Буквально пару дней назад мы все узнали о том, что приложение Бургер Кинг, которое находится в Google Play и Apple Store записывает все, что делает пользователь. И там совсем не обезличенные данные, как нам говорят представители Бургер Кинга. Записывается буквально все: как пользователь вводит свое имя, фамилию, адрес, и даже данные кредитной карты. Видео записывается всегда.
На самом деле это не единственное приложение, которое фиксирует все, что вы в нем делаете.
Уже множество раз ловили разработчиков на том, что их приложения записывают видео с экранов, когда пользователь вводит данные кредитки или пейпала.
Или до бональности, но забывают настроить шифрования пользовательских данных и паролей в своих приложениях. Надеюсь вы понимаете, какие могут быть последствия, если такая база попадёт в плохие руки.
Возможное решение:Open Sourc приложенияМинус — в отсутствии поддержки, все риски — только на вас.
Плюс в том, что тут нет еще одного звена, которое хранит ваши данные: вы исключаете вероятность того, что это звено потеряет, продаст или скомпрометирует ваши данные.
Менеджер паролейPass - это терминальная программа, в которой вы можете хранить свои пароли в зашифрованном виде.
Она есть для всех операционных систем
. Есть приложения для iOS и Android. И так же есть плагины для Chrome и Firefox.
Программа полностью открытая и свободная, использует свободную библиотеку GPG. Она шифрует каждую запись вашим ключом GPG.
Операционная системаНаиболее безопасными являются свободные ОС с открытым кодом. Ubuntu вызывает сомнения потому, что в ней есть различные сервисы, вроде popularity-contest, которые отправляют какие-то данные разработчикам. Кроме того, убунта уже немного подорвала репутацию, использовав так называемый «шпионящий поиск» до версии 16.04.
Выбор можно сделать в пользу arch linux, хотя он сложнее в установке. Аналогов довольно большое количество, и нельзя сказать, что они хуже.
СмартфонОтличная ОС с открытым кодом – LineageOS. Она очень стабильная и довольно часто обновляется. Сейчас это очень свежий Android 8.1.0, который работает отлично. Не забудьте после установки залочить bootloader.
Вместе со свободной ОС рекомендую использовать магазин со свободным ПО, который называется F-Droid.
Задумайтесь о том, как вы разблокируете ваш смартфонРазблокировка по лицу — не очень надежный метод, существует огромное количество проблем.
Отпечаток пальца — тоже довольно спорный метод. Фактически, если вы не доверяете Гуглу или Эпплу и используете не их операционные системы, но при этом разблокировали телефоны своим отпечатком, то можете считать, что ваш отпечаток уже скомпрометирован. И вам уже нельзя использовать отпечаток пальца для защиты чего-то важного.
Хранение файловВместо Google Drive или Dropbox можно использовать NextCloud на своем сервере.
Плюсов есть несколько.
Безопасность. Ни у кого больше не булет доступа к вашим данным. И даже если он появится, то все данные на NextCloud зашифрованы. Так же, как и Дропбокс, он имеет клиенты для всех операционных систем, включая мобильные.
Гибкость. Можно использовать такой объем хранилища, который вам нужен. Легко можно сделать как 100Гб, так и 20Тб.
Плагины. NextCloud предлагает довольно удобные дополнения. Такие как заметки, календарь, таск-менеджер. И все это синхронизируется и так же работает на смартфоне.
BrowserНаверное, точно так же, как с предыдущими пунктами. Лучше всего использовать браузеры с открытым исходным кодом: Firefox, Chromium, Brave, Icecat. По удобству использования и другим характеристикам они не уступают тому же хрому.
ПоисковикНикому не нравится то, что поисковик знает про нас слишком много. Вот примеры того, что Гугл знает про вас.
myactivity.google.com/myactivity
maps.google.com/locationhistory
adssettings.google.com/authenticated?hl=en
Надо сказать, что Гугл действительно хорошо ищет. Бесплатных аналогов, которые уважают вашу приватность довольно мало. Фактически есть только DuckDuckGo, который ищет не идеально.
Шифрование на летуЕсть такие программы, как TrueCrypt, которые позволяют вам шифровать на лету вашу информацию.
Сама программа TrueCrypt считалась самой надежной для полного шифрования диска или создания контейнеров. Но вот только разработчики опубликовали сообщение, в котором посоветовали всем пользователям перейти на Bitlocker. В этом сообщении сообщество увидело так называемое «свидетельство канарейки», то есть попытку сказать что-то, ничего не сказав и предоставив намек на свою неискренность. Так как разработчики всегда высмеивали Bitlocker.
Кроме того, некоторые пользователи захотели сделать форк проекта. Но автор TrueCrypt ответил кратко и емко: «Очень жаль, но я думаю, что вы просите невозможного. Мне не кажется форк TrueCrypt хорошей идеей».
Исходя из этого, можно сказать, что TrueCrypt, и все его аналоги вроде VeraCrypt, — не являются безопасными.
Есть аналог Tomb, испробовать не было возможности. Если вы можете что-то посоветовать, то напишите в комментариях.
Шифруйте весь дискЗнаете, что будет, если вы потеряете свой ноутбук, и его найдет плохой человек?
Он включит его с любой загрузочной флешкой и спокойно получит доступ ко всем вашим данным.
Поэтому очень важно зашифровать весь диск. Чтобы при потере вашего девайса человек не смог получить к нему доступ.
Делайте бекапы (и шифруйте их)
Точно так же важно не потерять самому все ваши данные. По этому делайте бекапы. И обязательно шифруйте их. Ну и, само собой, не храните бекапы на том же носителе.
Следите за доступомКогда вы продаете свои девайсы, то не забывайте удалять их из ваших учетных записей. Это очень важно.
myaccount.google.com/device-activity
www.dropbox.com/account/securitywww.icloud.com/#settingsСледите за тем, какой уровень доступа требуют у вас приложения и плагиныБывают ситуации, когда поставишь какое-либо приложение, а оно требует полный доступ к папке Дропбокса. Хотя казалось бы, этому приложению совершенно не нужен такой доступ. Ну, на крайний случай, ему хватило бы Access type: «App folder». Такие вещи для Дропбокса можно проверить тут:
www.dropbox.com/account/connected_appsА некоторые приложения требуют доступ к Google Drive. Я не очень понимаю, для чего им доступ к моим документам. Это можно проверить по этой ссылке:
myaccount.google.com/permissions
Двухфакторная аутентификацияИспользуйте двухфакторную аутентификация везде, где только можно. Этот очень эффективный дополнительный уровень безопасности. Их существует несколько видов.
Синхронизированные по времени пароли.
Один из самых распространенных, безопасных и самых удачных вариантов двухфакторной аутентификации. Вам показывается QR-код, который вам нужно сфотографировать приложением, и у вас появится строка с вашим одноразовым паролем, который меняется каждые 30 сек. Рекомендую вам каким-то образом хранить картинки этих QR-кодов или использовать приложения, которые могут экспортировать базу с вашими записями.
Аппаратный ключ FIDO U2F.
Это тоже довольно удачный вариант, но смущают некоторые моменты. Например, не понятно, что делать, если этот ключ сломается и просто перестанет работать. Все-таки это техника, а любая техника когда-нибудь, да ломается. Так же мне не понятно, что делать, если я его просто потеряю.
Список одноразовых паролей – сносный вариант, если нет ничего другого. Проблема с этим вариантом в том, что пользователь чаще всего будет хранить пароль и список одноразовых паролей в одном месте.
SMS-аутентификация.
Совершенно не нравится данный способ, и я стараюсь его не использовать, хотя иногда не получается, так как некоторые сервисы предлагают только его. Проблема в том, что есть огромное количество способов завладеть вашим номером телефона.
Каждый должен решить самостоятельно, какой уровень безопасности приемлем лично для него.
Если у вас есть важная информация, и вы боитесь ее потерять, то вам стоит задуматься об информационной безопасности.
Ну, а серьезно подходить к защите данных, когда данные ничего не стоят — это просто потеря времени.Топик носит информационно-просветлительный характер
Первоначальный Источник https://habr.com/company/lodoss/blog/417359/ 
