Как защитить свой аккаунт от взлома
Постоянно встречаю сообщения из серии "мою почту взломали", "мой телеграм-канал увели", "получили доступ к моему личному кабинету в банке" и так далее и тому подобное. Во многих случаях люди сами в этом виноваты: они используют крайне примитивные, легко подбираемые пароли, а потом удивляются, что к их конфиденциальной информации кто-то получил доступ или же кто-то увел их аккаунт.
О важности использования устойчивых паролей и о необходимости использовать разные пароли для разных аккаунтов - много раз говорилось, о необходимости использования менеджеров паролей (тем более, что это очень удобно и быстро) - много раз говорилось, а в этой статье давайте поговорим о более продвинутых и намного более современных средствах защиты, тем более что современные тенденции аутентификации - уход от паролей как таковых и заменой их ключами доступа (passkey), связанными с биометрией (отпечаток пальца или скан лица), со специальным программным обеспечением или же со специальными физическими носителями (флешками). Пока это все обычно работает как дополнительные средства проверки, но в обозримом будущем оно станет основным средством доступа.
Двойная аутентификация
Уже достаточно давно многие сервисы стали предлагать дополнительное средство защиты вашего аккаунта, которое называется "двойной аутентификацией", а большинство банков и вовсе в обязательном порядке требует использования такого вида защиты, и без него вас в личный кабинет просто не пустят. Отправка уникального кода по SMS на ваш телефон - именно один из таких средств двойной аутентификации, и это средство было бы очень надежным, если бы люди доверчиво не сообщали эти коды всяким телефонным мошенникам.
Но тут уж, что называется, каждый сам себе - злобный Буратино: до сих пор масса людей пишут пин-код от банковской карты фломастером на самой карте - чтобы не забыть. А когда у них эту карту уводят и со счета снимают все деньги в банкомате - бегут в банк и требуют вернуть украденные у них деньги. Излишне говорить, что в таком случае совершенно точно никто ничего не вернет.
Так вот, отправка кода по SMS - далеко не единственный и уж точно не самый удобный способ аутентификации, и сейчас многие сервисы предлагают различные альтернативные варианты.
Приложение с генератором кодов
Это значительно более удобный способ, чем аутентификация с помощью кода по SMS. Как он работает? Вам нужно в соответствующем сервисе указать, что вы хотите добавить идентификацию с помощью приложения - такой способ поддерживают, например, Google, "Госуслуги", большинство платежных систем, типа PayPal, некоторые социальные сети (тот же VK) и так далее. Сервис при этом сгенерирует для вас специальный QR-код.
После этого вам нужно выбрать приложение, которое вы будете использовать для аутентификации (на самом деле их существует немало), установить его на смартфон, залогиниться (или зарегистрироваться, если вы его установили в первый раз), после чего в приложении отсканировать этот QR код, и после этого приложение будет готово работать с данным сервисом. Каким образом? При входе в сервис после обычного логина-пароля сервис будет требовать специальный одноразовый код, генерируемый приложением для данного сервиса. Код этот действует только 30 секунд, после чего приложение генерирует новый код.
Выглядит это как-то так (для Google Authenticator): название приложения (учетка Google, PayPal, VK, Госуслуги и так далее), под ним - одноразовый код из шести цифр, справа - временная диаграмма, показывающая, сколько примерно секунд осталось до генерирования нового кода.
Изображение отсюда
Наиболее часто используемое приложение для аутентификации - Google Authenticator: он есть для Android и для iOS. Регистрация в Google Authenticator - ваша учетная запись в Google, однако он может работать и без привязки к аккаунту: просто при использовании аккаунта приложение будет хранить привязку к соответствующим сервисам в вашей учетной записи, и если вы, например, поменяете телефон, то вам не придется заново перепривязывать сервисы к данному приложению: достаточно просто установить его, залогиниться - и все связи будут восстановлены.
Такой способ аутентификации значительно удобнее, чем код по SMS. Кроме того, представьте себе, что у вас в поездке украли телефон с симкартой. Всё, никакие коды по SMS вы получить не можете! Но если вы использовали приложение-аутентификатор - просто купили новый телефон, установили приложение, залогинились - можно пользоваться.
Однако замечу, что у Google Authenticator есть один заметный минус. У него почему-то нет защиты от входа в приложение. То есть вы его установили, залогинились - и всё: при запуске приложение сразу выдает коды. Как-то это не очень безопасно, как мне кажется. Нет, понятно, что в современных условиях обязательно нужно использовать блокировку смартфона, чтобы к его содержимому в случае утраты не получил доступ посторонний. Но все-таки что мешало хотя бы опционально сделать дополнительную защиту от входа в это приложение - я не понимаю.
Какие еще существуют приложения для двухфакторной аутентификации? Их много, я приведу только два из них, наиболее используемых.
Microsoft Authenticator - популярное приложение для двухфакторной аутентификации, которое ориентирована на использование с продуктами компании Microsoft, но также поддерживает работу с любыми другими приложениями с двухфакторной аутентификацией, а кроме того, может хранить логины/пароли, платежную информацию, адреса и проверенные идентификации. И оно по умолчанию при запуске требует идентификации: код, отпечаток пальца или сканирование лица.
Authy - известная альтернатив Google Authenticator. Существует для разных платформ, подходит для ПК, имеет возможность сохранять все данные в облаке, есть защита при входе.
Физические ключи безопасности
Во многих случаях можно использовать специальные физические (аппаратные) ключи безопасности, которые обычно представляют собой флешку, вставляемую в USB-порт ПК (ноутбука, планшета, смартфона). Также это может быть карточка с чипом NFC, которую нужно прикладывать к приемнику NFC (например, смартфону).
Они работают по стандарту открытой аутентификации U2F, продвижением которого занимается альянс FIDO, и эти ключи нередко называют "ключами FIDO".
Мы сейчас не будем углубляться в технические тонкости того, как это все устроено, посмотрим только на то, как это все выглядит на практике.
Такие ключи безопасности выпускают как крупные корпорации - Google, Apple, - так и компании, специализирующиеся на выпуске подобных устройств - например, Token2 (я сам их ключами пользуюсь), Yubiko (кстати, в Яндекс.Маркете по запросу "аппаратный ключ аутентификации" практически только ключи Yubikey и выдаются), Thetis, SoloKeys и другие.
Вот как это работает на примере ключа от Google - Titan Security Key.
Упаковка.
В комплекте: ключ под порт USB-A, переходник под Type-C, руководство пользователя.
Давайте подключим этот ключ в качестве дополнительного способа двухфакторной аутентификации в аккаунте Google. (Защита аккаунта Google, если в нем хранятся контакты, и другие данные, а также если к нему привязаны всякие сервисы - это очень важно!)
Заходим в управление аккаунтом Google. Там заходим в раздел "Безопасность", там находим "Двухэтапная аутентификация". Включаем ее, если она не включена.
Гугл предлагает различные альтернативные способы двухфакторной аутентификации: письмо на почту, SMS на номер телефона, подтверждение на доверенных устройствах (смартфонах, планшетах), аутентификация через приложение (то, что мы только что рассмотрели выше), резервные коды (распечатанные на бумаге) и наконец - через электронный ключ. Вот этот вид - электронный ключ, - мы и выбираем.
Там выбираем "Создать ключ доступа" и в появившемся окне нажимаем "Использовать другое устройство".
После этого появляется вопрос системы безопасности Windows, где нужно выбрать для сохранения ключа доступа - ключ безопасности. Сам ключ предварительно нужно вставить в порт USB.
Система предложит задать PIN-код для ключа безопасности (дополнительный уровень защиты). Излишне говорить, что этот PIN-код должен быть достаточно надежным (например, у ключей Token2 есть специальная серия ключей PIN+, которые просто не дадут задать слабый PIN).
После этого надо будет коснуться площадки ключа безопасности.
Ну и все - Google сообщил, что на данном электронном ключе создан ключ доступа, и с его помощью можно подтверждать свою личность.
Аналогичным образом этот ключ доступа может быть использован для любых сервисов, поддерживающих использование ключей безопасности FIDO.
Вы спросите, а что будет, если мне срочно нужен будет доступ к какому-то сервису, а ключа этого нет под рукой? Ну так практически любой сервис поддерживает самые разные способы доступа при двухфакторной аутентификации: подобный ключ доступа - альтернативный вариант. Нет под рукой ключа - через приложение с одноразовыми кодами, через SMS и так далее.
Ключ - просто более быстрое и более защищенное средство идентификации. Например, PayPal при включенной двухфакторной аутентификации отправляет SMS и требует ввода кода и при входе в личный кабинет (приложение) и почти при каждом переводе денег. Добавляете в качестве альтернативного средства подтверждения вот этот электронный ключ - больше никакой возни с SMS и вбиванием кодов, просто прикасаетесь к этому ключу при запросе - и все. Оказались где-то без ключа - выбираете отправку SMS.
В качестве заключения
Везде, где дело касается важных конфиденциальных данных - ваши контакты, заметки, документы, финансы - необходимо использовать двухфакторную аутентификацию (дополнительную проверку), и для этой аутентификации задавать различные альтернативные варианты проверки.
Хороший современный способ двухфакторной аутентификации - программа-генератор одноразовых кодов.
Еще более удобный и хорошо защищенный способ - использование аппаратного ключа безопасности.
Не пренебрегайте этими способами, не давайте злоумышленникам шанс получить доступ к вашей конфиденциальной информации!
Плюс, в отличие от программ MS и Google, Yubico Authenticator не привязан к устройству - все OTP будут генерироваться и на другом девайсе, главное, чтобы ключ был.
Если на несколько, то на сколько?
Рекордсменом по количеству акаунтов на ключе является серия PIN+R2 от Token2: 300 акаунтов и можно управлять акаунтами по-отдельности (удалять любой ненужный, без ущерба другим записям на этом ключе):
www.token2.com
OnePlus: Настройки - Утилиты - Блокировщик приложений
Samsung: Настройки - Биометрия и безопасность - Папка Knox
И добавить туда Google Authenticator
Разве это так работает? Если на новом телефоне залогиться в гугл, то автоматически весь ваш список с кодами не появятся, насколько я помню.
Вот правило, если интересно:
"§ 77. Пишутся через дефис:
<… >
3. Сложные слова, первым элементом которых является числительное (см. § 76, п. 3), если это числительное написано цифрами, например: 25-процентный, 10-летний, 35-летие.
4. Сложные порядковые числительные, если первая часть их написана цифрами, например: 183-миллионный, 5-тысячный."
therules.ru
Если написать "6-значные" буквами ("шестизначные"), то увидите, что это целое слово, поэтому нет смысла разбивать его пробелом при использовании числа 6.
Мне нужно чтобы у 2-факторного было два метода доступа, как минимум. Один ключ носить с собой, а второй в сейфе или банковской ячейке 😂
Ладно еще, когда при включении 2FA дают коды восстановления, которые можно распечатать или скинуть на другую почту и т.п.
А если нет? 😄
Authy хранит данные в облаке в зашифрованном виде, т.е. если я устанавливаю на новый тел, мне не нужно каждый аккаунт снова авторизовывать.
Судя по тому, что я вижу по WinAuth, это только локальное. Потерял БД и прощай все учётки.
Да и зачем переезжать? Сервис же не отключают.
Цитата "Starting March 19, 2024, Twilio Desktop Authy apps will reach their end of life (EOL). Beyond this date, you can access most of the desktop features and functionality in the mobile Authy apps.
You may have previously seen an August 19, 2024, end of life (EOL) date for Twilio Desktop Authy apps. This date has been moved up to March 19, 2024." Конец цитаты.
С возрастом меняется, можно днём (если работа позволяет, конечно) перехватить те самые дополнительные полтора часа (4.5 + 1.5), но, конечно, перед тем не есть "плотно".
Говорят, сэр Уинстон придерживался именно такого образа жизни. И таки немало прожил!
Был, конечно, прав, но её любовник сам об этом вовремя узнал и попросту купил любовнице другой телефон, на совсем-совсем "левое" имя; вычислить было невозможно.
Ай да я, ай да не при маме будь сказано!
И главное, это работает везде. У меня был эксперимент - я попросил своих студентов запросить дубликат номера соседа вообще без предъявления документов. Из 10 попыток в трех это удалось. Это было в Женеве (операторы - в 2 случаях Swisscom, в одном Sunrise).
В Америке умер родственник, его iPhone передали дочери (в другой стране) и она хочет им пользоваться.
Телефон удалось разблокировать (код был элементарным, просто подобрали, как я поняла из пересказа). Но телефон залочен у американского оператора. Можно ли в этой ситуации сделать unlock?
Деньги - это такие продолговатые бумажки. Меня так на юрфаке научили потом 😉
дочку из России сюда вряд ли вообще пустят
дочку из России сюда вряд ли вообще пустят, да и хрен она узнает, что я тогось. Kот разве что претендент, но жена его и так не оставит.
Мне проще, у меня один наследник первой очереди, могу спокойно помирать без завещания. 💀
Надо бы что-то перевести в британские фунты и шведские кроны, но я не настолько богат 😄
Возможно, что-то изменилось за прошедшие годы, я не слишком-то слежу за законами в РФ (если там вообще сейчас есть понятие "закон", конечно).
Дело в том, что примерно 12 лет назад одна женщина обратилась ко мне за консультацией; и не только ко мне, а и к ещё одному общему знакомому, из нашей ЧГК-тусовки, Юра высококвалифицированный юрист
Она хотела в завещании (бедная девочка; рак, не дожила и до сорока, мы и не знали, что счёт пошёл не на недели, на дни...) лишить прав наследства своего отца. Не буду углубляться в подробности, это было её дело, я не стану об этом говорить. Суть в том, что мы не нашли лазеек; наследник первой очереди.
In the United States, children may be disinherited by a parent's will, except in Louisiana, where a minimum share is guaranteed to surviving children except in specifically enumerated circumstances.
In England and Wales from 1933 to 1975, a will could disinherit a spouse; however, since the Inheritance (Provision for Family and Dependants) Act 1975 such an attempt can be defeated by a court order if it leaves the surviving spouse (or other entitled dependent) without "reasonable financial provision".
Не подколка, просто стало интересно. Ибо почти везде есть те наследники, которых вычеркнуть в наше время практически невозможно, времена Айвенго прошли.
При наличии доступа к аккаунту оператора и знании персональной информации, типа ССН.
Вот еще вдогонку (сейчас Chromium эту дыру прикрыл, но она около года существовала). И никто не гарантирует что подобного рода дыр сейчас не существует.
Вот пример фальшивого окна входа в акаунт Microsoft. Тут даже самая внимательная осторожность не поможет.
Протон не даст добавить фидо ключ, если нет СМС или OTP (идиотизм)
Paypal (у меня во всяком случае) не дает добавить два ключа (идиотизм еще больший).
очень рад за вас, что секретов у вас нет, прятать ничего не нужно а то, что нужно, надежно защищено. К сожалению, далеко не все могут похвастаться таким счастьем.
PS:
помните поговорку от врачей о том, что нет здоровых а есть недообследованные? 😉.
А я тот самый неуловимый, да; Алекс, с которым мы ещё времён почти умершего ныне ЖЖ т.н. "взаимные френды" лет уже, наверное, 15 (больше, но уже не помню) подтвердит, что у меня в профайле и имя настоящее, и образование, и год рождения, разве что дату не поставил, в определённом возрасте день рождения уже не столько праздник, сколь повод для самокопания, не хочется получать поздравления.
Я же говорю - не надо усложнять жизнь. Без нас желающих полно 😄
ну конечно же никак, если вы их купили за нал и положили дома 😉
ну или используете для разговоров с детьми. или с женой. вы будете неуловимы, пока не будете интересны кому либо, кто располагает ресурсами вас искать.
Если же вы стали интересны - то для того, что бы остаться неуловимым вам нужно кроме покупки телефона использовать немалый ряд организационных мероприятий, уменьшающий риск вашей идентификации. Уменьшающий - но не сводящий к нулю.
www.tracfone.com
Тут же, в этом же магазине покупаете карточку оплаты; за 20 долларов у вас и сколько-то там интернета, и 120 минут, которые можно использовать в течение трёх месяцев. И снова платите наличными.
Активируете; надо, как в "мгновенной лотерее", просто с карточки монеткой или ногтем стереть защитную хрень серебристого цвета, потом ввести это в телефон там, где "add airtime".
Ну и как вы меня вычислите?
У меня таких телефонов было штук десять минимум; нет-нет, не для криминала 😄
Я их покупал моим гостям, что сюда прилетали, чтобы им на роуминг не тратиться, а мало ли потеряемся, не всегда же планы совпадают; кому-то в музей охота, а мне работать надо; удобно - созвонились, встретились, поехали ужинать.
Потом моим гостям и отдавал, как сувенир.
Но подстраховываться недурно научили.
Мне проще. Я вообще за простоту.
Клиенты у меня люди обычно приличные, так что скрывать от "товарищей майоров" что российских, что европейских, что местных, американских, особо нечего. Даже налоги плачу! Я стараюсь работать именно в "белом поле", но если надо залезть в "серое", так на то как раз и существуют мобильники, что покупаются в Волмарте за ничтожные деньги и именно за наличные. Проследить карточку невозможно по определению, и, кстати, меня это немного пугает. Я-то, повторю, человек законопослушный (это выгоднее в конечном счёте), но факт того, что такой телефон может купить любой на всё голову больной террорист/наркоман/садист/педофил, далее по списку, меня не радует. Как и почти свободный доступ к оружию. Но что поделать, мир не совершенен.
Да, а создать аккаунт в (условно) скайп - дело нескольких минут. Если что-то совсем важное и секретное, то можно и лаптоп купить; старенький, лишь бы работал; из любого кафе позвонил, чай, не Россия, паспорт не просят, потом дрелью в него потыкал и выбросил. Тут дело только в цене задачи.
Что, повторю, тоже не очень-то и нравится. Мало ли какой "Шакал" из известного фильма такое делать будет.
В общем, достаточно тонкая грань между свободой и безопасностью.
Можно зашифровать что-то через интернет-программу, как советует Алекс. Более того, спасибо ему за то, что он предлагает программы очень умные; я могу об этом судить по той простой причине, что я, сам в этом почти ничего не понимая, уже без малого тридцать лет знаю человека, который профессионально занимается именно компьютерной криптографией. И мой тёзка, после всем понятно чего живущий в одной европейской стране, сказал - да, это хорошо. Взломать-то можно что угодно, вопрос только в сумме и времени. Ради тысячи долларов никто год напрягаться не станет. Ради миллиарда - да, но там другие системы и иные методы.
А мой метод прост; книги и мнемоника.
Могу прямо здесь рассказать пароль одной моей кредитки, ещё российской. И банк тут этот не работает, да и срок кредитки давно истёк, так что я ничем не рискую.
Запомни, сказал я жене, словосочетание "Валентинов день"; пароль был, естественно, 0215; не 0214, а 0215, ибо надо добавить единицу. Ну и как вы это вычислите, если не перебором?
Ну и денег на той карте было не так много. "Горсть мусора получит тот, кто кошелёк мой украдёт" (с) 😄
P.S. И - да; на моём лаптопе, откуда я набираю данное сообщение, нет доступа к моим банковским счетам 😄
PS:
Про смартфоны я исключительно по теме безопасности паролей.
У меня их три и их разгадать могут только очень близкие мне люди, а таких мало, я мало кому доверяю. Да и то трудно; как совместить имя кота с номером дома, учитывая, что кот по тому адресу никогда не жил?
Все пароли знает тоже жена.
Вру, не все 😄 Но она знет код ячейки в банке, где лежит некая бумажка, а там уже всё, но и то там зашифровано почти по Гашеку. Тот же метод был и у Штирлица, и в "Вариант "Омега".
Без точного знания не вскрывается априори.
Из меня, конечно, та ещё Инна Чурикова в роли Жанны д'Арк, да и моложе я, да и вообще я таки мужчина. Но.
А зачем вообще доверять непонятному устройству под названием "смартфон" все свои данные?
Фильмы я смотрю на большом экране, книги, если в электронном виде, читаю тоже не на семи дюймах. Навигатор есть в машине.
Аудиокниги? Только если куда далеко поехать, но для них есть банальная флэшка.
А в магазине я вообще плачу карточкой; иногда вообще наличкой, и мои обычные, ныне уже не совсем зелёные, бумажки очень любят продавцы, порой они даже "приподзакрывают" глаза на налог с продаж. Всем хорошо.
Но и с карточкой проблем никаких, потерять не жалко, ибо кредитка, не дебитовка, новую пришлют, покупки вора, если такой дурак найдётся, отменят, да и кэшбек неплохой.
Если я завтра этот милый телефон-раскладушку (навигатор там, кстати, есть) производства одной скандинавской фирмы забуду в кармане джинсов перед тем, как те постирать, то я потеряю примерно пятьдесят долларов, столько стоит новый.
А накопления у меня совсем в другом банке; и карточкой той я, конечно, не пользуюсь.
Полгода назад разве что, когда один дом продавали, а другой покупали, так и то не карта, а обычный чек. Бумага надёжнее. И никаких ипотек, конечно, жить надо по средствам.
Где я не прав?
Для защиты я посоветую FIDO ключи и/или их "встроенные" аналоги (passkeys).
и что вы посоветуете для защиты?
Это не традиционный фишинг, но тем не менее мы используем оба термина phishing with MFA bypass, так же как AITM (Adversary in the middle) . Выуживает он вместо самих credentials куки/сессию из браузера - что, в принципе абсолютно то же самое.
Добавлю, что это уже не просто теория - я помогаю паре компаний админить тенанты МС365, и около 20% фишинг атак сегодня используют Evilginx. Причем сейчас уже встречаются комбинации Evilginx с Browser-in-Browser - там success rate гораздо выше.
то, что вы привели в качестве примера (Evilginx, Modlishka...) - это уже не совсем фишинг, это больше MITM (так как он не получает кредов - он использует открытую пользователем сессию).
Легче, конечно, от этого не становится 😉
https://raivo-otp.com/faq/#is-raivo-otp-available-for-other-operating-systems
так себе совет "знающих" людей.
К сожалению, новое поколение фишинг атак воруют не сами факторы, а логинятся с их помощью от имени жертвы, и воруют уже саму сессию. Вот пример
да и просто новую почту на гугле уже просто так не заведешь...