Najbolje prakse sigurnosti računa

Svrha

Ovaj priručnik opisuje sigurnosne mehanizme dostupne u INTROSERV klijentskom području i preporučene prakse za zaštitu vašeg računa. Precizira dostupne alate, način njihove uporabe i najbolje prakse za sprječavanje neovlaštenog pristupa i održavanje integriteta računa.

Opseg i publika

Ciljna publika: Novi i postojeći INTROSERV klijenti odgovorni za upravljanje računom, naplatu i administraciju usluga.

Ovaj priručnik pokriva sigurnosne značajke unutar INTROSERV klijentskog područja i prakse za zaštitu osobnog računa. Ne pokriva sigurnost na razini servera, učvršćivanje aplikacija ili sigurnost infrastrukture izvan kontrole pristupa računu.

1. Pregled

INTROSERV klijentsko područje uključuje nekoliko sigurnosnih alata za sprječavanje neovlaštenog pristupa: jake lozinke, dvofaktorsku autentifikaciju (2FA), ograničenja IP pristupa, potvrđene kontakt informacije i bilježenje aktivnosti s pregledom povijesti.

Niti jedna sigurnosna mjera ne pruža potpunu zaštitu. INTROSERV preporučuje korištenje više sigurnosnih alata zajedno za zaštitu vašeg računa. Sigurnosne mjere su kumulativne; svaka dodana kontrola značajno smanjuje rizik.

Sigurnosni slojevi

Sustav sigurnosti računa funkcionira kroz pet komplementarnih slojeva:

• Jaka lozinka - Prva barijera protiv napada grubom silom i punjenja vjerodajnica
• Dvofaktorska autentifikacija (2FA) - Druga barijera koja štiti od krađe lozinke i neovlaštene prijave
• Ograničenja IP pristupa - Kontrola perimetra koja ograničava pristup samo pouzdanim lokacijama
• Potvrda kontakata - Sloj oporavka i provjere identiteta za vraćanje računa, uključujući opcionalni kodnu riječ za potvrdu identiteta tijekom osjetljivih operacija
• Bilježenje aktivnosti - Sloj detekcije koji bilježi operacije računa i omogućuje vam pregled povijesti pristupa radi znakova kompromitacije

2. Sigurnost lozinke

2.1 Zahtjevi za lozinku

Jaka lozinka je temelj zaštite računa.

Lokacija: Postavke > Sigurnost > Promjena lozinke

Jake lozinke moraju uključivati:

• Minimalno 12 znakova (16+ preporučeno za kritične račune)
• Velika i mala slova
• Brojeve i posebne znakove (!@#$%^&*)
• Jedinstvenu lozinku za svaku uslugu (ne koristite iste lozinke)

Primjeri jakih lozinki:

• Zk9$Pm2#Vx7nQ!wL
• Blue$Sky-River-92!

Primjeri slabih lozinki (ne koristite):

• INTROSERV123
• qwerty2024
• mypassword
• 123456789

2.2 Upravljanje lozinkama

Koristite upravitelj lozinki za sigurno pohranjivanje i generiranje jakih lozinki. Upravitelji lozinki šifriraju vaše lozinke lokalno i zahtijevaju samo jednu glavnu lozinku za pristup njima.

2.3 Promjena lozinke

Važno: Promijenite lozinku odmah ako sumnjate na neovlašteni pristup ili ako je mogla biti kompromitirana.

3. Dvofaktorska autentifikacija (2FA)

3.1 Kako 2FA funkcionira

Dvofaktorska autentifikacija jača zaštitu računa zahtijevajući i vašu lozinku i jedinstveni kod generiran aplikacijom za autentifikaciju.

Lokacija: Postavke > Sigurnost > Dvofaktorska autentifikacija

3.2 Omogućavanje 2FA

Za omogućavanje 2FA, slijedite ove korake:

1. Otvorite odjeljak Dvofaktorska autentifikacija u Postavke > Sigurnost
2. Skenirajte prikazani QR kod aplikacijom za autentifikaciju:
• Google Authenticator
• Authy
• Microsoft Authenticator
• Bilo koja kompatibilna TOTP aplikacija
3. Unesite 6-znamenkasti kod generiran aplikacijom
4. Spremite promjene

3.3 Kada je 2FA potreban

2FA provjera je potrebna za prijavu na račun. Nakon autentifikacije, možete pristupiti svim značajkama računa unutar vaše aktivne sesije.

3.4 Kodovi za oporavak

Kada omogućite 2FA, sustav generira kodove za oporavak. Pohranite ove kodove sigurno u slučaju da izgubite pristup svom uređaju za autentifikaciju. Kodovi za oporavak omogućuju vam ponovni pristup računu ako vaš autentifikator nije dostupan.

Važno: Čuvajte kodove za oporavak na sigurnom mjestu odvojeno od vašeg uređaja za autentifikaciju. Kodovi za oporavak daju potpuni pristup računu. Tretirajte ih s istom razinom sigurnosti kao i vašu glavnu lozinku.

4. Kodna riječ

Kodna riječ je opcionalna sigurnosna značajka koja se koristi za provjeru vašeg identiteta tijekom osjetljivih operacija računa i interakcija s podrškom.

Svrha: Kodna riječ štiti od neovlaštenog pristupa čak i ako netko dobije vaše vjerodajnice. Služi kao završni korak provjere identiteta pri kontaktiranju podrške.

Lokacija: Postavke > Sigurnost

Kada se koristi: INTROSERV podrška će zatražiti vašu kodnu riječ samo kada kontaktirate podršku radi vraćanja pristupa vašem računu (zaboravljena lozinka, izgubljeni 2FA uređaj, itd.). To potvrđuje da ste vi vlasnik računa.

Podrška može zatražiti vašu kodnu riječ kada:

• Zahtijevate resetiranje lozinke
• Prijavljujete neovlašteni pristup računu
• Vršite promjene u informacijama o naplati ili plaćanju
• Zahtijevate osjetljive izmjene usluge

Važno: Nikada ne dijelite svoju kodnu riječ ako vas netko prvi kontaktira tvrdeći da je INTROSERV podrška. Legitimno osoblje podrške će je zatražiti samo kada vi inicijate zahtjev za oporavak.

5. Ograničenja IP pristupa

5.1 Svrha

Značajka "Ograničenje prema IP-u" ograničava pristup računu samo pouzdanim IP adresama. Nakon konfiguriranja, možete pristupiti svom računu samo s navedenih IP adresa.

Lokacija: Postavke > Sigurnost > Ograničenje prema IP-u

5.2 Konfiguracija

1. Idite na Postavke > Sigurnost > Ograničenje prema IP-u
2. Dodajte jednu ili više pouzdanih IP adresa
3. Pristup će biti dozvoljen samo s navedenih adresa
4. Svi ostali pokušaji pristupa bit će blokirani

5.3 Kada koristiti IP ograničenja

IP ograničenja se preporučuju ako:

• Pristupate svom računu sa statičke (nepromjenjive) IP adrese ureda ili kuće
• Želite maksimalnu sigurnost za svoj račun
• Vaša organizacija ima korporativnu mrežu s fiksnim IP-om

Napomena: Ne omogućujte IP ograničenja ako se vaša IP adresa često mijenja (na primjer, ako koristite mobilne mreže). Kontaktirajte INTROSERV podršku ako ste blokirani zbog IP ograničenja.

6. Potvrda kontakt informacija

6.1 Potvrda e-pošte

Točne informacije o e-pošti potrebne su za oporavak lozinke, sigurnosna obavijesti i provjeru računa.

Lokacija: Postavke > Opće postavke

E-pošta mora imati status "Potvrđeno" za:

• Zahtjeve za resetiranje lozinke
• Primanje sigurnosnih obavijesti
• Postupke oporavka računa

Za potvrdu vaše e-pošte:

1. Idite na Postavke > Opće postavke
2. Kliknite na poveznicu za potvrdu pored vaše e-mail adrese
3. Dovršite postupak potvrde

6.2 Potvrda broja telefona

Potvrda broja telefona potrebna je za provjeru identiteta tijekom interakcija s podrškom i osjetljivih operacija računa.

Lokacija: Postavke > Opće postavke

Za potvrdu vašeg broja telefona:

1. Idite na Postavke > Opće postavke
2. Kliknite gumb "Potvrdi pozivom" pored vašeg broja telefona
3. Slijedite upute za potvrdu
4. Vaš broj će biti označen kao potvrđen

6.3 Ažuriranje kontakt informacija

Važno: Ažurirajte svoje kontakt informacije odmah ako se promijene. Zastarjele kontakt informacije mogu spriječiti oporavak lozinke i pristup računu.

7. Zaštita od phishinga

7.1 Što je phishing?

Phishing uključuje prijevarne pokušaje lažnog predstavljanja INTROSERV-a ili drugih pouzdanih usluga kako bi se ukrale vaše vjerodajnice, informacije o plaćanju ili 2FA kodovi.

7.2 Prepoznavanje phishing e-poruka

Phishing e-poruke obično pokazuju ove karakteristike:

Crvene zastavice - Vjerojatno phishing:

• Pošiljatelj nije s @INTROSERV.COM domene
• Zahtjevi za lozinke, 2FA kodove ili podatke o kartici
• Umjetna hitnost ("Vaš račun će biti suspendiran u roku od 24 sata!")
• Poveznice ne vode na službenu INTROSERV.COM domenu
• Pravopisne greške, gramatičke pogreške ili neobično oblikovanje
• Neočekivani prilozi ili zahtjevi za preuzimanje
• Generički pozdravi ("Dragi kupče" umjesto vašeg imena)

Zelene zastavice - Autentične INTROSERV e-poruke:

• Adresa pošiljatelja je s @INTROSERV.COM
• Osobni pozdrav koristeći vaše registrirano ime
• Nema zahtjeva za lozinke ili kodove za autentifikaciju
• Poveznice samo na https://INTROSERV.COM
• Profesionalno oblikovanje i pravopis

7.3 Što INTROSERV nikada neće zatražiti

INTROSERV nikada neće zatražiti sljedeće putem bilo kojeg kanala (e-pošta, chat, telefon ili podrška):

• Vašu lozinku računa
• 2FA kodove
• Onemogućavanje sigurnosnih značajki
• Plaćanja putem kriptovaluta, poklon kartica ili bankovnih transfera
• Pristup udaljenom radnom stolu vašeg računala
• Potpune podatke o kreditnoj kartici putem e-pošte ili chata

Ako primite takve zahtjeve, to je prijevara. Odmah prijavite sumnjive komunikacije putem službenog sustava tiketa podrške.

7.4 Provjera poveznica

Prije klika na poveznicu u e-poruci, provjerite njezino stvarno odredište:

1. Postavite kursor iznad poveznice (ne klikajte)
2. Pogledajte stvarni URL u statusnoj traci preglednika
3. Usporedite odredište s navedenim izvorom

Legitimna INTROSERV poveznica:

• https://introserv.com/ (glavna web stranica)
• https://my.introserv.com/ (klijentsko područje)

Phishing - sumnjive domene:

• https://introserv-verification.suspicious-domain.com
• http://my.introserv-secure-login.xyz
• https://intr0serv.com/login

Crvene zastavice u URL-ovima:

• Nešifrirani protokol (http umjesto https)
• Ekstenzije domena osim .com
• Dodatne riječi prije ili poslije "INTROSERV" u domeni
• Skraćivači URL-ova (bit.ly, tinyurl, itd.)
• Pogrešan pravopis ili zamjene znakova (INTR0SERV, INTROSERY, INTROSERB)

7.5 Prijavljivanje phishinga

Ako primite phishing e-poruku koja tvrdi da je od INTROSERV-a:

1. Ne klikajte na poveznice i ne preuzimajte priloge
2. Ne odgovarajte na e-poruku
3. Prijavite e-poruku putem službenog sustava tiketa podrške
4. Ako je moguće, uključite zaglavlja e-pošte

Odmah kontaktirajte INTROSERV podršku: support@INTROSERV.COM

8. Praćenje aktivnosti

8.1 Pregled povijesti računa

Redovito praćenje aktivnosti računa omogućuje vam otkrivanje neovlaštenog pristupa ili sumnjivog ponašanja.

Lokacija: Postavke > Povijest

Odjeljak povijesti prikazuje:

• Nedavne pokušaje prijave (uspješne i neuspjele)
• IP adrese korištene za prijavu
• Vremenske oznake pristupa
• Operacije izvršene na računu

8.2 Što tražiti

Redovito pregledavajte svoju povijest aktivnosti i pazite na:

• Prijave s nepoznatih IP adresa ili lokacija
• Neuspjele pokušaje prijave (više u kratkom vremenu može ukazivati na napad)
• Neočekivane promjene postavki računa
• Neočekivano osiguravanje usluga ili izmjene
• Neobična vremena pristupa (posebno izvan vaših normalnih obrazaca korištenja)

8.3 Odgovor na sumnjive aktivnosti

Ako primijetite sumnjive aktivnosti:

1. Odmah promijenite lozinku (Postavke > Sigurnost)
2. Omogućite 2FA ako trenutno nije aktivan
3. Pregledajte sve nedavne aktivnosti u Postavke > Povijest
4. Provjerite sve usluge (Namjenski serveri, VPS/VDS, Cloud pohrana) radi neovlaštenih promjena
5. Provjerite zapise naplate (odjeljak Fakturiranje) radi neovlaštenih transakcija
6. Ažurirajte kontakt informacije ako su kompromitirane
7. Kontaktirajte INTROSERV podršku putem službenog sustava tiketa s potpunim detaljima incidenta

9. Odgovor na sigurnosne incidente

9.1 Ako sumnjate na neovlašteni pristup

Neposredne radnje:

1. Odmah promijenite lozinku (Postavke > Sigurnost > Promjena lozinke)
2. Omogućite ili osvježite 2FA ako trenutno nije aktivan
3. Pregledajte Postavke > Povijest za sve nedavne aktivnosti
4. Provjerite sve usluge (Namjenski serveri, VPS/VDS) radi neovlaštenih promjena ili pokušaja pristupa
5. Provjerite Naplata > Fakture radi neovlaštenih transakcija ili osiguravanja usluga
6. Ažurirajte kontakt informacije ako su kompromitirane
7. Odmah kontaktirajte INTROSERV podršku

9.2 Pružanje detalja incidenta podršci

Prilikom prijavljivanja sigurnosnog incidenta, uključite:

• Datum i vrijeme prve sumnjive aktivnosti
• Opis onoga što ste primijetili (neovlaštene promjene, nepoznate prijave, itd.)
• Snimke zaslona sumnjive aktivnosti ili zapisa povijesti
• Sve poruke o greškama ili neobično ponašanje sustava
• Nedavne promjene koje ste napravili u postavkama računa
• Je li vjerodajnice ili uređaji bilo dijeljeno s drugima

Tim podrške će istražiti incident i preporučiti specifične korake sanacije na temelju vaše situacije.

9.3 Vremenski okvir oporavka

Rješavanje sigurnosnog incidenta ovisi o ozbiljnosti i opsegu incidenta. INTROSERV podrška će dati prioritet sigurnosnim prijavama i pružiti inicijalnu procjenu unutar standardnih vremena odgovora.

10. Dodatne sigurnosne preporuke

10.1 Zaštita računa

• Ne spremajte lozinke na dijeljenim uređajima ili javnim računalima
• Koristite upravitelj lozinki za sigurno pohranjivanje lozinki
• Pratite nedavne IP adrese prijave u Postavke > Povijest
• Redovito pregledavajte odjeljak Povijest (najmanje mjesečno)
• Koristite IP ograničenja ako imate statični IP kuće ili ureda
• Uvijek se odjavite s javnih ili dijeljenih računala
• Ne dijelite vjerodajnice računa s drugima
• Ne davajte svoje vjerodajnice osoblju podrške (INTROSERV podrška pristupa računima kroz sigurne pozadinske sustave, nikada kroz vašu lozinku)

10.2 Sigurnost uređaja

• Održavajte svoj operativni sustav i aplikacije ažuriranima sa sigurnosnim zakrpama
• Koristite antivirusni i antimalware softver
• Izbjegavajte pristup svom računu s javnih Wi-Fi mreža; koristite VPN kada je potrebno
• Omogućite enkripciju diska na uređajima koje koristite za pristup svom računu
• Omogućite zaključavanje zaslona (PIN, biometrijski ili lozinka)
• Koristite WPA3 enkripciju za svoju kućnu mrežu (ili WPA2 ako WPA3 nije dostupan)

10.3 Sigurnost e-pošte

• Omogućite 2FA za račun vašeg pružatelja e-pošte
• Koristite namjensku adresu e-pošte za kritične usluge (INTROSERV, bankarstvo, kriptovalute)
• Ne klikajte na poveznice u sumnjivim e-porukama; umjesto toga posjetite web stranice izravno
• Provjerite adrese pošiljatelja prije odgovaranja na e-poruke
• Budite oprezni s prilozima e-pošte od nepoznatih pošiljatelja

11. Uobičajene pogreške koje treba izbjeći

Izbjegavajte ove uobičajene sigurnosne prakse koje slabe zaštitu vašeg računa:

• Korištenje iste lozinke za više usluga - Ako jedna usluga bude kompromitirana, svi vaši računi postaju ranjivi. Koristite jedinstvene, jake lozinke za svaku uslugu.
• Pohranjivanje lozinki u pregledniku bez glavne lozinke - Upravitelji lozinki preglednika bez enkripcije nude minimalnu zaštitu. Koristite namjenski upravitelj lozinki s enkripcijom.
• Korištenje jedne privremene ili dijeljene e-mail adrese - Oporavak računa ovisi o pristupu e-pošti. Koristite namjensku, sigurnu e-mail adresu za INTROSERV koju samo vi kontrolirate.
• Privremeno onemogućavanje 2FA ili "samo za sada" - Onemogućena 2FA ostavlja vaš račun izloženim. Ponovno je omogućite odmah nakon situacije koja je potaknula njezino onemogućavanje.
• Pristupanje računu s javnog Wi-Fi-ja bez VPN-a - Javne mreže prate napadači. Uvijek koristite VPN kada pristupate svom računu s javnog Wi-Fi-ja.
• Dodavanje dinamičkih ili mobilnih IP adresa u IP ograničenja - IP ograničenja rade samo sa statičnim (nepromjenjivim) adresama. Mobilni ili mijenjajući IP-ovi će vas zaključati iz vašeg računa.

12. Sigurnosne značajke nasuprot ublažavanju rizika

Sljedeća tablica pokazuje koje sigurnosne značajke štite od specifičnih prijetnji:

Sigurnosna značajka	Štiti od
Jaka lozinka	Napadi grubom silom, punjenje vjerodajnica
Dvofaktorska autentifikacija (2FA)	Krađa lozinke, neovlaštena prijava bez drugog faktora
Ograničenja IP pristupa	Neovlašteni udaljeni pristup s nepoznatih lokacija
Potvrda e-pošte	Pokušaji preuzimanja računa, neovlašteno resetiranje lozinke
Praćenje aktivnosti	Neotkrivene povrede, neovlaštene operacije računa
Kodna riječ	Lažno predstavljanje identiteta, neovlašteni pristup podršci