Согласно исследованию RU-CENTER, всего 11% из 5 000 крупнейших по выручке российских компаний подключили двухфакторную идентификацию в аккаунте домена и лишь 3% компаний запретили операции с чужих IP-адресов. Эта статистика показывает, что бизнес часто недооценивает риски для своего цифрового актива. Рассказываем, что нужно сделать, чтобы защитить учетную запись и домен от кражи и взлома.
Почему важно защищать аккаунт в регистраторе
Каждый день в RU-CENTER фиксируются сотни попыток автоподбора паролей и проведения критических операций с доменами. Антивирус или плагин безопасности в этом случае не помогут: они обеспечивают только безопасность сайта. Аккаунт в регистраторе доменов нужно защищать отдельно.
В группе риска крупные государственные организации и компании, которые активно занимаются PR-продвижением. Медийность в этом случае играет бо́льшую роль, чем размер бизнеса: чем известнее бренд, тем пристальнее внимание преступников к нему.
Если мошенники получат доступ к аккаунту в доменном регистраторе, они могут:
- воспользоваться конфиденциальной информацией о компании;
- изменить name-серверы и перенаправлять трафик с настоящего сайта на поддельный;
- приостановить делегирование домена и ограничить доступ к сайту и другим сервисам, связанным с этим доменом, — например, к корпоративной почте;
- привязать домен к другому аккаунту или передать другому регистратору;
- выставить домен на аукцион, чтобы перепродать его.
Как защитить доменный аккаунт
Чтобы защититься от мошенников, владельцу домена важно выполнить все пять шагов, описанных ниже.
1. Настроить разные уровни доступа к личному кабинету
Это снизит риск, что доступ к критически важным настройкам попадет в случайные руки. Например, аккаунт в RU-CENTER можно защитить двумя паролями: административным и техническим.
Административный пароль обязательный, владелец устанавливает его вместе с регистратором при заключении договора. Он позволяет полностью контролировать аккаунт: менять все настройки, заказывать услуги и управлять личным счетом. Такой пароль следует выдать двум-трем сотрудникам, которые отвечают за финансы и стратегию компании.
Технический пароль дополнительный, владелец устанавливает его по своему желанию. Он позволяет менять часть настроек, но не даст списать деньги и управлять заказами. Этим паролем можно поделиться с остальными сотрудниками компании или подрядчиками. Например, с разработчиком или веб-студией.
При этом даже технический пароль следует передавать только проверенным людям, так как он открывает доступ к настройкам, которые влияют на работу сайта. Например, позволяет изменить name-серверы домена.
Так пароли отображаются в аккаунте RU-CENTER
2. Привязать электронную цифровую подпись
Если настроить вход в аккаунт с помощью усиленной электронной цифровой подписи, не нужно будет каждый раз вводить логин и пароль. Это поможет предотвратить утечку данных для аутентификации.
Чтобы использовать эту опцию, надо привязать подпись в личном кабинете регистратора, а при авторизации нажать на кнопку «Вход по электронной подписи» и следовать инструкциям на экране.
Электронная цифровая подпись — альтернатива входу по логину и паролю
3. Включить двухфакторную аутентификацию
С этой опцией вход в аккаунт доменного регистратора будет происходить в два этапа. Сначала пользователю нужно будет ввести пароль, а затем одноразовый код, который приходит в смс или в специальном мобильном приложении — например, «Яндекс Ключе».
Благодаря двухфакторной аутентификации злоумышленнику будет сложнее взломать личный кабинет: для этого нужно будет получить доступ и к паролю, и к устройству, на которое придет код подтверждения.
В RU-CENTER настроить двухфакторную аутентификацию можно для всех паролей
4. Настроить запрет изменения пароля по email
Если владелец домена забудет пароль от личного кабинета, он может восстановить его по электронной почте. Такой способ настроен в аккаунте RU-CENTER по умолчанию.
Эта опция удобна пользователям, но она же делает аккаунт уязвимым. Если мошенники взломают почту владельца домена, они могут попытаться обмануть доменного регистратора, изменить пароль от личного кабинета и украсть домен. Один из таких случаев мы подробно разбирали в статье о том, кто в компании должен следить за доменами.
Чтобы исключить риски, следует запретить изменение пароля по email. Восстановить доступ можно будет только через официальное письмо владельца с приложенной копией его паспорта.
С выставленным запретом злоумышленники не смогут украсть домен
5. Настроить ограничение входа по IP
IP-адрес позволяет определить, откуда происходит подключение к интернету. Если ограничить вход по IP-адресу, войти в аккаунт можно будет только с устройств, подключенных к сети с разрешенным IP.
Например, администратор домена может добавить в список свой домашний и офисный IP-адрес. Так мошенник не сможет войти в аккаунт со своего IP-адреса, даже если у него есть логин и пароль.
В RU-CENTER можно настроить уведомления о попытках входа с незнакомых IP-адресов
Как доменный регистратор защищает пользователей
Чтобы обеспечить безопасность аккаунтам своих клиентов, RU-CENTER использует следующие решения.
Проверка усиленной электронной подписи
Обычную печать или подпись мошенники могут подделать. Поэтому для смены администратора или восстановления пароля RU-CENTER принимает документы только с усиленной электронной подписью. Она защищена закрытым ключом, поэтому ее сложно фальсифицировать.
Сохранение истории действий в аккаунте
Пользователь может в любой момент зайти в личный кабинет и проверить, какие изменения произошли за последнее время. Если в аккаунте отображаются действия, о которых владелец ничего не знает, или появляются входы с чужих устройств, следует быстро сменить пароли, опросить сотрудников или обратиться в службу поддержки RU-CENTER.
Оповещения о действиях в аккаунте
Если владелец домена подпишется на ежемесячный отчет о действиях в аккаунте, он будет получать на email сводки со всеми входами и изменениями в личном кабинете. Это позволит быть в курсе всего, что происходит с аккаунтом, и быстрее выявлять подозрительную активность.
Безопасность аккаунта — общая цель клиента и регистратора
Как правило, регистраторы стараются максимально защитить домены клиентов: сохранять историю действий в аккаунте, присылать отчеты об активности, ограничивать доступ к критическим изменениям. Однако из-за законодательных и технических ограничений регистратор не может повлиять на все риски. Например, если владелец передаст пароль от аккаунта непроверенным людям, регистратор может попытаться помочь, но полную ответственность за последствия будет нести владелец домена.
Советы, которые приведены в этой статье, — базовая защита, которую важно настроить всем. Если домен — ценный актив для компании, стоит подключить дополнительные опции. Подробнее о них мы рассказали в статье о том, какие уровни безопасности домена существуют.