1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
Лично я придумал мнемонический алгоритм для себя, который на основании имени домена или сервиса дает возможность создать пароль к нему. На основании этой мнемоники я могу сказать пароль с сайту, на котором я даже и не зарегистрирован
Таким образом — все пароли в голове.
И да, то что некоторые сервисы требуют иногда менять пароль — мой алгоритм тоже учитывает
Здравствуйте, Homunculus, Вы писали:
H>Лично я придумал мнемонический алгоритм для себя, который на основании имени домена или сервиса дает возможность создать пароль к нему. На основании этой мнемоники я могу сказать пароль с сайту, на котором я даже и не зарегистрирован H>Таким образом — все пароли в голове. H>И да, то что некоторые сервисы требуют иногда менять пароль — мой алгоритм тоже учитывает
Вопросы:
1. Что делать с сервисами, которые сами тебе дают пароль. Сюда же относим номер банковских карт, etc. Такие тоже есть.
2. Где вы храните версию пароля (если заставили сменить пароль)?
3. Где вы храните ключи?
4. Где вы храните программу, которая генерит пароли?
5. Что делать, если фишинговая программа (через жену, к примеру) или кейлоггер увел ваш мастер-пароль?
Здравствуйте, Shmj, Вы писали:
S>1. Взломают комп или телефон (в т.ч. программа шпион/кейлоггер etc.) — не могут получить доступ к ключевым ресурсам (хотя бы там, где есть двухфакторная).
Использовать двухфакторную авторизацию.
S>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
Использовать шифрование диска.
S>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
Использовать бэкапы базы данных с паролями, хранящуюся вне твоего дома. Например хороший вариант — хранить зашифрованную базу данных KeePass в своём профиле на RSDN. Ты всегда сможешь её скачать. Ну а пароль от самой базы хранить в голове, конечно же.
S>4. Чтобы если мне оторвет пальцы — все продолжало работать (т.е. привязка к биометрии — не годится).
Привязка к биометрии в любом случае не годится, это всего лишь удобный способ запомнить пароль на небольшой промежуток времени.
S>Ваши варианты.
Да вроде всё достаточно просто. KeePass для паролей, копия базы данных в интернете, двухфакторная авторизация на важных ресурсах (например gmail). Также, если речь о gmail, нужно распечатать коды восстановления, арендовать банковскую ячейку и хранить их там.
Здравствуйте, vsb, Вы писали:
vsb>Использовать двухфакторную авторизацию.
Двухфакторая — хорошо. Но что если украли телефон а вы в чужой стране и не можете пойти к оператору и восстановить SIM-карту?
Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
S>>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
vsb>Использовать шифрование диска.
А где хранить пароль к диску?
S>>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
vsb>Использовать бэкапы базы данных с паролями, хранящуюся вне твоего дома. Например хороший вариант — хранить зашифрованную базу данных KeePass в своём профиле на RSDN. Ты всегда сможешь её скачать. Ну а пароль от самой базы хранить в голове, конечно же.
В профиле — слишком палевно. Да и RSDN бывает что отключается — он же в Влада под столом живет. Нужно другое место. Где?
S>>Ваши варианты.
vsb>Да вроде всё достаточно просто. KeePass для паролей, копия базы данных в интернете,
Где именно в интернете? Насколько надежен сервис?
vsb>двухфакторная авторизация на важных ресурсах (например gmail). Также, если речь о gmail, нужно распечатать коды восстановления, арендовать банковскую ячейку и хранить их там.
А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
Здравствуйте, Homunculus, Вы писали:
H>Что это? У меня нет такого
Это ключ, с помощью которого можно получить доступ к гос. ресурсам. К примеру, можно подать в суд через интернет. Или посмотреть кто на тебя подал в суд, подать доп. документы.
S>>Или бекап-коды для Google-аккаунта (на случай, если телефон украдут в чужой стране). H>Я не знаю что такое «бэкап-коды»
Это коды, которые позволяют получить доступ к аккаунту в случае, если у вас украли телефон и вы не можете принять SMS а так же использовать Google Auth.
Здравствуйте, Shmj, Вы писали:
S>Это ключ, с помощью которого можно получить доступ к гос. ресурсам.
У меня нет такого.
S>Это коды, которые позволяют получить доступ к аккаунту в случае, если у вас украли телефон и вы не можете принять SMS а так же использовать Google Auth.
У меня нет. Как появится — буду думать. А пока вполне обсекьюрин тем что придумал
Здравствуйте, Homunculus, Вы писали:
S>>Это коды, которые позволяют получить доступ к аккаунту в случае, если у вас украли телефон и вы не можете принять SMS а так же использовать Google Auth.
H>У меня нет. Как появится — буду думать. А пока вполне обсекьюрин тем что придумал
Gmail у вас есть? Требует ввести код из SMS при первой авторизации?
Здравствуйте, Shmj, Вы писали:
S>Gmail у вас есть? Требует ввести код из SMS при первой авторизации?
Есть, конечно. Требует.
Ну вообще, дальше тема неинтересна мне. Можно кучу бредовых ситуаций придумать. Уехал заграницу и телефон украли. Ну, раз идиот — лови проблемы. Руки оторвали, ноги оторвали, голову оторвали. Что еще придумаешь? На каждый бред шапочку из фольги не придумаешь
Здравствуйте, Shmj, Вы писали:
vsb>>Использовать двухфакторную авторизацию.
S>Двухфакторая — хорошо. Но что если украли телефон а вы в чужой стране и не можете пойти к оператору и восстановить SIM-карту?
Двухфакторная не обязательно означает телефонный номер. Есть специализированные устройства. Есть программы, которые работают в offline (т.е. можно купить самый дешёвый android, не ставить туда sim-карту, не подключать его к интернету, тем самым убрав 99% векторов атак, установить туда Google Authenticator и всё).
S>Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
Ну в случае путешествия в другую страну просто напиши эти коды и прилепи на дно чемодана.
S>>>2. Воры взломают сейф и унесут ноутбук — не могли получить доступ к ресурсам.
vsb>>Использовать шифрование диска.
S>А где хранить пароль к диску?
В голове. Вводится при загрузке и разблокировке компьютера. В макбуках это работает из коробки. Для Windows-ноутбуков точно не знаю, но в бизнес-моделях это точно есть.
S>>>3. Сгорит дом со всеми девайсами и записями (или меня голого и босого опять отправят в Ялту) — я мог получить доступ ко всем своим ресурсам.
vsb>>Использовать бэкапы базы данных с паролями, хранящуюся вне твоего дома. Например хороший вариант — хранить зашифрованную базу данных KeePass в своём профиле на RSDN. Ты всегда сможешь её скачать. Ну а пароль от самой базы хранить в голове, конечно же.
S>В профиле — слишком палевно.
А чего ты боишься? Он же зашифрован, причём пароль такой, который принципиально не подбирается (12 буквоцифр, например).
S>Да и RSDN бывает что отключается — он же в Влада под столом живет.
Не так уж часто он отключается. Это должно прям совпасть, что и у тебя беда, и сервер не работает и пароль тебе нужен вот прям здесь и сейчас. Вряд ли.
S>Нужно другое место. Где?
Да любое место в интернете, где можно захостить файл и запомнить короткую ссылку. У меня вот свой сервер есть, которым я пользуюсь для некоторых целей, запомнить URL вида myserver.com/Database.kdbx вроде несложно. В итоге в любом месте земного шара я могу скачать свою базу данных, пароль я помню, т.е. все пароли мне доступны. Но и без своего сервера мест, где можно захостить небольшой файлик, думаю, в интернете хватает.
S>Где именно в интернете? Насколько надежен сервис?
Не важно, насколько он надёжен. Главное — чтобы он не был совсем уж ненадёжным. Потому, что он будет использоваться лишь в экстренном случае.
S>А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
Для этого можно распечатать коды восстановления и хранить их отдельно от телефона.
Здравствуйте, Shmj, Вы писали:
S>Вот идеал:
В текущих условиях это стратегически неверный идеал.
S>Ваши варианты.
Руководствуюсь правилом: Лучший способ хранить тайны — не иметь никаких тайн. В наше время утаить практически ничего нельзя, любая информация, как бы ты ее не скрывал может быть (и будет)опубликована.
Отсюда вытекает есть две стратегии (может и больше, но я обобщил до двух, крайние случаи, типа, «ухода в тайгу» не рассматриваем):
1. Создавать вокруг себя столько инфошума, чтобы инфа, не предназначенная для широкой публики, осталась ею (широкой публикой) не замечена (этой стратегии придерживался мышъх).
2. Все свои действия планировать, исходя из того, что про них всё всем известно.
Первая стратегия сложна в реализации, и подходит не всем, а вот второй я сам пользуюсь. Поэтому у меня нет никаких паролей на комп, телефон, планшет и прочие гаджеты. Если кто-то украдет мой телефон, он, в информационном плане, ровным счетом ничего нового или, того, чего я бы хотел скрыть, про меня не узнает.
Здравствуйте, Homunculus, Вы писали:
H>Есть, конечно. Требует. H>Ну вообще, дальше тема неинтересна мне. Можно кучу бредовых ситуаций придумать. Уехал заграницу и телефон украли. Ну, раз идиот — лови проблемы. Руки оторвали, ноги оторвали, голову оторвали. Что еще придумаешь? На каждый бред шапочку из фольги не придумаешь
Украли телефон — не такая уж редкая ситуация. Хотелось бы чтобы не было железной привязки к телефону в принципе.
Здравствуйте, vsb, Вы писали:
vsb>Двухфакторная не обязательно означает телефонный номер. Есть специализированные устройства. Есть программы, которые работают в offline (т.е. можно купить самый дешёвый android, не ставить туда sim-карту, не подключать его к интернету, тем самым убрав 99% векторов атак, установить туда Google Authenticator и всё).
Если у тебя есть бекап коды, а они у тебя есть (см. ниже) — то доп. устройство погоды не строит. Т.е. оно не важно.
S>>Есть бекап-коды Google, к примеру. Но где их хранить? Если на компе вместе с паролями — то взломщик украдет их и получит доступ к ресурсу! Вот в чем проблема то!!!
vsb>Ну в случае путешествия в другую страну просто напиши эти коды и прилепи на дно чемодана.
Забудешь!!! Если ты будешь распечатывать коды только перед поездкой — то не вспомнишь все что нужно. Об этом нужно думать в спокойной обстановке, в момент когда ты регаешь новый акк или приводишь в порядок политику доступа.
Т.е. уже заранее все эти коды должны быть распечатаны и ты должен знать где они.
S>>А где хранить пароль к диску?
vsb>В голове. Вводится при загрузке и разблокировке компьютера. В макбуках это работает из коробки. Для Windows-ноутбуков точно не знаю, но в бизнес-моделях это точно есть.
А чем простой пароль на вход хуже?
S>>В профиле — слишком палевно.
vsb>А чего ты боишься? Он же зашифрован, причём пароль такой, который принципиально не подбирается (12 буквоцифр, например).
Может кейлоггером кто-то получит.
S>>Да и RSDN бывает что отключается — он же в Влада под столом живет.
vsb>Не так уж часто он отключается. Это должно прям совпасть, что и у тебя беда, и сервер не работает и пароль тебе нужен вот прям здесь и сейчас. Вряд ли.
Совпадет. Нужно хранить на чем то типа S3.
S>>Нужно другое место. Где?
vsb>Да любое место в интернете, где можно захостить файл и запомнить короткую ссылку. У меня вот свой сервер есть, которым я пользуюсь для некоторых целей, запомнить URL вида myserver.com/Database.kdbx вроде несложно. В итоге в любом месте земного шара я могу скачать свою базу данных, пароль я помню, т.е. все пароли мне доступны. Но и без своего сервера мест, где можно захостить небольшой файлик, думаю, в интернете хватает.
Если вас резко посадили в тюрьму на 10 лет — ваш сайт станет не доступен за это время.
S>>Где именно в интернете? Насколько надежен сервис?
vsb>Не важно, насколько он надёжен. Главное — чтобы он не был совсем уж ненадёжным. Потому, что он будет использоваться лишь в экстренном случае.
На моей практике — в экстренном случае как раз все перестает работать.
S>>А что если у вас украдут телефон в чужой стране? Как вы получите доступ к банковской ячейке?
vsb>Для этого можно распечатать коды восстановления и хранить их отдельно от телефона.
Где хранить? Если сейф взломали — то получат ваши коды.
Здравствуйте, Dym On, Вы писали:
DO>Первая стратегия сложна в реализации, и подходит не всем, а вот второй я сам пользуюсь. Поэтому у меня нет никаких паролей на комп, телефон, планшет и прочие гаджеты. Если кто-то украдет мой телефон, он, в информационном плане, ровным счетом ничего нового или, того, чего я бы хотел скрыть, про меня не узнает.
Только один нюанс — деньги. Если получат доступ к вашему мессенджеру — с помощью соц. инженерии могут выпросить денег в долг у ваших друзей. Или получить доступ к вашему крипто-кошельку или даже банковскому счету.
Деньги пока общими не стали — мы не в коммунизме живем. По этому друг от друга прячем их — никто не готов сказать на публично где и сколько денег у него лежит и уж тем более ключи доступа к управлению счетом.
