа на веб-сайт вредоносной программой, называемой кейлоггером, или из браузера уязвимого компьютера крадут HTTP-куки, разрешающие доступ к учетной записи. Если пароли хранятся в электронном виде, их можно взломать, если используемое устройство или программа небезопасны.
Это может быть переход по ссылке из поддельного письма, чтобы направить вас на поддельный веб-сайт в так называемой фишинговой атаке . Передача пароля сомнительному человеку может произойти многими способами. Сторона, передающая пароль, не обязательно может быть конечным пользователем; передача пароля может произойти с поставщиком веб-сайта.
Фишинг — это не единственный риск, злоумышленники могут обманом заставить вас запустить вредоносный код в браузере , отправить куки-файлы браузера злоумышленнику или сделать что-то опасное без вашего ведома. Чтобы оставаться в безопасности, никогда не следуйте инструкциям злоумышленника; это означает, что вы не должны запускать неизвестный код или отправлять какие-либо данные браузера, такие как куки-файлы.
Другие кражи паролей
Даже физически сохраненные пароли уязвимы для кражи и копирования.
Таким образом, даже самые надежные пароли могут оказаться бесполезными, если они не защищены должным образом.
Контрмеры
Существует ряд мер, которые могут снизить вероятность взлома учетной записи.
Это очень эффективная и относительно простая мера. Теперь доступна владельцам расширенных разрешений, ведется работа по расширению доступности для других пользователей в будущем. Очень полезна, поскольку каждый раз предоставляет другой пароль, чтобы помешать кейлоггерам и другим компрометациям паролей, и требует доступа к определенным устройствам.
Пароли ботов
Полезно для использования программ типа AutoWikiBrowser с включенной 2FA. См. mw:Manual:Huggle/Bot passwords и Wikipedia:Using AWB with 2FA для получения информации об этом.
Другие методы обеспечения безопасности
Другие меры, особенно актуальные, если не используется 2FA.
Очень полезно для доказательства того, что взломанный аккаунт был возвращен законному владельцу.
Абсолютно разные надежные пароли для всех сайтов
Совместное использование паролей значительно увеличивает уязвимость, даже при использовании надежных паролей. Использование похожих паролей также может быть рискованным. Менеджеры паролей бесценны для хранения наборов сложных паролей вместо необходимости их запоминания.
Это особенно актуально, если у пользователя есть расширенные разрешения.
Периодическая смена пароля
Скомпрометированный пароль нельзя использовать немедленно; периодическое изменение его может предотвратить использование ранее скомпрометированных, но еще не использованных паролей. Измените его в Special:ChangeCredentials
Высокая безопасность компьютеров, устройств и сетей
Компьютеры и другие устройства, используемые для входа в Wikipedia, должны быть защищены, особенно с помощью антивирусных программ и брандмауэров . Следует загружать и устанавливать только доверенное программное обеспечение. Компьютеры в общих пространствах следует блокировать перед тем, как вы их покинете. Правильно настройте функции брандмауэра модема/маршрутизатора.
Высокая надежность пароля
Никогда не делитесь паролями, даже с сотрудниками. Никто другой не должен знать их. Храните пароли в безопасности и меняйте их, если есть хоть малейшая вероятность, что они были скомпрометированы.
Ни один из этих методов не является абсолютно надежным, но их сочетание может значительно снизить вероятность взлома аккаунта.
Безопасность учетной записи электронной почты
Использование этих мер с вашим аккаунтом электронной почты
Как описано выше, доступ к вашей учетной записи электронной почты может позволить вам зайти на веб-сайты, использующие сброс пароля с помощью электронной почты.
Уведомления о входе в систему
Уведомление , предупреждающее пользователя о неудачной попытке входа с нового устройства
Через систему Wikipedia:Notifications вы будете оповещены, когда кто-то попытается и не сможет войти в вашу учетную запись. Несколько оповещений объединяются в одно для попытки с нового устройства/IP-адреса. Для известного устройства/IP-адреса вы получаете одно оповещение на каждые 5 попыток. Если вы подозреваете, что кто-то другой пытался получить доступ к вашей учетной записи, вы можете в любом случае сменить пароль, даже если у вас надежный пароль.
Оповещения об успешном входе с нового устройства/IP-адреса доступны только по электронной почте. Веб-уведомления об успешных входах с нового устройства/IP-адреса в настоящее время отключены.
По умолчанию уведомления "неудачные попытки входа" и "вход с незнакомого устройства" включены для всех. Это настраивается в настройках уведомлений .
После взлома
Подозреваемые скомпрометированные аккаунты
Если у вас есть основания полагать, что учетная запись может быть взломана, свяжитесь с:
Stewards, которые могут заблокировать учетную запись, чтобы предотвратить изменение пароля/адреса электронной почты, а также остановить любые немедленные злоупотребления. Свяжитесь с m:Steward requests/Global, чтобы запросить или обжаловать глобальную блокировку. Вы также можете связаться со Stewards следующими способами:
Чтобы получить экстренную помощь или задать вопрос, присоединяйтесь к IRC-каналу #wikimedia-stewards connect и напишите !steward (ваше сообщение здесь) на этом канале, чтобы уведомить стюардов о чрезвычайной ситуации.
Чтобы связаться со стюардом напрямую, воспользуйтесь его страницей обсуждения.
Запросы также можно отправлять в очередь стюардов WP:VRT через интерфейс m:Special:Contact/Stewards или по электронной почте stewards wikimedia.org
Группа WMF по доверию и безопасности может провести дальнейшее расследование, используя инструменты CheckUser или связавшись с системными администраторами для проверки истории входов в учетную запись. Свяжитесь по электронной почте ca wikimedia.org
Администраторы , которые могут заблокировать учетную запись, если она предпринимает деструктивные действия. Обратите внимание, что в таких случаях предпочтительнее глобальная блокировка, поскольку она предотвращает деструктивные действия во всех проектах, где учетная запись активна, и сохраняет информацию о пользователе. С ними можно связаться на Wikipedia:Administrators' noticeboard .
Каждая группа в конечном итоге свяжется с другими в ходе процесса, либо для подтверждения, либо для выполнения локальных действий после того, как чрезвычайная ситуация утихнет. Расширенные разрешения могут быть удалены для этой части дела, если есть подозрение, что агент(ы), ответственные за компрометацию учетной записи, все еще пытаются получить к ней доступ.
Восстановление доступа к аккаунту
Типичным результатом взлома вашего аккаунта является его блокировка или запирание (блокировка отключает вход из всех проектов Wikimedia) для предотвращения дальнейших сбоев. Хотя администраторы Wikipedia могут помочь, можно также связаться с командой WMF Trust and Safety. Подробности см. выше.
Нет доступа к вашему аккаунту
Если вы заблокированы в своей учетной записи из-за смены пароля, сброс пароля может помочь вам снова получить доступ. Но если адрес электронной почты был изменен, это будет невозможно. Журналы изменений адресов электронной почты хранятся для учетных записей администраторов, что может помочь в установлении владельца учетной записи.
Ваш аккаунт заблокирован
Это вероятное следствие взлома аккаунта. Поскольку может оказаться невозможным доказать, что аккаунт был возвращен, вам, возможно, придется начать заново . Наличие подтвержденной личности — один из немногих способов доказать, что вы являетесь рассматриваемым пользователем, но без этого может быть очень сложно доказать, что аккаунты были возвращены их законному владельцу.
Ваш дополнительный доступ может быть удален
Специальные группы пользователей могут быть временно удалены из вашего аккаунта до тех пор, пока вы не вернете себе контроль над ним.
Ваш аккаунт был глобально заблокирован
Пожалуйста, свяжитесь с командой по вопросам доверия и безопасности Фонда Викимедиа, отправив электронное письмо по адресу ca wikimedia.org.
