Приоритеты (кратко, по важности):
$1$ Защита учётных данных — кража пароля или сессии даёт полный доступ к аккаунтам.
$2$ Конфиденциальность трафика и файлов — предотвращает перехват и чтение данных.
$3$ Целостность и контроль доступа — чтобы файлы/аккаунты не подменяли и не шарили без контроля.
$4$ Доступность и восстановление — резервные копии и логирование на случай инцидента.
Практические меры и инструменты (что и почему):
Общие базовые правила
- Использовать уникальные сложные пароли и менеджер паролей (рекомендуем: Bitwarden, KeePassXC) — минимизирует риск перебора и повторного использования.
- Включить двухфакторную аутентификацию (двухфакторная аутентификация ($2$FA), лучше аппаратные ключи типа YubiKey) для всех важных сервисов — защита даже при компрометации пароля.
- Регулярно обновлять ОС и приложения — закрывает известные уязвимости.
При работе в открытых Wi‑Fi
- По умолчанию считать сеть ненадёжной; не выполнять критичные операции (банкинг, работа с личными документами) без защиты.
- Всегда использовать VPN с хорошей репутацией (например, ProtonVPN, Mullvad) — шифрует трафик и скрывает локальный MITM; при выборе смотреть политику логирования и юрисдикцию.
- Проверять HTTPS и сертификаты сайтов; предпочитать сайты с TLS (браузер должен показывать замок).
- Отключить автоматическое подключение к неизвестным сетям и общий доступ к файлам в системе.
- Использовать личную мобильную точку доступа вместо открытой Wi‑Fi для чувствительных операций.
- На роутере/точке доступа предпочитать защиты WPA$2$/WPA$3$ для собственных сетей.
Защита при использовании облачных сервисов
- Включить $2$FA и использовать уникальные пароли для облачных аккаунтов.
- Проверять и минимизировать доступ сторонних приложений (OAuth‑разрешения).
- Использовать клиентское шифрование для особо чувствительных данных: шифровать локально перед загрузкой (Cryptomator, VeraCrypt, rclone с шифрованием) или выбирать облака с «zero‑knowledge». Обоснование: даже если сервис скомпрометирован или доступ получен по запросу, данные останутся зашифрованными.
- Настроить политику шаринга: ссылки с доступом по ссылке — ограничивать срок и пароль; делиться только нужными правами (только чтение).
- Включить журнал активности и уведомления о входах; периодически ревью разрешений и устройств.
Вторичная защита и восстановление
- Двухфакторные резервные методы (аппаратный ключ, резервные коды в безопасном хранилище).
- Регулярные резервные копии важных данных (локально + в облаке) и проверяемая процедура восстановления.
- План действий при компрометации: смена паролей, отзыв сессий/ключей, проверка логов, уведомление учебного заведения при утечке данных.
Технические дополнительные настройки
- Брандмауэр и отключение ненужных сервисов/портов на устройствах.
- Использовать DNS через DoH/DoT (например, Cloudflare $\mathrm{1.1.1.1}$ или Google $\mathrm{8.8.8.8}$) для защиты от подмены DNS в локальной сети.
- По возможности использовать профиль браузера/контейнера для учётных записей учёбы отдельно от личных данных.
Краткое обоснование приоритетов инструментов
- VPN и HTTPS решают проблему перехвата трафика (конфиденциальность) — критично в открытых Wi‑Fi.
- Менеджер паролей + $2$FA предотвращают захват учётных данных и последующий несанкционированный доступ — фундаментальная защита.
- Клиентское шифрование облака обеспечивает защиту данных даже при компрометации сервиса — последний рубеж конфиденциальности.
- Резервные копии и журналы обеспечивают восстановление и расследование — важны для доступности и реакции на инциденты.
Если нужно — могу сформировать чек‑лист для студентов (короткий пошаговый план) или предложить конкретные бесплатные/условно‑бесплатные инструменты.