Хаклор — митовете на киберсигурността
„Хаклор" (от hack + folklore) са устойчивите митове и добросъвестно предаваните съвети, за които няма научни доказателства. Точно като народните суеверия — звучат убедително, но не работят.
Какво е хаклор?
Терминът е измислен от общността на практиците по сигурност, за да опише разпространяваните в масовото съзнание съвети, които са остарели, недоказани или дори контрапродуктивни. Отворено писмо, подписано от CISOs и ветерани в сферата, призовава тези митове да бъдат пенсионирани.
Масовите компрометирания чрез публичен WiFi са изключително редки днес. Съвременното криптиране (HTTPS, TLS) защитава трафика по всяка мрежа. Личните VPN услуги предлагат малка реална полза за обикновения потребител и понякога внасят нови рискове.
Няма документирани масови пробиви чрез сканиране на QR кодове. Реалният риск е социалното инженерство след кликване върху съдържанието — и той е значително смекчен от съвременните браузъри и операционни системи чрез предупреждения и sandboxing.
Т.нар. „juice jacking" — нито един потвърден случай, засягащ обикновен потребител, не е публично документиран. Съвременните устройства по подразбиране ограничават зареждането до ток без трансфер на данни, освен ако потребителят изрично не разреши.
Безжичните атаки в реалния свят са изключително редки за обикновените потребители. Съвременните устройства изискват изрично потребителско съгласие при сдвояване. Постоянното изключване е неудобство без измеримо подобрение на сигурността.
Не подобрява сигурността осезаемо. Съвременното проследяване разчита предимно на fingerprinting — уникален „пръстов отпечатък" на браузъра и устройството — далеч извън обхвата на бисквитките. Изчистването им само нарушава удобството.
Няма доказателства, че периодичната смяна намалява инцидентите. Напротив — води до по-слаби пароли, предвидими модификации и повторно използване. Препоръката е официално отхвърлена от NIST SP 800-63B. Смени паролата само при доказан пробив.
Какво действително работи
Вместо хаклор — четири мерки с доказана ефективност, препоръчвани от водещите изследователи и CISOs в сферата на киберсигурността.
Дръж устройствата и приложенията актуализирани. Включи автоматичните обновления навсякъде. Повечето успешни реални атаки използват известни уязвимости, за които вече съществува patch — просто потребителите не са го приложили навреме.
Включи MFA навсякъде — особено на имейл, банки и социални мрежи. Предпочитай passkeys или TOTP приложение (Google Authenticator, Aegis) пред SMS кодове. Дори слабото MFA е несравнимо по-добро от само парола.
Използвай мениджър на пароли (Bitwarden, 1Password, KeePassXC) за генериране и съхранение на уникални, произволни пароли от 16+ символа за всеки акаунт. Никога не повтаряй парола. Мениджърът прави това тривиално лесно.
16+ символа, произволно генерирани, никога повторени в различни акаунти. Мениджърът на пароли прави генерирането и съхранението на такива пароли тривиално. Дължината е по-важна от сложността на специалните символи.
Писмото Хаклор е лицензирано под CC BY 4.0 от Robert Lord / Hacklore.org. Прочети оригинала на hacklore.org/letter.