Пароли здорового человека

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.809
Репутация
62.390
Реакции
277.002
RUB
0
Сегодня мы в очередной раз потрогаем тему защиты критичных данных в дозволенных местах.

Здравствуйте, меня зовут Виктор и у меня больше 200 паролей. Прошли те счастливые времена, когда зажиточный помещик мог обойтись всего 1 ключом от сундука, где лежат все его NFT червонцы. Современный мир диктует новые правила и большинство банков и интернет сервисов с вами не начнут работать, пока не получат верификацию в виде SMS или учетных данных.

Конечно, можно сказать « » и уйти в Сибирь, строить свой солнечный лунапарк без цифровых авторизаций и финансовых оков. Но, во-первых, к вам все равно прилетят на вертолетах и причинят справедливость. Во-вторых, существование в режиме глубокого пролетариата всегда приводит к печальным последствиям (пруфы преподавали на уроках истории в российских школах до 2023 г).

Город Солнца, д. Жаровск Красноярского края

"Город Солнца", д. Жаровск Красноярского края
Что касается тех, кому интернет «нужон» и людей, стремящихся приобщиться к возможностям современного цифрового мира с относительно высокой степенью безопасности, то способы есть и они разнообразны.

Сразу уточню, что следующий текст и методы относятся к созданию защиты чувствительных учетных данных. На povаrenok.ru вы можете заходить как и раньше с паролем из браузера. Но частая ошибка людей в том, что все их пароли хранятся в одной базе, без разделения по уровню безопасности.

Задача: построить на минимальном количестве элементов относительно защищенную, надежную и комфортную систему хранения учетных данных, не впадая в паранойю защиты от глобального заговора интернет-корпораций.

На физическом уровне мы имеем:
  • смартфон
  • компьютер
Они будут выступать в роли носителей софтовой части и резервных копий данных.
Софтовая часть: кроме стандартной программной начинки устройств, нам понадобятся:

  • менеджер паролей
  • аутентификатор
  • почтовый аккаунт с облачным хранилищем (part II)

В течение последних 8 лет я использовал разные менеджеры паролей, включая пятилетний опыт с KeePass, которым активно пользовался на нескольких устройствах, регулярно делая резервные копии локальных баз данных. Не очень удобно, но вроде секьюрно. Но узнав стойкость своего мастер пароля (55 минут брутфорса), меня посетила мысль, что пора снова задуматься о безопасности.

Важным критерием для меня было найти баланс в отношении Простота / Надежность, так как слишком сложная система была бы источником раздражения и стресса.

Начнем с центрального элемента системы - . Можно, конечно, посмотреть в сторону экзотических экземпляров в виде хардварных хранилищ, но удобство эксплуатации и замены при утере девайса выглядит туманно.

f932d11a7ca3d3e853f9b362eb6fbfc1.png

С программными продуктами в этой сфере все обстоит гораздо лучше.

488216b4bffd9cedb953446638303b07.png

Витрина менеджеров паролей богата. Часть из них, к сожалению, завершила продвижение проектов, часть была скомпрометирована, но продолжила развитие и выпуск платных продуктов. Выбор - дело индивидуальное.

Но есть важная и, как оказалось, довольно простая вещь - создание мастер пароля.

e1efd0c0087bb7f36dd8bc1aef6e2e45.png

В начале стоит посмотреть, что из себя представляют вариации ваших текущих паролей, .

Исходя из теории и практики, можно утверждать, что хороший пароль должен быть:
  • мнемоническим (так проще запомнить)
  • максимально рандомным (Password1234 - это 2 секунды брутфорса, без шуток)
  • соответствующим распространенным требованиям (спец символы, цифры, регистры и всякое)


И в этом нам поможет старая добрая транслитерация. Помните, когда мобильные телефоны умели только звонить и 1 sms = 70 символов на кириллице, но 150 на латинице 😉. Тогда мы не догадывались, что в 2023 году это будет золотым скиллом. Банальная смска “Prihodi@Lenina19;-)” - будет чудом криптографии.

Простой пример: Lenina23&Pushkina7

2c1f3f98fb9dcbbe4526c379e3dd3ed0.png

Pion&Roza237
Kot-23@Pes-7

Как вы, наверное, догадались, числа в примерах это отсылки на 23й год и 7й месяц, а еще намек и стимул для периодической смены паролей.

79a08251aca65744b9ae6b2787d3e5a9.png

Думаю суть вы уловили. Попробуйте свои варианты и, если не лень, поделитесь в комментах. Чужая креативность может помочь застенчивым интровертам.

Итак, раз мы теперь уверены в стойкости своих паролей, может стоит сменить пароль на ПК и зашифровать диск встроенными в ОС инструментами (BitLocker например)? Компьютер ведь не просто так называется персональным, а не зашифрованный диск в руках злоумышленника - это полный доступ к вашим кэшам, истории браузеров, сохраненным паролям и прочей ценной информации, которая будет использована против вас.

Счетчик обязательных паролей: 1 (ПК)

Допустим, вы не заленились и у вас есть ПК, на который не стыдно ставить менеджер паролей. Начнем с самого главного - рекавери чек. Ставим клиент, добавляем тестовые данные, синхронизируемся с облаком и удаляем клиент с устройства. Затем ставим на другое устройство и проверяем, как прошло восстановление. Если все хорошо, то выпускаем в прод и начинаем эксплуатацию.

Теперь еще интересный момент, создаем папку/директорию на ПК со скучным названием , экспортируем зашифрованный бэкап из менеджера паролей, переносим файл в папку и архивируем ее с шифрованием (почти любой архиватор это умеет). В качестве дополнительного пароля можно использовать свой пароль от ПК. Закидываем архив на смартфон. А папка нам еще пригодится во второй части статьи (part II).

Счетчик обязательных паролей: 2 (+менеджер паролей)

Теперь у нас есть бекап менеджера паролей в облаке компании-разработчика, на нашем ПК и на смартфоне. Но если смартфон на PIN пароле? Срочно исправляем!
Зачастую смартфон хранит больше критично важной информации о владельце, чем личный ПК. Если вы планируете использовать менеджер паролей на смартфоне совместно с 2FA клиентом, то это устройство дает полный доступ ко всем вашим цифровым данным. Поэтому убедитесь, что версия вашей ОС поддерживает шифрование памяти устройства и оно активировано.

Откажитесь от использования PIN для блокировки экрана, в некоторых смартфонах взлом такого пароля занимает . Используйте сканер отпечатка пальца, это просто более удобный и защищенный вариант, чем PIN. В качестве резервного пароля используйте пароль от ПК. Если предпочитаете графический паттерн, его тоже сложнее взломать, чем PIN, но перед созданием своего паттерна пробегитесь глазами по на эту тему.

Ну, вроде, mission accomplished, и почти да, но нет 😈. Раз уж мы строим систему для защиты критичных данных, надо бы добавить следующий слой защиты, например . Такая связка из независимых устройств хранения и динамической генерации паролей будет достаточной мерой защиты для большинства пользователей.

fbc064583708dcd161eb0f3c3a888eb0.png

Есть много аппаратных вариантов 2FA и они по безопасности перед софтовыми, но в некоторых странах и городах их проблематично достать, а при потере или поломке ключа, начнется интересный квест по восстановлению доступов.
Выбирая программный аутентификатор по привлекательности иконки (а сейчас ваш мозг именно это делает), не забудьте почитать про эксплуатационные свойства, например, отсутствие привязки к номеру мобильного телефона, так как восстановление физической или электронной симки вне страны размещения оператора… 🥴 вы уже представили этот аттракцион с потерянным телефоном во время отпуска за границей.

42f7442a37a0196844e9ff1ae253a446.png

Теперь начинается часть посложнее. Самый важный критерий аутентификатора - это… (реально, подумайте 15 секунд, как будет работать дополнительный слой независимой авторизации и где могут возникнуть персональные сложности).

По моему мнению, самым важным моментом будет процедура восстановления, потому что без кодов 2FA, значительная часть паролей будут бесполезна.

Скорее всего устройством 2FA будет выступать смартфон, а он имеет свойство теряться, ломаться, красться и все эти кейсы нанесут вам значительный моральный вред. Поэтому не забываем про необходимость создания бэкапов 2FA. Делаем рекавери чек, аналогично процедуре в описании менеджера паролей. Если процедура не удалась, разбираемся или выбираем другой клиент. Важный момент: при утере доступа к 2FA сервису, все привязанные авторизации станут недоступны, поэтому обязательно убедитесь, что вы можете полностью восстановить работу 2FA клиента на другом устройстве.

94dfd9621d6b9a23a10a5e9287be1155.gif

Если все ОК, то проходимся по своим важным сервисам и активируем 2FA. По завершению, создаем зашифрованный бэкап конфигурации клиента, используя локальный пароль от ПК и сохраняем копии на своих устройствах.

Итак, наши шифрованные архивы хранятся на устройствах, находящихся под защитой паролей, и тут действует двойная и даже тройная защита (в случае бэкапа менеджера паролей).

Все эти манипуляции с бэкапами могут показаться излишними, но практика показывает, что комбинации жизненных ситуаций могут выйти за пределы любых планов и локальный файл конфигурации может спасти ваш день или неделю или весь баланс на крипто кошельке.

Немного итогов: теперь у нас есть 2 защищенных устройства, которые содержат клиенты и бэкапы для обеспечения удобного доступа к нашим данным с двухфакторной авторизацией и проверенной возможностью восстановления клиентов.

Поздравляю тех, кто дочитал до этого места! Правильно реализованная система защиты данных сделает ваши волосы гладкими и шелковистыми.

Во второй части статьи мы поговорим о добавлении комфорта в процесс хранения наших данных авторизации. Запомним еще 1 пароль (обещаю, последний) и самое важное - настроим защищенную автоматическую систему передачи всех наших доступов на случай . Что-то вроде цифрового завещания, так как ваши близкие люди могут не иметь представления о ваших активах в банках и крипто валютах и никакие решения судов и выписки нотариусов им не дадут эти доступы, если вы не позаботитесь об этом заранее.

Астахов & OceanGate Titan










 
храню пароли в lastpass / bitwarden с 2015го. Полет нормальный
 

Пароли здорового человека (part II)​


Итак, в part I мы разбирали жизненный цикл homo sapiens, который уже дошел до знания, как обращаться с паролями, умеет их централизованно хранить и теперь ему надо научиться передавать это знание потомкам на тот случай, если его догонит какой-нибудь лев-тигар. Ведь именно передача полезных знаний между поколениями позволяет социуму избегать повторения простых ошибок, например хранить мастер пароль под клавиатурой и верить новостям из телевизора.
Но в начале, надо обсудить еще один способ восстановления доступа к своим данным аутентификации, на самый крайний случай: если потеряны ВСЕ устройства с бэкапами.
c76a4a9d5659d605226404e1d15777d0.png

Нас спасет облако! И как всему в этой статье, лучше бы ему быть цифровым!
400ba26a6e2cd617edc89c5c7af513a6.png

При выборе конкретного экземпляра, желательно остановиться на внушающем доверие провайдере. Единственная важная для нас функция - хранение шифрованного архива с бэкапом 2FA клиента или с одноразовым кодом восстановления доступа на случай утери 2FA. Потому что без него, доступ к менеджеру паролей не получить.
Регистрируемся с паролем от нашего ПК, потому что данные в хранилище сами по себе не так критичны, чтобы закрывать доступ к ним новым уникальным паролем. Копируем в облако зашифрованный архив с бэкапом аутентификатора. Опять же, важные для нас сервисы закрыты двухфакторной аутентификацией и компрометация этого фактора не критична, если у злоумышленника нет логинов и паролей.
В чем суть колдунства - теперь у вас появился независимый ресурс для восстановления 2FA и менеджера паролей, даже если все физические носители утеряны. Случай, конечно, редкий, но и этот риск теперь закрыт.
Так же хочется напомнить, не оставляйте одновременно телефон и лэптоп вне зоны своего внимания и в зоне досягаемости посторонних людей.
Есть много примеров, когда во время путешествий у людей все ценные гаджеты лежат в одном месте и как бы под пристальным надзором владельца, но периодически я слышу от знакомых эти одинаковые истории с общей сутью: “Рюкзак с телефоном и лэптопом был безвозвратно перемещен в неизвестном направлении личностью без особых примет”.
063bbcf79a5f6b23b69cecc1401f039b.jpeg

В поездках это может стать критичной потерей, например, если ваша банковская карта привязана к мобильного номеру, а телефон с номером “безвозвратно телепортировался”, то покупка билетов станет сложной задачей по поиску агентства, которое купит вам билеты за наличку или по карте за адекватную цену, и отдых приобретет оттенок квеста.
Поэтому, очень желательно, перевести аутентификацию банковского приложения на логин, пароль и 2FA, а подтверждение операций на push сообщения вместо sms.
Тогда при установке банковского приложения на новый смартфон, вы не упретесь в отсутствие заветного sms сообщения от банка. Но как обычно, протестируйте возможность работы мобильного банка на другом устройстве, потому что у разработчиков приложения может быть другое представление о необходимости авторизации через sms в случае смены устройства.
Вообще, в поездках смартфон с интернетом это полноценный помощник и цифровой швейцарский нож, который может вас выручить в сложных ситуациях, поэтому о его сохранности стоит думать в первую очередь.
bb9aa3703080917da58fd174c4cdb2c6.png

Вернёмся к главной теме - созданию автономного цифрового завещания. Пока вы читаете эту статью, вам, скорее всего, не кажется это чем-то важным и обязательным, однако, в мире около 41000 людей ежедневно умирают от причин, не связанных с естественной смертью (* по данным ВОЗ). Вы, очевидно, не один из них, но простите за факт, обязательно будете ¯\(ツ)/¯.
Что представляет эфемерный человек, когда думаете о материальных ценностях и финансовых накоплениях - конечно же старые-добрые . Теперь представим, что у человека, живущего в 21 веке, значительная часть собственности может храниться в неявной форме: акции и фьючерсы на брокерских счетах, вклады в иностранных банках, блоги и медиа-ресурсы с доходами от всяких “ ”, криптовалютные активы и т.п. Но в таком варианте есть 1 нюанс - все активы, о которых не знают ваши близкие люди, станут недоступными, если вы не предусмотрите их передачу в случае вашего перманентного отсутствия по случаю смерти например.
Поэтому именно сегодня и сейчас самый лучший момент для создания современного способа это сделать.
Пропущу описание всей бюрократии, которая становится препятствием при изменении прав собственности даже внутри одной семьи в ходе наследственного дела, думаю вы все представляете этот архаизм и персонажей, которые являются его лицом. Конечно, после смерти, человека уже мало что волнует, но лично мне бы хотелось, чтобы мои близкие люди не сталкивались с этой далекой от эффективности системой и ее исполнителями. Поэтому, то что можно перевести в цифровую форму и передать без посредников в виде чиновников-бюрократов, я стараюсь хранить в цифровом виде. Подробнее о переводе материальных ценностей в цифровую форму я напишу в следующей статье, ставьте лайки, колокольчики и будет вам счастье.
Итак, из part I вы узнали, как создать надежную систему хранения своих данных аутентификации и защитить ее удобным способом.
Теперь ее можно сделать ещё более полезной, подключив возможность передачи доступов указанному лицу (или лицам) при несчастном случае.
Например, можно настроить опцию, по которой доверенному лицу будет предоставлен доступ к вашему аккаунту в случае:
  • неактивности вашего аккаунта в течение нескольких месяцев
  • запроса доверенным лицом доступа, если владелец не отменит этот запрос в течение заданного интервала времени.
Сервисов, предоставляющих вариации такой функции не мало (Google, LegacyBox, Everplans, SafeBeyond, Afternote) и многие популярные облачные хранилища имеют что-то подобное в платных и бесплатных версиях.
Важно: любой из выбранных вариантов должен быть предварительно проверен на практике до запуска в полноценную эксплуатацию!
Вариант 1 (самый простой)
Использовать менеджер паролей, 2FA, почту и облачное хранилище в одной экосистеме. Например, Google, позволяет сделать это бесплатно. Самое главное, у этого сервиса есть функция Inactive account manager.
4c3f8f0149a64bc0b159c75e6890150e.png

В случае неактивности пользователя 3, 6, 12 месяцев, указанному адресату будет направлено письмо с ссылкой на доступ к аккаунту неактивного пользователя. Не забудьте сделать шифрованный архив с инструкциями по восстановлению доступов к менеджеру паролей. При , в сообщении укажите расположение, имя архива для восстановления и пароль к нему, а ещё лучше п о к а ж и т е доверенному человеку, как делать восстановление, а в сообщении передайте только актуальный пароль к архиву.
Таким образом, в своей экосистеме вы можете обойтись всего 2 паролями: 1 от облачного аккаунта и ещё 1 от физических устройств и резервных архивов, где будут храниться коды для восстановления 2FA аутентификатора, которым закрыт основной аккаунт.
Из плюсов: самый простой, комфортный и бесплатный вариант (* на авг. 2023).
Из минусов: все критичные доступы завязаны на одном пароле и одном провайдере услуг. Google и другие цифровые магнаты, кстати, не скрывают, что с правительством, если оно попросит, поэтому важные файлы стоит шифровать и держать их вне зоне контроля своего “заботливого” государства. Также функционал у гугловых приложений самый минимальный, например менеджер паролей работает только в браузере и не предусматривает записи комментариев к элементам, а аутентификатор не умеет работать с локальными бэкапами. Ещё адрес доверенного лица тоже должен быть гугловым. Но все базовые задачи этот вариант закрывает.
Вариант 2.
У многих менеджеров паролей есть встроенный сервис Emergency access (обычно платный), благодаря которому, доверенный контакт может запросить доступ к аккаунту и через заданное время получить электронное письмо с доступами, если владелец не отменит этот запрос.
aaf8b9929debde6c28dae462b6047ca9.png

Также в менеджер паролей может быть добавлена функция аутентификатора 2FA (обычно платная), что делает его единой точкой входа для всех учетных записей даже с 2FA авторизацией. В таком случае, ваше доверенное лицо в одном аккаунте получит полный доступ к сохраненным сервисам.
Из плюсов: реализация очень простая, богатый функционал.
Из минусов: скорее всего ПО будет платным. Выбор менеджера паролей в данном случае должен учитывать наличие функции Emergency access.
Вариант 3.
У вашего менеджера паролей нет сервиса Emergency access и/или для второго фактора используется независимый аутентификатор.
Так как Emergency access для аутентификаторов штука редкая, будем считать, что вам надо передать 2 аккаунта.
Здесь нам снова помогут облачные сервисы с функцией Inactive account manager или Emergency access, выбор оставляю за вами.
Делаем папку с бэкапами менеджера паролей и аутентификатора, добавляем описание как это дело установить и использовать. Из папки делаем шифрованный архив и добавляем его в облако, а дальше настраиваем отправку доступа доверенному лицу, как в варианте #1.
Из плюсов: можно построить на лучших бесплатных/платных решениях с богатым функционалом. Из минусов: Надо будет запомнить ещё 1 пароль от облака.
Счетчик обязательных паролей: 3 (+облачный Inactive account manager).
Мне лично нравится факт, что 3 разных сущности закрыты различными паролями.
a6f96e385acdddd4430eb1452f87e071.png

Придержите ваши кольты, ковбои, напомню, в было достаточно доступно описано как придумать короткие, простые для запоминания и при этом криптостойкие пароли, так что здесь не должно возникнуть проблем, однако, вы всегда можете сократить это число, используя один пароль на всех сервисах 🤡.
Конечно, все специалисты по информационной безопасности могут заблуждаться, когда крайне не советуют так делать, а вы всегда сами лучше знаете сколько паролей должно быть в вашей жизни, так ведь?!
Что ж, теперь у вас есть всё для успеха и никакой мифический коллективный Запад этому не помешает.
Summary: мы обсудили варианты создания, надежного хранения и передачи доступа ко всем нашим актуальным данным аутентификации, в том числе в случае непредвиденной жизненной ситуации. В чем польза этих электронных приседаний?! Легкость создания и редактирования завещания, прямой доступ к активам для доверенного лица, полный контроль над распределением ваших ресурсов без посредников, лишних глаз, рук и вопросов со стороны посторонних людей в казенных кабинетах.
Я благодарен всем, кто прочитал эту статью и серьезно задумался или даже уже внедрил те инструменты, которые в ней приводились. Очень надеюсь, что вы нашли для себя что-то полезное и, возможно, поделились этим с друзьями, ведь друзья это самая важная ценность в жизни.









 
  • Теги
    защита пароли
  • Сверху Снизу