образовательное, программистское
В кибербезопасности (и безопасности вообще) есть такое понятие: модель угроз.
Вы можете пытаться защититься от всего вообще, но это абсолютно бесперспективно: идеальная защита бесконечно дорого стоит. И она того не стоит.
Как защищаться правильно? Есть два с половиной пункта:
(1) Вам надо понимать, какие риски для вас реальны, а какие — нет.
Могут ли вас лишить доступа к интернету? К вашей рабочей почте? Могут ли вам взломать личную почту и что они там найдут? Могут ли выкрасть ваш ноутбук? Разблокировать телефон в отделе полиции? Лишить вас доступа к вашему банковскому счёту? Установить на ваш телефон Pegasus? Устроить обыск в вашей квартире? Шантажировать вас публикацией вашего продросткового ЖЖ компромата? Взять в плен вашу любимую собачку? Отправить от вашего имени письмо в масонскую ложу?
Трезво оцените, в какие ситуации вы можете попасть на практике, а какие являются чисто гипотетическими. Защищаться надо от тех рисков, которые есть в вашей модели угроз
(2) Оцените ваш ущерб в случае реализации каждой из угроз. Очень ли страшно, если в масонской ложе узнают, что вы дурачок? Много ли вы потеряете, если у вас выкрадут пароль от вашего криптокошелька?
Если ущерб небольшой, этот риск можно игнорировать.
(2’) У каждого взлома есть цена (измеряемая временем и/или деньгами). Стоимость перебора паролей. Стоимость подделки сим-карты. Стоимость заманивания вас по фишинговой ссылке.
Если вы очень важная птица, и хакер предполагает, что у вас можно украсть миллион, то он вполне готов будет потратить сто тыщ на то, чтобы вас взломать. Но потратить десять миллионов, чтобы заполучить всего один — невыгодное вложение.
Ваша задача — сделать так, чтобы взломать вас было дороже, чем та ценность, которую взломщик от вас потенциально может получить.
Ещё раз! Не бывает стопроцентной защиты. Даже самый надёжный шифр можно взломать. Вопрос в том, как дорого и быстро.
Например, современные шифры предолагают, что на современном же оборудовании подбор ключа шифрования займёт несколько лет.
Если вы втайне договариваетесь о сюрпризе для друга на день рождения, вряд ли вы беспокоитесь, что друг, потратив сотни долларов, вас взломает и через два года узнает, что же вы хотели ему подарить на позапрошлый день рождения. Вам достаточно протокола сколь угодно слабой степени безопасности.
А вот если пароль вашего платёжного аккаунта можно подобрать за пару месяцев на персоналке, вы что-то делаете не так.