Как защитить свой аккаунт от взлома

13.02.2024 34776   Комментарии (102)

Постоянно встречаю сообщения из серии "мою почту взломали", "мой телеграм-канал увели", "получили доступ к моему личному кабинету в банке" и так далее и тому подобное. Во многих случаях люди сами в этом виноваты: они используют крайне примитивные, легко подбираемые пароли, а потом удивляются, что к их конфиденциальной информации кто-то получил доступ или же кто-то увел их аккаунт.

О важности использования устойчивых паролей и о необходимости использовать разные пароли для разных аккаунтов - много раз говорилось, о необходимости использования менеджеров паролей (тем более, что это очень удобно и быстро) - много раз говорилось, а в этой статье давайте поговорим о более продвинутых и намного более современных средствах защиты, тем более что современные тенденции аутентификации - уход от паролей как таковых и заменой их ключами доступа (passkey), связанными с биометрией (отпечаток пальца или скан лица), со специальным программным обеспечением или же со специальными физическими носителями (флешками). Пока это все обычно работает как дополнительные средства проверки, но в обозримом будущем оно станет основным средством доступа.

Двойная аутентификация

Уже достаточно давно многие сервисы стали предлагать дополнительное средство защиты вашего аккаунта, которое называется "двойной аутентификацией", а большинство банков и вовсе в обязательном порядке требует использования такого вида защиты, и без него вас в личный кабинет просто не пустят. Отправка уникального кода по SMS на ваш телефон - именно один из таких средств двойной аутентификации, и это средство было бы очень надежным, если бы люди доверчиво не сообщали эти коды всяким телефонным мошенникам. 

Но тут уж, что называется, каждый сам себе - злобный Буратино: до сих пор масса людей пишут пин-код от банковской карты фломастером на самой карте - чтобы не забыть. А когда у них эту карту уводят и со счета снимают все деньги в банкомате - бегут в банк и требуют вернуть украденные у них деньги. Излишне говорить, что в таком случае совершенно точно никто ничего не вернет.  

Так вот, отправка кода по SMS - далеко не единственный и уж точно не самый удобный способ аутентификации, и сейчас многие сервисы предлагают различные альтернативные варианты. 

Приложение с генератором кодов

Это значительно более удобный способ, чем аутентификация с помощью кода по SMS. Как он работает? Вам нужно в соответствующем сервисе указать, что вы хотите добавить идентификацию с помощью приложения - такой способ поддерживают, например, Google, "Госуслуги", большинство платежных систем, типа PayPal, некоторые социальные сети (тот же VK) и так далее. Сервис при этом сгенерирует для вас специальный QR-код. 

После этого вам нужно выбрать приложение, которое вы будете использовать для аутентификации (на самом деле их существует немало), установить его на смартфон, залогиниться (или зарегистрироваться, если вы его установили в первый раз), после чего в приложении отсканировать этот QR код, и после этого приложение будет готово работать с данным сервисом. Каким образом? При входе в сервис после обычного логина-пароля сервис будет требовать специальный одноразовый код, генерируемый приложением для данного сервиса. Код этот действует только 30 секунд, после чего приложение генерирует новый код. 

Выглядит это как-то так (для Google Authenticator): название приложения (учетка Google, PayPal, VK, Госуслуги и так далее), под ним - одноразовый код из шести цифр, справа - временная диаграмма, показывающая, сколько примерно секунд осталось до генерирования нового кода.  


Изображение отсюда

Наиболее часто используемое приложение для аутентификации - Google Authenticator: он есть для Android и для iOS. Регистрация в Google Authenticator - ваша учетная запись в Google, однако он может работать и без привязки к аккаунту: просто при использовании аккаунта приложение будет хранить привязку к соответствующим сервисам в вашей учетной записи, и если вы, например, поменяете телефон, то вам не придется заново перепривязывать сервисы к данному приложению: достаточно просто установить его, залогиниться - и все связи будут восстановлены. 

Такой способ аутентификации значительно удобнее, чем код по SMS. Кроме того, представьте себе, что у вас в поездке украли телефон с симкартой. Всё, никакие коды по SMS вы получить не можете! Но если вы использовали приложение-аутентификатор - просто купили новый телефон, установили приложение, залогинились - можно пользоваться. 

Однако замечу, что у Google Authenticator есть один заметный минус. У него почему-то нет защиты от входа в приложение. То есть вы его установили, залогинились - и всё: при запуске приложение сразу выдает коды. Как-то это не очень безопасно, как мне кажется. Нет, понятно, что в современных условиях обязательно нужно использовать блокировку смартфона, чтобы к его содержимому в случае утраты не получил доступ посторонний. Но все-таки что мешало хотя бы опционально сделать дополнительную защиту от входа в это приложение - я не понимаю.  

Какие еще существуют приложения для двухфакторной аутентификации? Их много, я приведу только два из них, наиболее используемых. 

Microsoft Authenticator - популярное приложение для двухфакторной аутентификации, которое ориентирована на использование с продуктами компании Microsoft, но также поддерживает работу с любыми другими приложениями с двухфакторной аутентификацией, а кроме того, может хранить логины/пароли, платежную информацию, адреса и проверенные идентификации. И оно по умолчанию при запуске требует идентификации: код, отпечаток пальца или сканирование лица. 

Authy - известная альтернатив Google Authenticator. Существует для разных платформ, подходит для ПК, имеет возможность сохранять все данные в облаке, есть защита при входе.  

Физические ключи безопасности

Во многих случаях можно использовать специальные физические (аппаратные) ключи безопасности, которые обычно представляют собой флешку, вставляемую в USB-порт ПК (ноутбука, планшета, смартфона). Также это может быть карточка с чипом NFC, которую нужно прикладывать к приемнику NFC (например, смартфону). 

Они работают по стандарту открытой аутентификации U2F, продвижением которого занимается альянс FIDO, и эти ключи нередко называют "ключами FIDO". 

Мы сейчас не будем углубляться в технические тонкости того, как это все устроено, посмотрим только на то, как это все выглядит на практике. 

Такие ключи безопасности выпускают как крупные корпорации - Google, Apple, - так и компании, специализирующиеся на выпуске подобных устройств - например, Token2 (я сам их ключами пользуюсь), Yubiko (кстати, в Яндекс.Маркете по запросу "аппаратный ключ аутентификации" практически только ключи Yubikey и выдаются), Thetis, SoloKeys и другие.

Вот как это работает на примере ключа от Google - Titan Security Key.

Упаковка.

В комплекте: ключ под порт USB-A, переходник под Type-C, руководство пользователя.

Давайте подключим этот ключ в качестве дополнительного способа двухфакторной аутентификации в аккаунте Google. (Защита аккаунта Google, если в нем хранятся контакты, и другие данные, а также если к нему привязаны всякие сервисы - это очень важно!)

Заходим в управление аккаунтом Google. Там заходим в раздел "Безопасность", там находим "Двухэтапная аутентификация". Включаем ее, если она не включена.

Гугл предлагает различные альтернативные способы двухфакторной аутентификации:  письмо на почту, SMS на номер телефона, подтверждение на доверенных устройствах (смартфонах, планшетах), аутентификация через приложение (то, что мы только что рассмотрели выше), резервные коды (распечатанные на бумаге) и наконец - через электронный ключ. Вот этот вид - электронный ключ, - мы и выбираем.

Там выбираем "Создать ключ доступа" и в появившемся окне нажимаем "Использовать другое устройство".

После этого появляется вопрос системы безопасности Windows, где нужно выбрать для сохранения ключа доступа - ключ безопасности. Сам ключ предварительно нужно вставить в порт USB.

Система предложит задать PIN-код для ключа безопасности (дополнительный уровень защиты). Излишне говорить, что этот PIN-код должен быть достаточно надежным (например, у ключей Token2 есть специальная серия ключей PIN+, которые просто не дадут задать слабый PIN).

После этого надо будет коснуться площадки ключа безопасности.

Ну и все - Google сообщил, что на данном электронном ключе создан ключ доступа, и с его помощью можно подтверждать свою личность.

Аналогичным образом этот ключ доступа может быть использован для любых сервисов, поддерживающих использование ключей безопасности FIDO.

Вы спросите, а что будет, если мне срочно нужен будет доступ к какому-то сервису, а ключа этого нет под рукой? Ну так практически любой сервис поддерживает самые разные способы доступа при двухфакторной аутентификации: подобный ключ доступа - альтернативный вариант. Нет под рукой ключа - через приложение с одноразовыми кодами, через SMS и так далее.

Ключ - просто более быстрое и более защищенное средство идентификации. Например, PayPal при включенной двухфакторной аутентификации отправляет SMS и требует ввода кода и при входе в личный кабинет (приложение) и почти при каждом переводе денег. Добавляете в качестве альтернативного средства подтверждения вот этот электронный ключ - больше никакой возни с SMS и вбиванием кодов, просто прикасаетесь к этому ключу при запросе - и все. Оказались где-то без ключа - выбираете отправку SMS.

В качестве заключения

Везде, где дело касается важных конфиденциальных данных - ваши контакты, заметки, документы, финансы - необходимо использовать двухфакторную аутентификацию (дополнительную проверку), и для этой аутентификации задавать различные альтернативные варианты проверки. 

Хороший современный способ двухфакторной аутентификации - программа-генератор одноразовых кодов.

Еще более удобный и хорошо защищенный способ - использование аппаратного ключа безопасности.

Не пренебрегайте этими способами, не давайте злоумышленникам шанс получить доступ к вашей конфиденциальной информации!

© 1998–2024 Alex Exler
13.02.2024

Комментарии 102

Yubikey сильно покруче, чем гугловский ключ. Удивлён, что его в обзоре нет.
Плюс, в отличие от программ MS и Google, Yubico Authenticator не привязан к устройству - все OTP будут генерироваться и на другом девайсе, главное, чтобы ключ был.
GBE
02.05.24 10:12
0 0

Один Titan Security Key - на один Google аккаунт или несколько?
Если на несколько, то на сколько?
30.03.24 01:15
0 0

Один Titan Security Key - на один Google аккаунт или несколько?Если на несколько, то на сколько?
Последняя версия Titan v2 поддерживает 250 резидент-ключей (то есть 250 аккаунтов по беспарольному входу). Проблема в том что аккаунты можно только добавить и невозможно удалить по одному (только полный ресет и удаление всех аккаунтов).

Рекордсменом по количеству акаунтов на ключе является серия PIN+R2 от Token2: 300 акаунтов и можно управлять акаунтами по-отдельности (удалять любой ненужный, без ущерба другим записям на этом ключе):

www.token2.com
30.03.24 22:04
0 0

Полезно, мучас грасиас!
15.02.24 06:30
0 0

(...) у Google Authenticator есть один заметный минус. У него почему-то нет защиты от входа в приложение. (...) Но все-таки что мешало хотя бы опционально сделать дополнительную защиту от входа в это приложение - я не понимаю. 
Есть такие варианты, не требующие установки чего-либо "третьестороннего".
OnePlus: Настройки - Утилиты - Блокировщик приложений
Samsung: Настройки - Биометрия и безопасность - Папка Knox
И добавить туда Google Authenticator
14.02.24 03:42
0 0

это все частные решения, зоопарк систем не ограничивается ими. Решение в одном месте (в приложении, оно содержит чувствительную информацию) было бы правильнее.
14.02.24 14:11
0 1

При наличии пароля не «1234» в плане подбора остальное не имеет вообще никакого смысла. Если только человек не склонен рассылать свой пароль к чему угодно кому попало. Тем более, что все нормальные эккаунты лимитируют возможность подбора бесконечным количеством вариантов за ограниченное время. Ну и про Гугл Аутентификатор - смешно, да.
13.02.24 20:16
2 0

При наличии пароля не «1234» в плане подбора остальное не имеет вообще никакого смысла. Если только человек не склонен рассылать свой пароль к чему угодно кому попало. Тем более, что все нормальные эккаунты лимитируют возможность подбора бесконечным количеством вариантов за ограниченное время. Ну и про Гугл Аутентификатор - смешно, да.
Тут защита не столько от брутфорса, сколько от фишинга и подобных ему атак
13.02.24 20:30
0 5

Смешно - это когда человек считает, что если у него такой неугадаемый пароль, то он в полной безопасности.
14.02.24 18:08
0 0

>про google auth: То есть вы его установили, залогинились - и всё: при запуске приложение сразу выдает коды

Разве это так работает? Если на новом телефоне залогиться в гугл, то автоматически весь ваш список с кодами не появятся, насколько я помню.
13.02.24 19:08
0 0

>про google auth: То есть вы его установили, залогинились - и всё: при запуске приложение сразу выдает кодыРазве это так работает? Если на новом телефоне залогиться в гугл, то автоматически весь ваш список с кодами не появятся, насколько я помню.
Уже так. Они где-то полгода назад прикрутили клауд синхронизацию
13.02.24 20:29
0 4

Ну наконец-то. Я с телефона на телефон переезжал где-то 3 года назад, и такого не было.
13.02.24 20:48
0 1

Уже так. Они где-то полгода назад прикрутили клауд синхронизацию
А сразу нельзя было по уму сделать, что ли? (ох) Вроде немаленькая компания.
14.02.24 07:59
0 0

А сразу нельзя было по уму сделать, что ли? (ох) Вроде немаленькая компания.
Это что, у них даже простой экспорт появился только через 10 лет после запуска (в 2021)
14.02.24 08:01
0 0

Двухфакторная аутентификация - классная штука. Пытаюсь зайти как-то в Facebook, он говорит: О, у Вас двухфакторная аутентификация, мы Вам на Ваш адрес вышлем одноразовый код. И действительно сразу приходит. Ввожу. А теперь, говорит в программе давайте 6-ти значный код из Google Authenticator или Duo чего-то там. Ладно установил, залогинился, получаю код, ввожу. Э-э-э, говорит Facebook, код-то неправильный, до свидания. Microsoft Authenticator выдает 8-ми значные коды на которые Facebook даже не реагирует. Этот Duo получить от Гугла ничего не может. В общем, прощай аккаунт на Facebook со всеми наработками. Слава им всем, вкупе с двухфакторной аутентификацией. Звоните в службу поддержки мира.
13.02.24 15:52
0 6

Разве не сам юзер включает двухфакторку? Я, помнится, сам включал.

6-ти значный … 8-ми значные
"6-значный … 8-значные".
Если написать "6-значные" буквами ("шестизначные"), то увидите, что это целое слово, поэтому нет смысла разбивать его пробелом при использовании числа 6.

поэтому нет смысла разбивать его пробелом при использовании числа 6
Нет никакого пробела. Есть дефис.

Нет никакого пробела. Есть дефис.
Вы меня вообще не поняли. Евгений ставит пробел между "6-ти" и "значный". Правильное написание я указал ранее. Как видите, у меня там дефис, а не пробел. 🤨
Вот правило, если интересно:

"§ 77. Пишутся через дефис:
<… >
3. Сложные слова, первым элементом которых является числительное (см. § 76, п. 3), если это числительное написано цифрами, например: 25-процентный, 10-летний, 35-летие.
4. Сложные порядковые числительные, если первая часть их написана цифрами, например: 183-миллионный, 5-тысячный."

therules.ru

Вы меня вообще не поняли. Евгений ставит пробел между "6-ти" и "значный".
Да. Я ошибся. Что пардон - то пардон.

Authy убивает свою программу для ПК в середине Марта. Останутся только мобильные приложения.
13.02.24 15:42
0 1

Точняк, только что письмо пришло.
Цитата "Starting March 19, 2024, Twilio Desktop Authy apps will reach their end of life (EOL). Beyond this date, you can access most of the desktop features and functionality in the mobile Authy apps.
You may have previously seen an August 19, 2024, end of life (EOL) date for Twilio Desktop Authy apps. This date has been moved up to March 19, 2024." Конец цитаты.

Authy убивает свою программу для ПК в середине Марта. Останутся только мобильные приложения.
Если вам вдруг срочно надо, вот инструкция по переезду на WinAuth.
14.02.24 00:00
0 1

Совсем не то, ИМХО.
Authy хранит данные в облаке в зашифрованном виде, т.е. если я устанавливаю на новый тел, мне не нужно каждый аккаунт снова авторизовывать.
Судя по тому, что я вижу по WinAuth, это только локальное. Потерял БД и прощай все учётки.
Да и зачем переезжать? Сервис же не отключают.
14.02.24 00:15
0 1

А ведь у Yubico есть своя программа authenticator. Внезапно вспомнилось. Но, по-моему, ключ (физический) только один можно привязать. Хотя может и ошибаюсь, надо посмотреть, когда домой вернусь.
14.02.24 00:21
0 0

Блин, вот я параноик по такому поводу.
Мне нужно чтобы у 2-факторного было два метода доступа, как минимум. Один ключ носить с собой, а второй в сейфе или банковской ячейке 😂
Ладно еще, когда при включении 2FA дают коды восстановления, которые можно распечатать или скинуть на другую почту и т.п.
А если нет? 😄

Так у меня два ключа и куплено 🙂. А толку, если к их родному аутентификатору (Yubico) только один можно прикрутить? Потерял ключ и ку-ку. Второй-то не сработает.

К Google два ключа привязаны, да везде, где можно этот ключ привязать и два можно. На случай потери одного.

А ведь у Yubico есть своя программа authenticator. Внезапно вспомнилось. Но, по-моему, ключ (физический) только один можно привязать. Хотя может и ошибаюсь, надо посмотреть, когда домой вернусь.
Можно больше одного, но каждый надо регистрировать отдельно.
14.02.24 15:36
0 1

Отличная новость, спасибо! Осталось узнать, как синхронизация организована между десктопом и мобилой. И есть ли она вообще.
14.02.24 15:44
0 0

Отличная новость, спасибо! Осталось узнать, как синхронизация организована между десктопом и мобилой. И есть ли она вообще.
Никакой, shared secret хранится на самом ключе. То есть OTP будут генерироваться и на десктопе и на мобильном приложении абсолютно одинаковые при условии что ключ тот же.
14.02.24 15:53
0 1

Вообще классно! Огромное спасибо за помощь!
14.02.24 16:07
0 0

Один ключ носить с собой, а второй в сейфе или банковской ячейке
Тут другая проблема. Если часто региться в разных сервисах с поддержкой ключей, то или забываешь добавлять ключ который в сейфе, или все время носишь оба ключа с собой.
14.02.24 23:06
0 0

SMS - это конечно самая грёбанная дыра в безопасности. Вовсе не обязательно никому ничего сообщать. На вас могут выпустить симку по заявлению о потере. Не знаю точно, как это работает, но сообщений о таком хватает. Да и не удивительно. Если это может сделать любая девочка в любом из 100500 отделений по стране, как ты это проконтролируешь. И вообще, в отличие от брелка, твой номер - это не твой номер, оператор может с ним намутить что угодно. Расторгнуть договор например (актуально для релокантов например, мало ли какую очередную подлянку им придумают). Хотелось бы, чтобы способ через SMS можно было ВООБЩЕ убрать, даже как дублирующий.
13.02.24 15:04
1 7

Чтобы плохие дяди пошли в 100499-е отделение за дубликатом симки - ты должен их (сильно) заинтересовать. А там они могут и домой прийти...

На вас могут выпустить симку по заявлению о потере. Не знаю точно, как это работает, но сообщений о таком хватает.
Вообще просто. Вы показываете удостоверение личности, и эта самая "любая девочка" просто выдаст дубликат. Она же не работница органов, ее никто не учил проверять подлинность документов.
И главное, это работает везде. У меня был эксперимент - я попросил своих студентов запросить дубликат номера соседа вообще без предъявления документов. Из 10 попыток в трех это удалось. Это было в Женеве (операторы - в 2 случаях Swisscom, в одном Sunrise).
13.02.24 15:20
0 5

я попросил своих студентов запросить дубликат номера соседа вообще без предъявления документов
Это выглядит как подстрекательство к совершению преступления.

Если это может сделать любая девочка в любом из 100500 отделений по стране, как ты это проконтролируешь.
Как только выпускается новая SIM-карта - старая становится недействительной (спасибо, Кэп!). Как мне кажется, это очевидный факт.
14.02.24 08:39
0 0

старая становится недействительной
Но делает это молча, зараза такая! И можно придумать минимум один сценарий, когда жертва будет не в курсе часов семь...

будет не в курсе часов семь
Говорят, для здоровья 8 часов сна надо. (Калининград - Петропавловск-Камчатский)

Пытаться получить дубликат в восьми часовых поясах от места выдачи оригинала - немножко стремно, не? А вот вы тупо в офисе, на офисном файфае и активированном WiFi-calls, будете проверять мобильную связь?..

А вот вы тупо в офисе
Ну если о жертве известно сколько часов он работает и какая у него связь в офисе, то можно подменять симку, когда он в отпуске в другой стране, например.

И можно придумать минимум один сценарий

Это выглядит как подстрекательство к совершению преступления.
Нет, конечно. Это ужасно некорректно, разумеется, но преступления никакого нет. Разве что подстрекательство к подстрекательству, типа "раскрытие должностной тайны". Ну примерно как один человек в своё время, лет примерно 15 назад, попросил своего друга, сотрудника ФСБ (или как оно тогда называлось?) дать ему доступ к смс телефона своей супруги, ибо заподозрил её в измене.
Был, конечно, прав, но её любовник сам об этом вовремя узнал и попросту купил любовнице другой телефон, на совсем-совсем "левое" имя; вычислить было невозможно.
Ай да я, ай да не при маме будь сказано!

Говорят, для здоровья 8 часов сна надо. (Калининград - Петропавловск-Камчатский)
Я читал, что должно быть кратно полутора, там какие-то циклы, связанные вообще со всем, от кровообращения до, пардон, желания мочевого пузыря вас разбудить. Можно четыре с половиной часа, но это если не каждую ночь, а вообще менее шести не рекомендуется.
С возрастом меняется, можно днём (если работа позволяет, конечно) перехватить те самые дополнительные полтора часа (4.5 + 1.5), но, конечно, перед тем не есть "плотно".
Говорят, сэр Уинстон придерживался именно такого образа жизни. И таки немало прожил!
16.02.24 07:30
0 0

Вопрос в эфир:

В Америке умер родственник, его iPhone передали дочери (в другой стране) и она хочет им пользоваться.
Телефон удалось разблокировать (код был элементарным, просто подобрали, как я поняла из пересказа). Но телефон залочен у американского оператора. Можно ли в этой ситуации сделать unlock?
13.02.24 14:29
5 1

Выплатить остаток по кредиту, и оператор разблокирует его удаленно, по вашему запросу.
При наличии доступа к аккаунту оператора и знании персональной информации, типа ССН.
13.02.24 19:47
0 0

Надо не забыть включить все пароли в завещание. 😉
13.02.24 23:09
0 1

Там еще *опа с модемом. Если у нового оператора частота или тип связи другой - телефон работать не будет, даже разлоченный.
14.02.24 01:56
0 0

Но телефон залочен у американского оператора. Можно ли в этой ситуации сделать unlock?
How to unlock your iPhone for use with a different carrier

Надо не забыть включить все пароли в завещание. 😉
Раньше перед смертью вычеркивали из завещания неугодных наследников, теперь просто будут менять втихаря пароль от крипты. 💲
15.02.24 07:54
0 0

Раньше перед смертью вычеркивали из завещания неугодных наследников, теперь просто будут менять втихаря пароль от крипты. 💲
Это, извините, в какой стране и когда?
Не подколка, просто стало интересно. Ибо почти везде есть те наследники, которых вычеркнуть в наше время практически невозможно, времена Айвенго прошли.
16.02.24 06:03
0 0

В любой стране. При наличии оформленного завещания, конечно.

Воля наследодателя по завещанию имеет приоритет перед положениями закона об очередности наследования.
Это у нас, а где-то иначе?

In the United States, children may be disinherited by a parent's will, except in Louisiana, where a minimum share is guaranteed to surviving children except in specifically enumerated circumstances.
In England and Wales from 1933 to 1975, a will could disinherit a spouse; however, since the Inheritance (Provision for Family and Dependants) Act 1975 such an attempt can be defeated by a court order if it leaves the surviving spouse (or other entitled dependent) without "reasonable financial provision".
16.02.24 06:08
0 0

Интереснее другое - в каких вообще странах крипта считается имуществом и может наследоваться?
16.02.24 06:18
0 0

Тут, да, проще. Но не везде так.
Возможно, что-то изменилось за прошедшие годы, я не слишком-то слежу за законами в РФ (если там вообще сейчас есть понятие "закон", конечно).
Дело в том, что примерно 12 лет назад одна женщина обратилась ко мне за консультацией; и не только ко мне, а и к ещё одному общему знакомому, из нашей ЧГК-тусовки, Юра высококвалифицированный юрист
Она хотела в завещании (бедная девочка; рак, не дожила и до сорока, мы и не знали, что счёт пошёл не на недели, на дни...) лишить прав наследства своего отца. Не буду углубляться в подробности, это было её дело, я не стану об этом говорить. Суть в том, что мы не нашли лазеек; наследник первой очереди.
16.02.24 06:19
0 0

Интереснее другое - в каких вообще странах крипта считается имуществом и может наследоваться?
Про крипту вообще без понятия. Я в эти напёрстки не играю; мои деньги лежат в обычных банках - тут, ну и в Финляндии.
Надо бы что-то перевести в британские фунты и шведские кроны, но я не настолько богат 😄
16.02.24 06:22
0 0

Суть в том, что мы не нашли лазеек; наследник первой очереди
Очень странно, завещания в 3 части ГК появились аж в 2002 году. Это уже только специалисты знают нюансы, когда там были исправления в части наследников по закону и наследников по завещанию - кто первый.

Мне проще, у меня один наследник первой очереди, могу спокойно помирать без завещания. 💀
16.02.24 06:34
0 0

Вам проще, впрочем, мне не сильно сложнее - маме почти 80, она точно не претендует, a
дочку из России сюда вряд ли вообще пустят, да и хрен она узнает, что я тогось. Kот разве что претендент, но жена его и так не оставит.
16.02.24 06:41
0 0

a
дочку из России сюда вряд ли вообще пустят
Вот для этого и нужна крипта 😉 пишешь в завещании распорядителю часть имущества продать и вывести в крипту в пользу родственника в любой другой стране.
16.02.24 06:44
0 0

У меня первое образование - ЛЭТИ, я в эти ваши технические штучки играть не умею; и вообще, пыль из пылесоса уходит в розетку по проводам.
Деньги - это такие продолговатые бумажки. Меня так на юрфаке научили потом 😉
16.02.24 06:48
0 1

🤣
16.02.24 06:50
0 0

Вы спросите, а что будет, если мне срочно нужен будет доступ к какому-то сервису, а ключа этого нет под рукой? Ну так практически любой сервис поддерживает самые разные способы доступа при двухфакторной аутентификации: подобный ключ доступа - альтернативный вариант. Нет под рукой ключа - через приложение с одноразовыми кодами, через SMS и так далее.
Что-то есть не очень понятное в такой логике. Если аппаратный ключ - только одна из опций, то зачем он нужен, если и так можно зайти по СМС или с приложением? Если он - одна из альтернатив, то безопасность аккаунта нужна оценивать по наименее безопасному способу, а не наиболее защищенному. А наиболее защищенным он становится только тогда, когда только его и используют. Но тогда я не уверен в его удобности.
13.02.24 13:53
0 11

Если аппаратный ключ - только одна из опций, то зачем он нужен, если и так можно зайти по СМС или с приложением?
Зависит от сервиса. Например Гугл разрешает настраивать безопасность только ключами (рекомендует два).
Протон не даст добавить фидо ключ, если нет СМС или OTP (идиотизм)
Paypal (у меня во всяком случае) не дает добавить два ключа (идиотизм еще больший).

одна из альтернатив, то безопасность аккаунта нужна оценивать по наименее безопасному способу, а не наиболее
Вы в целом правы, но есть и такая подход - вы пользуетесь в 99% случаях наиболее безопасным способом (ключом ) , а менее безопасным реже, то вы будете более осторожны когда логинитесь не ключом а СМС, например (проверите адрес более внимательно).
13.02.24 14:05
0 0

Вы в целом правы, но есть и такая подход - вы пользуетесь в 99% случаях наиболее безопасным способом (ключом ) , а менее безопасным реже, то вы будете более осторожны когда логинитесь не ключом а СМС, например (проверите адрес более внимательно).
Сдается, что человек, заморочившийся ключом, к входу по СМС достаточно внимателен... 😉

Сдается, что человек, заморочившийся ключом, к входу по СМС достаточно внимателен... 😉
Поверьте, это не всегда так. Теоретически, если человек достаточно внимателен, вся эта морока с двухфакторной аутентификацией может быть излишней, при наличии уникального и достаточно длинного пароля.

Вот пример фальшивого окна входа в акаунт Microsoft. Тут даже самая внимательная осторожность не поможет.

Тут даже самая внимательная осторожность не поможет.
Ни разу не видев правильного окна - остается поверить!..

Ни разу не видев правильного окна - остается поверить!..
Тут главное не само окно, а адресная строка.

Вот еще вдогонку (сейчас Chromium эту дыру прикрыл, но она около года существовала). И никто не гарантирует что подобного рода дыр сейчас не существует.

А в чем подвох (скриншот немного мутный)? Там m1crosoft написано или как-то так?
13.02.24 18:41
0 0

А в чем подвох (скриншот немного мутный)? Там m1crosoft написано или как-то так?
Нет, там адрес верно написан. Просто это не попап браузера а html элемент (div). Вот здесь детали : rastamouse.me
13.02.24 19:03
0 2

После этого надо будет коснуться площадки ключа безопасности.
просто прикасаетесь к этому ключу при запросе
Помянуто дважды, но не очень понятно: там нужен отпечаток или просто подтверждение наличия любого человека? Сосиской можно прикасаться?
13.02.24 13:45
2 0

Помянуто дважды, но не очень понятно: там нужен отпечаток или просто подтверждение наличия любого человека? Сосиской можно прикасаться?
Сосиской можно, в статье приведены примеры обычных fido ключей. Ключи со сканером отпечатков в 2 раза дороже, но зато ПИН кода не требуют.

(например, ключи Token2 просто не дадут задать слабый PIN).
Позволю поправить, не все ключи Token2 - а конкретно серия PIN+ . Для любителей пин кодов 1234, Token2 продает и стандартные ключи.
13.02.24 13:09
0 1

Сейчас поправлю, спасибо.
13.02.24 13:44
0 0

13.02.24 13:02
0 18

Не знаю как на Android, но на iOS у Google Authenticator есть дополнительная возможность использования защиты от входа, такая как FaceID. Или это не считается?
13.02.24 12:57
0 1

Вроде знающие люди, которые по соседству проводили аудит безопастности советуют Raivo для двухфакторок (как минимум гуглу я уж точно ничего бы не доверял)
13.02.24 12:31
5 0

Пользоваться сервисами Google, почтой Google, смартфонами с ОС от Google, но не доверять гуглу... Где-то здесь в логике есть ошибка, кмк
13.02.24 13:02
0 17

первым и третьим не пользуюсь; вторым пользуюсь только в качестве одноразовых почт, не в качестве основной
13.02.24 13:05
2 0

Вроде знающие люди, которые по соседству проводили аудит безопастности советуют Raivo для двухфакторок (как минимум гуглу я уж точно ничего бы не доверял)
Если не учитывать параною по отношению к гуглу, все двухфакторки на основе OTP уже давно не являются безопастными. Они от фишинга не защищают
13.02.24 13:07
0 1

все двухфакторки на основе OTP уже давно не являются безопастными. Они от фишинга не защищают
можете поделиться примером? без примера трудно понять, как именно должны защитить одноразовые коды от фишинга. Заранее спасибо
13.02.24 13:21
0 0

вторым пользуюсь только в качестве одноразовых почт,
ух ты.. а у гугла уже появился сервис маскировки почты (тот что генерирует временные почты, привязанные к основной)? буду признателен за название сервиса - мне гугл не хочет признаваться в таком своем сервисе.
да и просто новую почту на гугле уже просто так не заведешь...
13.02.24 13:24
0 1

Не совсем понял вопрос, но попробую ответить.
как именно должны защитить одноразовые коды от фишинга
Просто - обычные фишинг атаки воруют введенный юзером инпут. То есть вы ввели пароль и одноразовый код на фейковой странице. Хакер получил валидный пароль, но залогинится не может, так как одноразовый код одноразовый и он уже использовался.

К сожалению, новое поколение фишинг атак воруют не сами факторы, а логинятся с их помощью от имени жертвы, и воруют уже саму сессию. Вот пример
13.02.24 13:27
0 0

Вроде знающие люди, которые по соседству проводили аудит безопастности советуют Raivo для двухфакторок (как минимум гуглу я уж точно ничего бы не доверял)
ключевое слово в вашем совете "вроде", потому как если посмотреть на сайт компании в раздел вопросов-ответов, то можно узнать, что рекламируемый продукт доступен только на мобильных устройствах эппла:
https://raivo-otp.com/faq/#is-raivo-otp-available-for-other-operating-systems

так себе совет "знающих" людей.
13.02.24 13:30
0 2

первым и третьим не пользуюсь; вторым пользуюсь только в качестве одноразовых почт, не в качестве основной
Ну так бы и сказали, что начинаете холивар Гугл/Эппл. Эпплу же вы безгранично доверяете, да?
13.02.24 13:46
0 7

Не совсем понял вопрос, но попробую ответить.
Ок. чуть перефразирую: в моем понимании задача фишинга - это выуживание из вас данных о входе (креды). одноразовый пароль не спасет вас от передачи кредов при хорошо подготовленной атаки. Фишинг будет удачным (креды получены), толку немного - использовать их напрямую не получится. Другое дело, что их можно использовать для социальной инженерии или же для попыток использовать пароль для других сервисов, если жертва использует один пароль для нескольких сервисов.
то, что вы привели в качестве примера (Evilginx, Modlishka...) - это уже не совсем фишинг, это больше MITM (так как он не получает кредов - он использует открытую пользователем сессию).
Легче, конечно, от этого не становится 😉
13.02.24 13:49
0 2

что вы привели в качестве примера (Evilginx, Modlishka...) - это уже не совсем фишинг, это

Это не традиционный фишинг, но тем не менее мы используем оба термина phishing with MFA bypass, так же как AITM (Adversary in the middle) . Выуживает он вместо самих credentials куки/сессию из браузера - что, в принципе абсолютно то же самое.
Добавлю, что это уже не просто теория - я помогаю паре компаний админить тенанты МС365, и около 20% фишинг атак сегодня используют Evilginx. Причем сейчас уже встречаются комбинации Evilginx с Browser-in-Browser - там success rate гораздо выше.
13.02.24 13:56
0 1

и около 20% фишинг атак сегодня используют Evilginx.
заранее прошу прощения за въедливость - но все таки на данный момент защищают от 80% атак 😄, что входит в противоречие с вашим более ранним утверждением.

и что вы посоветуете для защиты?
13.02.24 14:31
0 1

заранее прошу прощения за въедливость - но все таки на данный момент защищают от 80% атак 😄, что входит в противоречие с вашим более ранним утверждением.и что вы посоветуете для защиты?
20% это в моем конкретном примере и этот процент растет.
Для защиты я посоветую FIDO ключи и/или их "встроенные" аналоги (passkeys).
13.02.24 14:33
0 0

Нет, диверфицирую. Если у меня почта не у Гугла — это не значит, что у Эппла. Если у меня не Хром, это не значит, что на Сафари. Заметки не в Гугле и не в Эппле. Мессенджер тоже не Гугла и не Эппла. Ну и т.д.
13.02.24 14:44
1 0

Raivo только для яблоководов.
13.02.24 18:52
0 0

заранее прошу прощения за въедливость - но все таки на данный момент защищают от 80% атак 😄, что входит в противоречие с вашим более ранним утверждением.и что вы посоветуете для защиты?
"Все, кто верит в меня - за мной!"

Из меня, конечно, та ещё Инна Чурикова в роли Жанны д'Арк, да и моложе я, да и вообще я таки мужчина. Но.

А зачем вообще доверять непонятному устройству под названием "смартфон" все свои данные?

Фильмы я смотрю на большом экране, книги, если в электронном виде, читаю тоже не на семи дюймах. Навигатор есть в машине.
Аудиокниги? Только если куда далеко поехать, но для них есть банальная флэшка.

А в магазине я вообще плачу карточкой; иногда вообще наличкой, и мои обычные, ныне уже не совсем зелёные, бумажки очень любят продавцы, порой они даже "приподзакрывают" глаза на налог с продаж. Всем хорошо.
Но и с карточкой проблем никаких, потерять не жалко, ибо кредитка, не дебитовка, новую пришлют, покупки вора, если такой дурак найдётся, отменят, да и кэшбек неплохой.

Если я завтра этот милый телефон-раскладушку (навигатор там, кстати, есть) производства одной скандинавской фирмы забуду в кармане джинсов перед тем, как те постирать, то я потеряю примерно пятьдесят долларов, столько стоит новый.

А накопления у меня совсем в другом банке; и карточкой той я, конечно, не пользуюсь.
Полгода назад разве что, когда один дом продавали, а другой покупали, так и то не карта, а обычный чек. Бумага надёжнее. И никаких ипотек, конечно, жить надо по средствам.

Где я не прав?
16.02.24 04:15
0 0

А зачем вообще доверять непонятному устройству под названием "смартфон" все свои данные?
Где я не прав?
хоть тема обсуждения - не смартфоны вообще и не отношение к доверии им своих тайн, да и я в периоде обсуждения не высказывал своего мнения о принципах хранения информации где бы то ни было, я все же постараюсь ответить: вы везде правы. 😄 Вам удобно? спокойно? вы совершенно правы и я вам даже завидую (но немножко и только один раз 😉 )
16.02.24 05:44
0 1

Не надо завидовать, это смертный грех (отвечаю на правах потомка Торквемады); за поддержку - спасибо. 😄
Про смартфоны я исключительно по теме безопасности паролей.
У меня их три и их разгадать могут только очень близкие мне люди, а таких мало, я мало кому доверяю. Да и то трудно; как совместить имя кота с номером дома, учитывая, что кот по тому адресу никогда не жил?
Все пароли знает тоже жена.
Вру, не все 😄 Но она знет код ячейки в банке, где лежит некая бумажка, а там уже всё, но и то там зашифровано почти по Гашеку. Тот же метод был и у Штирлица, и в "Вариант "Омега".
Без точного знания не вскрывается априори.
16.02.24 05:53
0 0

У меня их три и их разгадать могут только очень близкие мне люди,
Завидую вам еще раз.. три аккаунта (причем один из них на сайте Алекса 😉 ) в наше время - это очень круто! почти что отшельничество 😉

PS:
и их разгадать могут только очень близкие мне люди, а таких мало, я мало кому доверяю.
если вы пробежитесь глазами по обсуждениям в этом чате, то увидите, что разговор не об разгадывании паролей.. обсуждение как раз о том, что есть способа, когда вы сами их передадите злоумышленнику и даже не будете об этом подозревать. И есть в этом некое несоответствие в логике (разумеется, по моему личному убеждению) - с одной стороны мало кому доверять и придумывать трудноразгадываемые пароли, с другой стороны, не парится их сохранностью...
16.02.24 07:59
0 0

Да, конечно, но тут я и увязываю все эти новомодные штучки типа "я плачу в магазине телефоном" с простотой кодов.
Можно зашифровать что-то через интернет-программу, как советует Алекс. Более того, спасибо ему за то, что он предлагает программы очень умные; я могу об этом судить по той простой причине, что я, сам в этом почти ничего не понимая, уже без малого тридцать лет знаю человека, который профессионально занимается именно компьютерной криптографией. И мой тёзка, после всем понятно чего живущий в одной европейской стране, сказал - да, это хорошо. Взломать-то можно что угодно, вопрос только в сумме и времени. Ради тысячи долларов никто год напрягаться не станет. Ради миллиарда - да, но там другие системы и иные методы.
А мой метод прост; книги и мнемоника.
Могу прямо здесь рассказать пароль одной моей кредитки, ещё российской. И банк тут этот не работает, да и срок кредитки давно истёк, так что я ничем не рискую.
Запомни, сказал я жене, словосочетание "Валентинов день"; пароль был, естественно, 0215; не 0214, а 0215, ибо надо добавить единицу. Ну и как вы это вычислите, если не перебором?
Ну и денег на той карте было не так много. "Горсть мусора получит тот, кто кошелёк мой украдёт" (с) 😄

P.S. И - да; на моём лаптопе, откуда я набираю данное сообщение, нет доступа к моим банковским счетам 😄
16.02.24 08:19
0 0

на моём лаптопе, откуда я набираю данное сообщение, нет доступа к моим банковским счетам 😄
вопрос-то ведь не только в банковских счетах - вопрос о сохранности данных вообще. Судя по вашим комментариями в данном обсуждении, вы имеете отношение к юридической деятельности:
Меня так на юрфаке научили потом 😉
назад одна женщина обратилась ко мне за консультацией;
не думаю, что вы ведете переписку со своими клиентами посредством факса или голосовой почтой. Ваш почтовый аккаунт - он ведь первый на очереди. А в почте можно много интересного найти для ищущего 😉. Да и воспользоваться ею для атаки на другую "жертву" - тоже хороший способ. (а так же любым аккаунтом в социальных сетях или профильных чатах). Можно, правда, сказать потом - "а че.. это просто мой аккаунт взломали.. " - но с этого как раз и начинается статья Алекса 😄
16.02.24 08:47
0 0

Да, юрист, ну так и учителя были неплохие, включая нынешнего российского лидера; понимаю, ныне это не самая выгодная рекомендация, но что было, то было. Нет-нет, не КГБ, просто питерская мэрия в 90-е 😄
Но подстраховываться недурно научили.

Мне проще. Я вообще за простоту.
Клиенты у меня люди обычно приличные, так что скрывать от "товарищей майоров" что российских, что европейских, что местных, американских, особо нечего. Даже налоги плачу! Я стараюсь работать именно в "белом поле", но если надо залезть в "серое", так на то как раз и существуют мобильники, что покупаются в Волмарте за ничтожные деньги и именно за наличные. Проследить карточку невозможно по определению, и, кстати, меня это немного пугает. Я-то, повторю, человек законопослушный (это выгоднее в конечном счёте), но факт того, что такой телефон может купить любой на всё голову больной террорист/наркоман/садист/педофил, далее по списку, меня не радует. Как и почти свободный доступ к оружию. Но что поделать, мир не совершенен.

Да, а создать аккаунт в (условно) скайп - дело нескольких минут. Если что-то совсем важное и секретное, то можно и лаптоп купить; старенький, лишь бы работал; из любого кафе позвонил, чай, не Россия, паспорт не просят, потом дрелью в него потыкал и выбросил. Тут дело только в цене задачи.

Что, повторю, тоже не очень-то и нравится. Мало ли какой "Шакал" из известного фильма такое делать будет.
В общем, достаточно тонкая грань между свободой и безопасностью.
16.02.24 09:47
0 0

Проследить карточку невозможно по определению, и, кстати, меня это немного пугает.
занятное утверждение... надеюсь, вы действительно понимаете о чем говорите 😉, потому как фильмы - они не самый лучший источник информации.. как, собственно, и учителя не то, чтобы 30 летней а даже двух летней давности- мир так быстро меняется 😄
16.02.24 10:00
0 0

Покупаете, повторю, за наличные вот такой, например, телефон.
www.tracfone.com
Тут же, в этом же магазине покупаете карточку оплаты; за 20 долларов у вас и сколько-то там интернета, и 120 минут, которые можно использовать в течение трёх месяцев. И снова платите наличными.
Активируете; надо, как в "мгновенной лотерее", просто с карточки монеткой или ногтем стереть защитную хрень серебристого цвета, потом ввести это в телефон там, где "add airtime".
Ну и как вы меня вычислите?

У меня таких телефонов было штук десять минимум; нет-нет, не для криминала 😄
Я их покупал моим гостям, что сюда прилетали, чтобы им на роуминг не тратиться, а мало ли потеряемся, не всегда же планы совпадают; кому-то в музей охота, а мне работать надо; удобно - созвонились, встретились, поехали ужинать.

Потом моим гостям и отдавал, как сувенир.
16.02.24 10:14
0 0

Ну и как вы меня вычислите?
если часть вашего ника - это год рождения, то вы точно должны знать анекдот про неуловимого джо 😄
ну конечно же никак, если вы их купили за нал и положили дома 😉
ну или используете для разговоров с детьми. или с женой. вы будете неуловимы, пока не будете интересны кому либо, кто располагает ресурсами вас искать.
Если же вы стали интересны - то для того, что бы остаться неуловимым вам нужно кроме покупки телефона использовать немалый ряд организационных мероприятий, уменьшающий риск вашей идентификации. Уменьшающий - но не сводящий к нулю.
16.02.24 10:25
0 0

Так я лишь о телефоне. Признайте, что тут-то я прав - злоумышленник может этим, увы, воспользоваться.

А я тот самый неуловимый, да; Алекс, с которым мы ещё времён почти умершего ныне ЖЖ т.н. "взаимные френды" лет уже, наверное, 15 (больше, но уже не помню) подтвердит, что у меня в профайле и имя настоящее, и образование, и год рождения, разве что дату не поставил, в определённом возрасте день рождения уже не столько праздник, сколь повод для самокопания, не хочется получать поздравления.
Я же говорю - не надо усложнять жизнь. Без нас желающих полно 😄
16.02.24 10:38
0 1

Признайте, что тут-то я прав - злоумышленник может этим, увы, воспользоваться.
Сорри, теряю я нить обсуждения.
очень рад за вас, что секретов у вас нет, прятать ничего не нужно а то, что нужно, надежно защищено. К сожалению, далеко не все могут похвастаться таким счастьем.

PS:
помните поговорку от врачей о том, что нет здоровых а есть недообследованные? 😉.
16.02.24 11:55
0 0

Что ещё почитать