1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
Лично я придумал мнемонический алгоритм для себя, который на основании имени домена или сервиса дает возможность создать пароль к нему. На основании этой мнемоники я могу сказать пароль с сайту, на котором я даже и не зарегистрирован
Таким образом — все пароли в голове.
И да, то что некоторые сервисы требуют иногда менять пароль — мой алгоритм тоже учитывает
Здравствуйте, Homunculus, Вы писали:
H>Лично я придумал мнемонический алгоритм для себя, который на основании имени домена или сервиса дает возможность создать пароль к нему. На основании этой мнемоники я могу сказать пароль с сайту, на котором я даже и не зарегистрирован H>Таким образом — все пароли в голове. H>И да, то что некоторые сервисы требуют иногда менять пароль — мой алгоритм тоже учитывает
Вопросы:
1. Что делать с сервисами, которые сами тебе дают пароль. Сюда же относим номер банковских карт, etc. Такие тоже есть.
2. Где вы храните версию пароля (если заставили сменить пароль)?
3. Где вы храните ключи?
4. Где вы храните программу, которая генерит пароли?
5. Что делать, если фишинговая программа (через жену, к примеру) или кейлоггер увел ваш мастер-пароль?
Здравствуйте, Shmj, Вы писали:
S>1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
Использовать двухфакторную авторизацию.
S>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
Использовать шифрование диска.
S>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
Использовать бэкапы базы данных с паролями, хранящуюся вне твоего дома. Например хороший вариант — хранить зашифрованную базу данных KeePass в своём профиле на RSDN. Ты всегда сможешь её скачать. Ну а пароль от самой базы хранить в голове, конечно же.
S>4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
Привязка к биометрии в любом случае не годится, это всего лишь удобный способ запомнить пароль на небольшой промежуток времени.
S>Ваши варианты.
Да вроде всё достаточно просто. KeePass для паролей, копия базы данных в интернете, двухфакторная авторизация на важных ресурсах (например gmail). Также, если речь о gmail, нужно распечатать коды восстановления, арендовать банковскую ячейку и хранить их там.
Здравствуйте, vsb, Вы писали:
vsb>Использовать двухфакторную авторизацию.
Двухфакторая — хорошо. Но что если украли телефон а вы в чужой стране и не можете пойти к оператору и восстановить SIM-карту?
Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
S>>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
vsb>Использовать шифрование диска.
А где хранить пароль к диску?
S>>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
vsb>Использовать бэкапы базы данных с паролями, хранящуюся вне твоего дома. Например хороший вариант — хранить зашифрованную базу данных KeePass в своём профиле на RSDN. Ты всегда сможешь её скачать. Ну а пароль от самой базы хранить в голове, конечно же.
В профиле — слишком палевно. Да и RSDN бывает что отключается — он же в Влада под столом живет. Нужно другое место. Где?
S>>Ваши варианты.
vsb>Да вроде всё достаточно просто. KeePass для паролей, копия базы данных в интернете,
Где именно в интернете? Насколько надежен сервис?
vsb>двухфакторная авторизация на важных ресурсах (например gmail). Также, если речь о gmail, нужно распечатать коды восстановления, арендовать банковскую ячейку и хранить их там.
А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
Здравствуйте, Homunculus, Вы писали:
H>Что это? У меня нет такого
Это ключ, с помощью которого можно получить доступ к гос. ресурсам. К примеру, можно подать в суд через интернет. Или посмотреть кто на тебя подал в суд, подать доп. документы.
S>>Или бекап-коды для Google-аккаунта (на случай, если телефон украдут в чужой стране). H>Я не знаю что такое «бэкап-коды»
Это коды, которые позволяют получить доступ к аккаунту в случае, если у вас украли телефон и вы не можете принять SMS а так же использовать Google Auth.
Здравствуйте, Shmj, Вы писали:
S>Это ключ, с помощью которого можно получить доступ к гос. ресурсам.
У меня нет такого.
S>Это коды, которые позволяют получить доступ к аккаунту в случае, если у вас украли телефон и вы не можете принять SMS а так же использовать Google Auth.
У меня нет. Как появится — буду думать. А пока вполне обсекьюрин тем что придумал
Здравствуйте, Homunculus, Вы писали:
S>>Это коды, которые позволяют получить доступ к аккаунту в случае, если у вас украли телефон и вы не можете принять SMS а так же использовать Google Auth.
H>У меня нет. Как появится — буду думать. А пока вполне обсекьюрин тем что придумал
Gmail у вас есть? Требует ввести код из SMS при первой авторизации?
Здравствуйте, Shmj, Вы писали:
S>Gmail у вас есть? Требует ввести код из SMS при первой авторизации?
Есть, конечно. Требует.
Ну вообще, дальше тема неинтересна мне. Можно кучу бредовых ситуаций придумать. Уехал заграницу и телефон украли. Ну, раз идиот — лови проблемы. Руки оторвали, ноги оторвали, голову оторвали. Что еще придумаешь? На каждый бред шапочку из фольги не придумаешь
Здравствуйте, Shmj, Вы писали:
vsb>>Использовать двухфакторную авторизацию.
S>Двухфакторая — хорошо. Но что если украли телефон а вы в чужой стране и не можете пойти к оператору и восстановить SIM-карту?
Двухфакторная не обязательно означает телефонный номер. Есть специализированные устройства. Есть программы, которые работают в offline (т.е. можно купить самый дешёвый android, не ставить туда sim-карту, не подключать его к интернету, тем самым убрав 99% векторов атак, установить туда Google Authenticator и всё).
S>Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
Ну в случае путешествия в другую страну просто напиши эти коды и прилепи на дно чемодана.
S>>>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
vsb>>Использовать шифрование диска.
S>А где хранить пароль к диску?
В голове. Вводится при загрузке и разблокировке компьютера. В макбуках это работает из коробки. Для Windows-ноутбуков точно не знаю, но в бизнес-моделях это точно есть.
S>>>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
vsb>>Использовать бэкапы базы данных с паролями, хранящуюся вне твоего дома. Например хороший вариант — хранить зашифрованную базу данных KeePass в своём профиле на RSDN. Ты всегда сможешь её скачать. Ну а пароль от самой базы хранить в голове, конечно же.
S>В профиле — слишком палевно.
А чего ты боишься? Он же зашифрован, причём пароль такой, который принципиально не подбирается (12 буквоцифр, например).
S>Да и RSDN бывает что отключается — он же в Влада под столом живет.
Не так уж часто он отключается. Это должно прям совпасть, что и у тебя беда, и сервер не работает и пароль тебе нужен вот прям здесь и сейчас. Вряд ли.
S>Нужно другое место. Где?
Да любое место в интернете, где можно захостить файл и запомнить короткую ссылку. У меня вот свой сервер есть, которым я пользуюсь для некоторых целей, запомнить URL вида myserver.com/Database.kdbx вроде несложно. В итоге в любом месте земного шара я могу скачать свою базу данных, пароль я помню, т.е. все пароли мне доступны. Но и без своего сервера мест, где можно захостить небольшой файлик, думаю, в интернете хватает.
S>Где именно в интернете? Насколько надежен сервис?
Не важно, насколько он надёжен. Главное — чтобы он не был совсем уж ненадёжным. Потому, что он будет использоваться лишь в экстренном случае.
S>А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
Для этого можно распечатать коды восстановления и хранить их отдельно от телефона.
Здравствуйте, Shmj, Вы писали:
S>Вот идеал:
В текущих условиях это стратегически неверный идеал.
S>Ваши варианты.
Руководствуюсь правилом: Лучший способ хранить тайны — не иметь никаких тайн. В наше время утаить практически ничего нельзя, любая информация, как бы ты ее не скрывал может быть (и будет)опубликована.
Отсюда вытекает есть две стратегии (может и больше, но я обобщил до двух, крайние случаи, типа, «ухода в тайгу» не рассматриваем):
1. Создавать вокруг себя столько инфошума, чтобы инфа, не предназначенная для широкой публики, осталась ею (широкой публикой) не замечена (этой стратегии придерживался мышъх).
2. Все свои действия планировать, исходя из того, что про них всё всем известно.
Первая стратегия сложна в реализации, и подходит не всем, а вот второй я сам пользуюсь. Поэтому у меня нет никаких паролей на комп, телефон, планшет и прочие гаджеты. Если кто-то украдет мой телефон, он, в информационном плане, ровным счетом ничего нового или, того, чего я бы хотел скрыть, про меня не узнает.
Здравствуйте, Homunculus, Вы писали:
H>Есть, конечно. Требует. H>Ну вообще, дальше тема неинтересна мне. Можно кучу бредовых ситуаций придумать. Уехал заграницу и телефон украли. Ну, раз идиот — лови проблемы. Руки оторвали, ноги оторвали, голову оторвали. Что еще придумаешь? На каждый бред шапочку из фольги не придумаешь
Украли телефон — не такая уж редкая ситуация. Хотелось бы чтобы не было железной привязки к телефону в принципе.
Здравствуйте, vsb, Вы писали:
vsb>Двухфакторная не обязательно означает телефонный номер. Есть специализированные устройства. Есть программы, которые работают в offline (т.е. можно купить самый дешёвый android, не ставить туда sim-карту, не подключать его к интернету, тем самым убрав 99% векторов атак, установить туда Google Authenticator и всё).
Если у тебя есть бекап коды, а они у тебя есть (см. ниже) — то доп. устройство погоды не строит. Т.е. оно не важно.
S>>Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
vsb>Ну в случае путешествия в другую страну просто напиши эти коды и прилепи на дно чемодана.
Забудешь!!! Если ты будешь распечатывать коды только перед поездкой — то не вспомнишь все что нужно. Об этом нужно думать в спокойной обстановке, в момент когда ты регаешь новый акк или приводишь в порядок политику доступа.
Т.е. уже заранее все эти коды должны быть распечатаны и ты должен знать где они.
S>>А где хранить пароль к диску?
vsb>В голове. Вводится при загрузке и разблокировке компьютера. В макбуках это работает из коробки. Для Windows-ноутбуков точно не знаю, но в бизнес-моделях это точно есть.
А чем простой пароль на вход хуже?
S>>В профиле — слишком палевно.
vsb>А чего ты боишься? Он же зашифрован, причём пароль такой, который принципиально не подбирается (12 буквоцифр, например).
Может кейлоггером кто-то получит.
S>>Да и RSDN бывает что отключается — он же в Влада под столом живет.
vsb>Не так уж часто он отключается. Это должно прям совпасть, что и у тебя беда, и сервер не работает и пароль тебе нужен вот прям здесь и сейчас. Вряд ли.
Совпадет. Нужно хранить на чем то типа S3.
S>>Нужно другое место. Где?
vsb>Да любое место в интернете, где можно захостить файл и запомнить короткую ссылку. У меня вот свой сервер есть, которым я пользуюсь для некоторых целей, запомнить URL вида myserver.com/Database.kdbx вроде несложно. В итоге в любом месте земного шара я могу скачать свою базу данных, пароль я помню, т.е. все пароли мне доступны. Но и без своего сервера мест, где можно захостить небольшой файлик, думаю, в интернете хватает.
Если вас резко посадили в тюрьму на 10 лет — ваш сайт станет не доступен за это время.
S>>Где именно в интернете? Насколько надежен сервис?
vsb>Не важно, насколько он надёжен. Главное — чтобы он не был совсем уж ненадёжным. Потому, что он будет использоваться лишь в экстренном случае.
На моей практике — в экстренном случае как раз все перестает работать.
S>>А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
vsb>Для этого можно распечатать коды восстановления и хранить их отдельно от телефона.
Где хранить? Если сейф взломали — то получат ваши коды.
Здравствуйте, Dym On, Вы писали:
DO>Первая стратегия сложна в реализации, и подходит не всем, а вот второй я сам пользуюсь. Поэтому у меня нет никаких паролей на комп, телефон, планшет и прочие гаджеты. Если кто-то украдет мой телефон, он, в информационном плане, ровным счетом ничего нового или, того, чего я бы хотел скрыть, про меня не узнает.
Только один нюанс — деньги. Если получат доступ к вашему мессенджеру — с помощью соц. инженерии могут выпросить денег в долг у ваших друзей. Или получить доступ к вашему крипто-кошельку или даже банковскому счету.
Деньги пока общими не стали — мы не в коммунизме живем. По этому друг от друга прячем их — никто не готов сказать на публично где и сколько денег у него лежит и уж тем более ключи доступа к управлению счетом.
Здравствуйте, Homunculus, Вы писали:
H>Понятия не имею что будет — ни разу не было. Ни терял, ни крали.
Т.е. у вас порядка нет? Может у вас есть некий ключ Google Auth в телефоне, который после утраты телефона вы потеряете навсегда без возможности восстановить?
Здравствуйте, Shmj, Вы писали:
S>Только один нюанс — деньги. Если получат доступ к вашему мессенджеру — с помощью соц. инженерии могут выпросить денег в долг у ваших друзей.
Не смогут.
S>Или получить доступ к вашему крипто-кошельку или даже банковскому счету.
Нет у меня в телефоне никаких кошельков и ссылок на банковские счета.
Здравствуйте, Shmj, Вы писали:
S>Здравствуйте, vsb, Вы писали:
vsb>>Двухфакторная не обязательно означает телефонный номер. Есть специализированные устройства. Есть программы, которые работают в offline (т.е. можно купить самый дешёвый android, не ставить туда sim-карту, не подключать его к интернету, тем самым убрав 99% векторов атак, установить туда Google Authenticator и всё).
S>Если у тебя есть бекап коды, а они у тебя есть (см. ниже) — то доп. устройство погоды не строит. Т.е. оно не важно.
Ну если не лень следить за бэкап кодами, можно и так. По сути это третий фактор.
S>>>Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
vsb>>Ну в случае путешествия в другую страну просто напиши эти коды и прилепи на дно чемодана.
S>Забудешь!!! Если ты будешь распечатывать коды только перед поездкой — то не вспомнишь все что нужно. Об этом нужно думать в спокойной обстановке, в момент когда ты регаешь новый акк или приводишь в порядок политику доступа.
S>Т.е. уже заранее все эти коды должны быть распечатаны и ты должен знать где они.
Ну какие варианты ещё. Надо не забывать.
S>>>А где хранить пароль к диску?
vsb>>В голове. Вводится при загрузке и разблокировке компьютера. В макбуках это работает из коробки. Для Windows-ноутбуков точно не знаю, но в бизнес-моделях это точно есть.
S>А чем простой пароль на вход хуже?
Без шифрования диска вся информация на нем легко доступна — вытащил диск и вставил в другой компьютер. С шифрованием — не доступна.
S>>>В профиле — слишком палевно.
vsb>>А чего ты боишься? Он же зашифрован, причём пароль такой, который принципиально не подбирается (12 буквоцифр, например).
S>Может кейлоггером кто-то получит.
Кейлоггер и файл пароля сольёт. Если у тебя на компьютере кейлоггер, ты проиграл. Тут только менять все пароли.
S>>>Да и RSDN бывает что отключается — он же в Влада под столом живет.
vsb>>Не так уж часто он отключается. Это должно прям совпасть, что и у тебя беда, и сервер не работает и пароль тебе нужен вот прям здесь и сейчас. Вряд ли.
S>Совпадет. Нужно хранить на чем то типа S3.
Ну храни на S3. Он надёжней, конечно. Сделай URL-сокращалку на нужный файл и запомни адрес.
S>>>Нужно другое место. Где?
vsb>>Да любое место в интернете, где можно захостить файл и запомнить короткую ссылку. У меня вот свой сервер есть, которым я пользуюсь для некоторых целей, запомнить URL вида myserver.com/Database.kdbx вроде несложно. В итоге в любом месте земного шара я могу скачать свою базу данных, пароль я помню, т.е. все пароли мне доступны. Но и без своего сервера мест, где можно захостить небольшой файлик, думаю, в интернете хватает.
S>Если вас резко посадили в тюрьму на 10 лет — ваш сайт станет не доступен за это время.
Аргумент, про такой сценарий я, конечно, не думал.
S>>>Где именно в интернете? Насколько надежен сервис?
vsb>>Не важно, насколько он надёжен. Главное — чтобы он не был совсем уж ненадёжным. Потому, что он будет использоваться лишь в экстренном случае.
S>На моей практике — в экстренном случае как раз все перестает работать.
S>>>А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
vsb>>Для этого можно распечатать коды восстановления и хранить их отдельно от телефона.
S>Где хранить? Если сейф взломали — то получат ваши коды.
Банковский сейф не взломают. Даже если взломают, то вряд ли поймут, что это за коды.
Здравствуйте, Dym On, Вы писали:
S>>Или получить доступ к вашему крипто-кошельку или даже банковскому счету. DO>Нет у меня в телефоне никаких кошельков и ссылок на банковские счета.
Т.е. от того же СберОнлайн и криптовалюты вы вынуждены отказаться ввиду своей веры во всеобщую открытость?
Здравствуйте, vsb, Вы писали:
vsb>Ну если не лень следить за бэкап кодами, можно и так. По сути это третий фактор.
Если вы за ними не будете следить — то можете потерять доступ, если ваш старый телефон перестанет работать (вполне вероятно).
S>>Т.е. уже заранее все эти коды должны быть распечатаны и ты должен знать где они.
vsb>Ну какие варианты ещё. Надо не забывать.
Чтобы не забывать — должна быть политика работы с ключами и паролями, а не надеятся что потом вспомнишь. Не вспомнишь.
S>>А чем простой пароль на вход хуже?
vsb>Без шифрования диска вся информация на нем легко доступна — вытащил диск и вставил в другой компьютер. С шифрованием — не доступна.
Так можно просто хранить ценную информацию в зашифрованном диске — зачем шифровать все?
S>>Может кейлоггером кто-то получит.
vsb>Кейлоггер и файл пароля сольёт. Если у тебя на компьютере кейлоггер, ты проиграл. Тут только менять все пароли.
А вдруг не сольет? Он же не знает где именно этот файл — только ввод клавиатуры перехватывает.
S>>Где хранить? Если сейф взломали — то получат ваши коды.
vsb>Банковский сейф не взломают. Даже если взломают, то вряд ли поймут, что это за коды.
А без банковского сейфа никак? За него же еще платить. Кроме того, хотелось бы чтобы восстановить полный контроль можно было без физической привязки к конкретному сейфу.
Здравствуйте, Homunculus, Вы писали:
H>В курсе, что чрезмерное зацикливание на порядке и попытка предусмотреть все возможные варианты — это признак шизофрении?
Нужно хотя бы в теории придумать политику хранения. На практике, конечно, будешь отступать. Но если даже в теории ничего дельного нет — то на практике будет вообще хаос — в чем я убедился.
Здравствуйте, Shmj, Вы писали:
S>>>А чем простой пароль на вход хуже?
vsb>>Без шифрования диска вся информация на нем легко доступна — вытащил диск и вставил в другой компьютер. С шифрованием — не доступна.
S>Так можно просто хранить ценную информацию в зашифрованном диске — зачем шифровать все?
Вопрос удобства. Почему бы и не шифровать. На производительности не сказывается.
S>>>Может кейлоггером кто-то получит.
vsb>>Кейлоггер и файл пароля сольёт. Если у тебя на компьютере кейлоггер, ты проиграл. Тут только менять все пароли.
S>А вдруг не сольет? Он же не знает где именно этот файл — только ввод клавиатуры перехватывает.
Можно шифровать системой с открытым-закрытым ключом. На твоём компьютере хранится только открытый ключ, которым шифруется бэкап и выкладывается в интернет. Закрытый ключ там же лежит защищённый паролем. В итоге тебе не надо вводить пароль каждый раз, только в самом начале (можно даже на другом компьютере).
S>>>Где хранить? Если сейф взломали — то получат ваши коды.
vsb>>Банковский сейф не взломают. Даже если взломают, то вряд ли поймут, что это за коды.
S>А без банковского сейфа никак? За него же еще платить. Кроме того, хотелось бы чтобы восстановить полный контроль можно было без физической привязки к конкретному сейфу.
Здравствуйте, Shmj, Вы писали:
S>Т.е. от того же СберОнлайн и криптовалюты вы вынуждены отказаться ввиду своей веры во всеобщую открытость? Чтобы от чего-то отказаться нужно это иметь.
Здравствуйте, Shmj, Вы писали:
S>Читаю. Мне не хватает порядка в жизни.
Это ты придумал так. Причина не в этом. И тебе тут уже сто раз говорили о причинах. Но ты не слушаешь и придумываешь свои. Борешься с ветряными мельницами, и как всегда это не приводит ни к чему, а становится только хуже, в частности, например, жена ушла. Но ты по-прежнему знаешь в чем причина, ага.
Здравствуйте, Dym On, Вы писали:
S>>Т.е. от того же СберОнлайн и криптовалюты вы вынуждены отказаться ввиду своей веры во всеобщую открытость? DO> Чтобы от чего-то отказаться нужно это иметь.
Не иметь мобильного банка на телефоне в 2021 году — это уже позиция. Вы именно из-за своей философии отказываетесь от одобств.
Здравствуйте, Homunculus, Вы писали:
H>Это ты придумал так. Причина не в этом. И тебе тут уже сто раз говорили о причинах. Но ты не слушаешь и придумываешь свои. Борешься с ветряными мельницами, и как всегда это не приводит ни к чему, а становится только хуже, в частности, например, жена ушла. Но ты по-прежнему знаешь в чем причина, ага.
Большая часть жен уходит, редко кто живет с одним мужем всю жизнь. Моя продержалась и так долго. Чтобы жена не хотела уйти — у нее должна быть семья нормальная, а не когда разводятся-сводятся по n раз. Просто с детства она насмотрелась что это норма — у нее был полу-брат от первого брака матери, для нее это норма искать лучшего.
У меня нет галлюцинаций и пр. главных признаков шизофрении, если ты об этом.
Здравствуйте, Shmj, Вы писали:
S>Не иметь мобильного банка на телефоне в 2021 году — это уже позиция. Вы именно из-за своей философии отказываетесь от одобств.
Мне не нужен мобильный банк. Коллега, ты даже не представляешь сколько ненужных вещей тебя окружает, без которых, как тебе кажется, невозможно существовать в современном мире.
Всю важную информацию надо зашифровать. Держать несколько копий в разных местах: у себя на компе, в облаке, на внешнем HDD лежащем в сейфе, у хороших друзей, в схроне (закопать в лесу или на огороде на даче).
Пошифрованные данные можно хоть на красной площади оглашать — один чёрт никто не разберёт.
Важно, чтобы данные были бы разделены на несколько раздельных массивов, скажем по тематикам. Тогда нет угрозы, что кто-то получит доступ сразу ко всему.
Доступ к массиву тут сводится к обладанию ключами шифрования.
А их можно можно расщепить, скажем абсолютно стойким шифром. Сохранив отдельно части. Тогда для получения доступа нужно собрать сразу все части. По-отдельности без полного их набора, они бесполезны.
Какие-то части можно положить в запечатанные конверты и раздать надёжным друзьям.
А можно применить один какой-то алгоритм, который я как-то встретил. (upd: про это есть в википедии статья https://ru.wikipedia.org/wiki/%D0%A0%D0%B0%D0%B7%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D1%81%D0%B5%D0%BA%D1%80%D0%B5%D1%82%D0%B0) Он позволяет расщепить пароль на N частей, да так, чтобы его восстановить нужно собрать не менее M (M < N) любых частей.
Тогда это повышает надёжность хранения. Даже если какие-то части пропадут, всё равно восстановить пароль возможно.
Но вообще, надо подумать о себе самом. Вдруг ты впадёшь в амнезию, забудешь где что спрятал и что лежит, или действительно сядешь пожизненно. Кто ещё из доверенных лиц сможет получить доступ?
Можно сделать три конверта, расщепить пароль на 3 части так, что для доступа нужно только 2. Все держат конверты в запечатанном виде, один у тебя, двое у твоих друзей. Друг-друга они не знают.
Ты постоянно проверяешь, что конверты по-прежнему у них запечатаны. Если с тобой что-то случается, они должны вскрыть свои конверты. Там инструкция и координаты их друг-друга. Они встречаются, и восстанавливают пароль.
Ещё, надо продумать вопрос сговора за твоей спиной. Например, проинструктировать, что если один из них будет устраивать поползновения в сторону другого, пусть другой тут же стучит тебе.
Вообще говоря, если кол-во друзей не 2, а больше (скажем 7), и необходимых частей надо собрать не 2, а скажем все 4, шансы что они все сговорятся и никто не настучит тебе — повышаются.
А так, у тебя должны быть пароли в исходном виде. А что-то особо ценное должно лежать в зашифрованном виде. Чем меньше ты его трогаешь — тем лучше. Пароля в исходном виде к этому у тебя нет, его надо собирать по-частям.
Для защиты от кейлоггеров, у тебя может в сейфе лежать маленький ноут (или даже смартфон). В опечатанном виде. На нём ничего нет, но гарантированно к нему никто не может внедриться. И да, конечно он не подключен никогда ни к каким сетям, или там интернету. Весь обмен информацией — через флешки, скажем. Привет Бин Ладену.
Шифрование с открытым ключом в одну сторону — это тема. Всё важное ты шифруешь открытым ключом, и кладёшь куда угодно. Хоть себе же на диск. Без закрытого ключа это уже не прочесть. А закрытый ключ лежит где следует (его можно расщепить).
В общем, вот ещё пища для размышлений.
А ещё, если что-то ты хочешь сохранить в тайне — надо в первую очередь позаботиться, чтобы не было вокруг этого бардака. Чтобы всякие там пароли и секретная инфа не лежала где-попало, не утекала, а была только в строго отведённых местах. Всё должно быть учтено и пронумеровано. Ну и конечно, чтобы круг лиц, имеющих к ней доступ был бы максимально узким. Начни в первую очередь с этого.
Здравствуйте, jamesq, Вы писали:
J>В общем, вот ещё пища для размышлений.
Это все слишком сложно и оторвано от реальности.
Вы пишите про алгоритм — а нужно писать про конкретную программу, которую вы используете.
Проверять конверты у друзей — геммор. Не, ну можно максимум дать другу флешку — сказать чтобы кинул себе в сейф на всякий пожарный. А конвертами доставать и прочей фигней — это уже слишком.
J>Для защиты от кейлоггеров, у тебя может в сейфе лежать маленький ноут (или даже смартфон). В опечатанном виде. На нём ничего нет, но гарантированно к нему никто не может внедриться. И да, конечно он не подключен никогда ни к каким сетям, или там интернету. Весь обмен информацией — через флешки, скажем. Привет Бин Ладену.
Не поможет. Все равно пароль будете вводить на том компе, который подключен к сети. Обмен через флешки — так же не безопасен.
J>А ещё, если что-то ты хочешь сохранить в тайне — надо в первую очередь позаботиться, чтобы не было вокруг этого бардака. Чтобы всякие там пароли и секретная инфа не лежала где-попало, не утекала, а была только в строго отведённых местах. Всё должно быть учтено и пронумеровано. Ну и конечно, чтобы круг лиц, имеющих к ней доступ был бы максимально узким. Начни в первую очередь с этого.
Он загружает копию зашифрованного файла в iCloud, откуда его могут читать другие устройства.
С Андроидом, наверное, аналогично может работать.
Когда у меня телефон как-то обнулился, то я установил eWallet на новом и он просто загрузил всё с облака.
Здравствуйте, Shmj, Вы писали:
S>Только один нюанс — деньги. Если получат доступ к вашему мессенджеру — с помощью соц. инженерии могут выпросить денег в долг у ваших друзей. Или получить доступ к вашему крипто-кошельку или даже банковскому счету.
Их можно расколоть примерно теми же методами. Меня пытались развести минимум дважды. Сообщения шли от имени людей, которых я хорошо знаю. Помню, один сразу денег попросил, но валютой ошибся. Второй все себя лучше, но прокололся на мелких деталях. Я пару наводящих вопросов задал, и он исчез.
И, разумеется, никто не отменял старый добрый телефон и общих знакомых. Один звонок — и я уже знаю, что у человека угнали пароли. Обращение к общим знакомым — и выясняется, что к ним шли такие же сообщения. Причем знакомые разбросаны по шарику. А кул-хацкер явно не в курсе.
Как сказал один мой знакомый по другому поводу: не теряйте бдительности.
А что там такого ценного то, что бы вообще так сильно заморачиваться?
Корпоративные тебе пересоздадут, на бесплатных сайтах перерегишся — если захочешь, ну пропадут фотки или доки — что без них прожить нельзя что ли? Репозитории — новые заведешь и т.д.
Зачем тебе эти ресурсы, к которым ты хочешь получить доступ? В нашей профессии самый незаменимый ресурс — голова.
Здравствуйте, m2l, Вы писали:
m2l>Здравствуйте, Shmj, Вы писали:
S>>Ваши варианты.
m2l>А что там такого ценного то, что бы вообще так сильно заморачиваться? m2l>Корпоративные тебе пересоздадут, на бесплатных сайтах перерегишся — если захочешь, ну пропадут фотки или доки — что без них прожить нельзя что ли? Репозитории — новые заведешь и т.д.
m2l>Зачем тебе эти ресурсы, к которым ты хочешь получить доступ? В нашей профессии самый незаменимый ресурс — голова.
Здравствуйте, m2l, Вы писали:
m2l>А что там такого ценного то, что бы вообще так сильно заморачиваться?
Хороший вопрос, тоже исходил из этого. У меня в порядке убывания важности:
1. Ключи доступа к плат. системам с деньгами, которые доступны без завязки на SMS. Это и крипта и не только. Банки так не умеют — там строго привязка к SMS. Можно лишить себя возможности и завязать все на SMS (ну, кроме крипты), но тогда лишаете себя возможностей, если потеряли телефон в чужой стране.
2. Ключи от проектов: домены, исходники, сертификаты (в т.ч. подписи кода), облачные сервисы. Вам то их выдают, а что если у тебя хоть и не большие, но свои проекты? Хотя бы чтобы вирусню от твоего имени не распространяли.
3. Ключ для ЭЦП для государства. Могут наделать глупостей от вашего имени.
4. Все-таки мессенджеры и email-ы (вместе с бекап-кодами). Не хочется чтобы получили переписку — там много и личного и могут использовать в соц. инженерии.
m2l>Корпоративные тебе пересоздадут, на бесплатных сайтах перерегишся — если захочешь, ну пропадут фотки или доки — что без них прожить нельзя что ли? Репозитории — новые заведешь и т.д.
Бесплатные сайты — не критично потерять. Но тратить время чтобы заводить новые — не хотелось бы.
>ну пропадут фотки или доки — что без них прожить нельзя что ли?
Нужно различать:
1. Утрата инфы.
2. Инфа попала в чужие руки.
Если фотки именно что не хотелось бы потерять, все-таки вдруг детям будет интересно посмотреть. То копии документов не хотелось бы чтобы попали в чужие руки — мало ли в какие махинации вас могут втянуть...
Здравствуйте, Shmj, Вы писали:
S>1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
2FA везде, на основе Yubikey и железного аутентификатора. В банковской ячейке — список кодов однократного использования.
S>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
TPM (Trusted Platform Module) и шифрование диска.
S>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
Синхронизирую между двумя квартирами через Syncthing, дополнительно закачиваю на Wasabi (использую duplicacy).
S>4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
Биометрия везде используется в качестве дополнительной меры, а не основной.
Здравствуйте, Cyberax, Вы писали:
C>2FA везде, на основе Yubikey и железного аутентификатора. В банковской ячейке — список кодов однократного использования.
1. Не хочется платить за ячейку.
2. Хочется чтобы все было доступно с привязкой лишь к Интернету, без всяких бумажек, токенов, телефонов. Возможно это противоречивое желание...
Здравствуйте, Shmj, Вы писали:
C>>2FA везде, на основе Yubikey и железного аутентификатора. В банковской ячейке — список кодов однократного использования.
S>1. Не хочется платить за ячейку. S>2. Хочется чтобы все было доступно с привязкой лишь к Интернету, без всяких бумажек, токенов, телефонов. Возможно это противоречивое желание...
Согласно принципу "distrust the infrastructure" — да, противоречивое. Точно так же, как и ячейка. Как и любая инфраструктура, которую ты не можешь контролировать.
S>1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
S>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
S>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
S>4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
S>Ваши варианты.
возможно, пропустил в ответах, но чем кипасс не устроил?
Здравствуйте, Михaил, Вы писали:
М>возможно, пропустил в ответах, но чем кипасс не устроил?
У меня было, что все пароли из Keepass утекли. Причина — возможно жена установила на телефон левое приложение и оно слило файл + мастер пароль. Сразу после этого начали приходить звоночки.
Но! Фишка в том, что это мало на что повлияло — все ключевые сервисы были с вторичным подтверждением или требовали ключ. А мелочь — для самих воров бессмысленна — они туда даже не заходили. Ну что можно поиметь с доступа к сайту на RSDN? Ничего — даже не заходили имеючи пароль.
А вот где хранить эти ключи и бекап-коды? Нельзя все в одной корзине.
Чтобы от чего-то отказаться нужно это иметь.
