Здравствуйте, Shmj, Вы писали:
S>Только один нюанс — деньги. Если получат доступ к вашему мессенджеру — с помощью соц. инженерии могут выпросить денег в долг у ваших друзей. Или получить доступ к вашему крипто-кошельку или даже банковскому счету.
Их можно расколоть примерно теми же методами. Меня пытались развести минимум дважды. Сообщения шли от имени людей, которых я хорошо знаю. Помню, один сразу денег попросил, но валютой ошибся. Второй все себя лучше, но прокололся на мелких деталях. Я пару наводящих вопросов задал, и он исчез.
И, разумеется, никто не отменял старый добрый телефон и общих знакомых. Один звонок — и я уже знаю, что у человека угнали пароли. Обращение к общим знакомым — и выясняется, что к ним шли такие же сообщения. Причем знакомые разбросаны по шарику. А кул-хацкер явно не в курсе.
Как сказал один мой знакомый по другому поводу: не теряйте бдительности.
А что там такого ценного то, что бы вообще так сильно заморачиваться?
Корпоративные тебе пересоздадут, на бесплатных сайтах перерегишся — если захочешь, ну пропадут фотки или доки — что без них прожить нельзя что ли? Репозитории — новые заведешь и т.д.
Зачем тебе эти ресурсы, к которым ты хочешь получить доступ? В нашей профессии самый незаменимый ресурс — голова.
Здравствуйте, m2l, Вы писали:
m2l>Здравствуйте, Shmj, Вы писали:
S>>Ваши варианты.
m2l>А что там такого ценного то, что бы вообще так сильно заморачиваться? m2l>Корпоративные тебе пересоздадут, на бесплатных сайтах перерегишся — если захочешь, ну пропадут фотки или доки — что без них прожить нельзя что ли? Репозитории — новые заведешь и т.д.
m2l>Зачем тебе эти ресурсы, к которым ты хочешь получить доступ? В нашей профессии самый незаменимый ресурс — голова.
Здравствуйте, m2l, Вы писали:
m2l>А что там такого ценного то, что бы вообще так сильно заморачиваться?
Хороший вопрос, тоже исходил из этого. У меня в порядке убывания важности:
1. Ключи доступа к плат. системам с деньгами, которые доступны без завязки на SMS. Это и крипта и не только. Банки так не умеют — там строго привязка к SMS. Можно лишить себя возможности и завязать все на SMS (ну, кроме крипты), но тогда лишаете себя возможностей, если потеряли телефон в чужой стране.
2. Ключи от проектов: домены, исходники, сертификаты (в т.ч. подписи кода), облачные сервисы. Вам то их выдают, а что если у тебя хоть и не большие, но свои проекты? Хотя бы чтобы вирусню от твоего имени не распространяли.
3. Ключ для ЭЦП для государства. Могут наделать глупостей от вашего имени.
4. Все-таки мессенджеры и email-ы (вместе с бекап-кодами). Не хочется чтобы получили переписку — там много и личного и могут использовать в соц. инженерии.
m2l>Корпоративные тебе пересоздадут, на бесплатных сайтах перерегишся — если захочешь, ну пропадут фотки или доки — что без них прожить нельзя что ли? Репозитории — новые заведешь и т.д.
Бесплатные сайты — не критично потерять. Но тратить время чтобы заводить новые — не хотелось бы.
>ну пропадут фотки или доки — что без них прожить нельзя что ли?
Нужно различать:
1. Утрата инфы.
2. Инфа попала в чужие руки.
Если фотки именно что не хотелось бы потерять, все-таки вдруг детям будет интересно посмотреть. То копии документов не хотелось бы чтобы попали в чужие руки — мало ли в какие махинации вас могут втянуть...
Здравствуйте, Shmj, Вы писали:
S>1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
2FA везде, на основе Yubikey и железного аутентификатора. В банковской ячейке — список кодов однократного использования.
S>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
TPM (Trusted Platform Module) и шифрование диска.
S>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
Синхронизирую между двумя квартирами через Syncthing, дополнительно закачиваю на Wasabi (использую duplicacy).
S>4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
Биометрия везде используется в качестве дополнительной меры, а не основной.
Здравствуйте, Cyberax, Вы писали:
C>2FA везде, на основе Yubikey и железного аутентификатора. В банковской ячейке — список кодов однократного использования.
1. Не хочется платить за ячейку.
2. Хочется чтобы все было доступно с привязкой лишь к Интернету, без всяких бумажек, токенов, телефонов. Возможно это противоречивое желание...
Здравствуйте, Shmj, Вы писали:
C>>2FA везде, на основе Yubikey и железного аутентификатора. В банковской ячейке — список кодов однократного использования.
S>1. Не хочется платить за ячейку. S>2. Хочется чтобы все было доступно с привязкой лишь к Интернету, без всяких бумажек, токенов, телефонов. Возможно это противоречивое желание...
Согласно принципу "distrust the infrastructure" — да, противоречивое. Точно так же, как и ячейка. Как и любая инфраструктура, которую ты не можешь контролировать.
S>1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
S>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
S>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
S>4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
S>Ваши варианты.
возможно, пропустил в ответах, но чем кипасс не устроил?
Здравствуйте, Михaил, Вы писали:
М>возможно, пропустил в ответах, но чем кипасс не устроил?
У меня было, что все пароли из Keepass утекли. Причина — возможно жена установила на телефон левое приложение и оно слило файл + мастер пароль. Сразу после этого начали приходить звоночки.
Но! Фишка в том, что это мало на что повлияло — все ключевые сервисы были с вторичным подтверждением или требовали ключ. А мелочь — для самих воров бессмысленна — они туда даже не заходили. Ну что можно поиметь с доступа к сайту на RSDN? Ничего — даже не заходили имеючи пароль.
А вот где хранить эти ключи и бекап-коды? Нельзя все в одной корзине.
