Колодец Михаила «innerpsy» Шаламова

iDontCare, Это норм. Лучше не сделаешь.

Из твиттера:

17.08.2017 19:34
Когда становится грустно от затянувшихся заливов за столами, я просто беру калькулятор и умножаю мои запасы биткоина на его курс

Кто уже разбирался с этим - подскажите - вот допустим по телефону с гугл аутентификатором проехал бульдозер, как потом быть со всеми сайтами, на которых настроил 2фа через него? Нельзя ли сделать такой же гугл аутентификатор на второй телефон и убрать его в сейф? Как вообще обезопасить себя от потери доступа к сайтам с 2фа?

При подключении 2фа через гугл аутентификатор тебе выдается список кодов(вроде штук 5), которые можна использовать в любой момент при потере девайса с г.а. То есть записываешь их на листик и кладешь в сейф, в случае чего - вводишь, отменяешь 2фа, и делаешь новую на другой девайс.

В общем для себя решил проблему так - заново пройти процесс включения 2фа на всех сайтах, аккуратненько заскринить qr коды которые нужно сканить гугл аутентификатором, сделать из них один аккуратный файлик А4 распечатать его и убрать в сейф. Потом можно на любое устройство по нему добавлять 2фа

эмулятор на комп можно поставить андроида и запилить туда резервную копию

Цитата (inner @ 17.8.2017)
В общем для себя решил проблему так - заново пройти процесс включения 2фа на всех сайтах, аккуратненько заскринить qr коды которые нужно сканить гугл аутентификатором, сделать из них один аккуратный файлик А4 распечатать его и убрать в сейф. Потом можно на любое устройство по нему добавлять 2фа

рут + титаниум бэкап. и вуаля - у тебя второй телефон с аутентификатором.

Ужас какой, чего только не посоветуют.
Keepass и otp плагин вам нужен.
Там и парольки хранить и 2fa и синхронизация с облаком (keepass anywhere плагин) - всё что захотите.
В интернетах куча обучающих статей на русском, оно того стоит, я полностью отказался от дркгих менеджеров паролей (пользовался lastpass) и "листиков формата а4". За пару часиков разберетесь, а потом просто добавляйте туда все нужные 2fa коды, там хранится мастерключ и его можно куда угодно как угодно устанавливать потом.

https://www.safe-in-cloud.com/en/

лучшая связка на тел+комп.
пароли и 2фа коды держу там.
синхронизируется через облака типа дропбокса , гуглдиска итп

понеслась..

DimOK, itryshort, да, запихать в облака штуку, которая должна служить для двух-факторной ОФЛАЙН аутентификации (2фа онлайн/офлайн) – это гениально. Юзабили - норм, но с точки зрения безопасности лучше вообще не подключать двух-факторную аутентификацию в таком случае. Потому что подобные хранилища 100 проц привязываются к вашей почте. -почта, минус ВСЕ аккаунты автоматом.

Утопил айфон недавно, 5 ключей, которые выдавали тоже потерял, в итоге просто написал в скрилл, прошел верификацию и мне выдали новые ключи, т.е. в принципе никакой особо проблемы в случае утери девайса не будет.

Цитата (swan4 @ 18.8.2017)
Утопил айфон недавно, 5 ключей, которые выдавали тоже потерял, в итоге просто написал в скрилл, прошел верификацию и мне выдали новые ключи, т.е. в принципе никакой особо проблемы в случае утери девайса не будет.

Да скрилл прост твои стримы смотрит. Они оценили риски уничтожения твоего девайса вместе с кодами, поэтому они тебе без проблем всё сделали

Цитата (inner @ 17.8.2017)
Кто уже разбирался с этим - подскажите - вот допустим по телефону с гугл аутентификатором проехал бульдозер, как потом быть со всеми сайтами, на которых настроил 2фа через него? Нельзя ли сделать такой же гугл аутентификатор на второй телефон и убрать его в сейф? Как вообще обезопасить себя от потери доступа к сайтам с 2фа?

вместо гугл индентиф. для хранения 2фа кодов юзаю приложение "authy",
его главный плюс, что можно за 1 мин дублировать аккаунт на резервный смартфон
и держать коды на двух-трёх смартофнах одновременно и таким образом страховаться.
Если потерял основной смарт - в сейфе лежит резервный с полной копией всех 2фа.

Цитата (swan4 @ 18.8.2017)
Утопил айфон недавно, 5 ключей, которые выдавали тоже потерял, в итоге просто написал в скрилл, прошел верификацию и мне выдали новые ключи, т.е. в принципе никакой особо проблемы в случае утери девайса не будет.

ну так 2фа бывает не только у скрилла, иннер вот юзает криптобиржи там она тоже есть, и совсем не факт, что у них восстановление пройдет так же легко и быстро)

Ох, никто не хочет пособия в интернете читать, придётся разжёвывать.

Сначала давайте определимся, что нам нужно? Нам нужно, чтобы была легкая и удобная возможность авторизовываться на сайтах/программах с одного или нескольких компьютеров и одного или нескольких мобильных телефонов. Кроме того, есть данные, которые тоже нужно хранить скрытно, например реквизиты платёжных карт, различные идентификационные номера, телефоны любовниц и так далее.

При этом пароли должны быть длинные и сложные, везде разные, чтобы исключить полностью какие-либо варианты для подбора. Соответственно запомнить такие пароли невозможно, их обязательно нужно откуда-то копировать.

А значит нам нужно хранилище паролей.

Самое популярное децентрализованное opensource хранилище паролей - это Keepass. Почему обязательно децентрализованное? Потому что в один прекрасный день ваш замечательный lastpass не загрузится и это будет очень грустно. Вероятность такого невелика, но, определенно, существует, а поскольку мы ПОЛНОСТЬЮ полагаемся на наш парольник (иначе смысла нет вообще в парольнике, если вы не полагаетесь на него везде и полностью), то мы хотим полностью сами контролировать доступность наших данных. Почему обязательно opensource? Потому что благодаря открытости программного кода, много людей пишут клиенты под этот формат базы данных, и даже если когда-нибудь именно keepass куда-то пропадёт, будет несложно найти альтернативный клиент, поддерживающий формат Keepass.

Итак, ваши секретные данные хранятся в базе данных. База данных закодирована мастер-паролем. Человек, у которого есть база данных И мастер-пароль, сможет ею воспользоваться. Сама по себе база данных - это беспорядочный набор байт, без мастер-пароля с ней нельзя сделать вообще ничего. Мастер-паролем должна быть достаточно длинная (от 10 символов) фраза в ANSI-кодировке (это латиница, спецсимволы, цифры, никакой кириллицы и прочих эмодзи, чтобы исключить возможность глюков где бы то ни было) с разными группами символов, не являющаяся словарным словом и легкозапоминаемая. Примеры хороших мастер-паролей: "cashMolodec, MTT - loh", "moyBankroll=Inf", "Wup-wup suda idi!" и так далее.

Защита от подбора мастер-пароля в Keepass тоже есть, там в настройках можно настроить, сколько итераций хеширования нужно сделать, прежде чем проверить пароль. Чем больше итераций, тем дольше будет загружаться база при инициализации паролем. Я рекомендую поставить это время примерно 0.2 секунды на вашей самой быстрой машине. Для вас это почти неуловимая задержка, а для злоумышленников - полный и абсолютный крест на любых попытках перебора, перебирать пароли со скоростью 300 штук в минуту можно до скончания времён.

Таким образом всё, что вам нужно - это придумать и запомнить на всю жизнь мастер-пароль и создать по синхронизируемой копии на каждом из устройств, которыми вы пользуетесь. Синхронизировать можно средствами облачного хранилища (любого, вы же помните, что без мастер-пароля файл абсолютно бесполезен злоумышленникам) или средствами плагинов keepass, например через webDAV. Я просто зарегистрировал отдельный "мусорный" аккаунт в сетевом хранилище и положил туда один файл моей парольной базы, больше там ничего нет, есть удобный плагин KeeAnywhere, там всё хорошо сделано и понятно.

Теперь про 2FA, с чего собственно всё началось. 2FA представляет собой простенький алгоритм, который из текущего времени и мастер-ключа (небольшая строчка вида GMPTGHEVZUCY357N) генерирует последовательность из 6-8 чисел. Если вы запомните эту строчку и сможете получить текущее время - вы сможете сгенерировать такой же код. В Keepass это делает плагин keeOTP.

Есть плагины ко всем популярным браузерам, которые находят и добавляют на страницу сайта ваши авторизационные данные, остаётся только кнопку нажать, работает хорошо, не глючит ни в хроме, ни в фаерфоксе (мой основной браузер на текущий момент).

И потом не спеша каталогизируете все свои учётные записи, добавляете, сохраняете, синхронизируете, сначала работы много, но можно не спешить. У меня за пару недель (и сутки в самом начале) получилось спокойно переползти с ластпасса на кипасс, отказаться от authy и вообще начать очень радоваться, как удобно всё работает, выглядит это примерно так:

В интернете очень много всяких инструкций, с их помощью за один-два дня вы сможете настроить и полностью контролировать доступ ко всем своим авторизационным данным, обеспечить индивидуальный неподбираемый пароль ко всем сервисам и полностью перестать зависеть от каких-либо служб и девайсов, все ваши данные в одной базе и она надёжно защищена.

DimOK, KeePass - отличная штука, но если в нее втыкать плагин для 2fa, то смысл двухфакторной аутентификации теряется полностью. В 2fa мы специально разносим два наших пароля по разным физическим носителям для того, чтобы если какой-нибудь нехороший человек узнает основной пароль или даже получит физический доступ к устройству, он все равно не смог бы залезть в наш аккаунт и сделать гадость. Если же ты собираешься все пароли складывать в одно место, то проще вообще отключить 2fa и не морочить себе голову.

Лично мне больше нравится хранить в KeePass'e основные пароли, а 2fa оставлять на откуп телефону.

inner, там выше правильно написали, что при включении 2fa на конкретном сайте тебе выдается набор одноразовых кодов, которые ты можешь использовать для доступа к своему аккаунту. Их вполне можно зашифровать и закинуть куда-нибудь в облако, чтобы в случае потери телефона ты в любом месте, где есть связь, мог бы получить к ним доступ. Ну или на флешку - опять же в зашифрованном виде.

DimOK,
1password, тоже хороший для хранения паролей? Там вроде не в облаке но можно поставить на комп+телефон что снижает вероятность потерять одновременно доступ к нему.

Цитата (elterion @ 18.8.2017)
что при включении 2fa на конкретном сайте тебе выдается набор одноразовых кодов, которые ты можешь использовать для доступа к своему аккаунту.

а если не сохранил в первый раз эти пароли что делать?

Цитата (freestyler @ 18.8.2017)
вместо гугл индентиф. для хранения 2фа кодов юзаю приложение "authy",
его главный плюс, что можно за 1 мин дублировать аккаунт на резервный смартфон

и держать коды на двух-трёх смартофнах одновременно и таким образом страховаться.
Если потерял основной смарт - в сейфе лежит резервный с полной копией всех 2фа.

Вот кстати неплохой медот прям. Замучался выкл-вкл и переустанавливать 2фа на площадках и телефоне при покупке нового. В сервисе магазина ничего не предложили кроме как вручную делать, мол типа с бекапом не переносится такая инфа.

Цитата (elterion @ 18.8.2017)
DimOK, KeePass - отличная штука, но если в нее втыкать плагин для 2fa, то смысл двухфакторной аутентификации теряется полностью. В 2fa мы специально разносим два наших пароля по разным физическим носителям для того, чтобы если какой-нибудь нехороший человек узнает основной пароль или даже получит физический доступ к устройству, он все равно не смог бы залезть в наш аккаунт и сделать гадость. Если же ты собираешься все пароли складывать в одно место, то проще вообще отключить 2fa и не морочить себе голову.

Тут такая вот неприятная штука, что смысла в двухфакторной аутентификации, по большому счёту, нет.
Это этакий костыль, так же как и нереальные требования, типа "Ваш пароль hGd%anx_a не подходит, добавьте хотя бы одну цифру", чтобы домохозяйки чуть реже теряли свои пароли.

Всё очень просто: или вы следите за своим комьпьютером, соблюдаете базовые правила безопасности, хорошо храните и генерируете свои пароли, и тогда у вас всё хорошо, или же у вас "узнали основной пароль", и тогда вам уже мало что поможет, а 2FA только отсрочит этот момент.

К сожалению, всё больше и больше сайтов заставляют меня принимать дополнительные меры безопасности - указывают, какими должны быть пароли, некоторые даже предлагают их менять регулярно, кто-то требует 2FA включать, чтобы получить всякие плюшки. Всё в комплексе направлено на повышение среднего уровня безопасности, но я-то не средний! Я хочу поставить пароль "12345" на торрент-трекер, а на интернет-банк короткий, но сверхнадёжный "K*1n #", ан нет, торрент-трекер хочет заглавные и строчные буквы, а интернет-банк - не менее восьми символов.

Поэтому отключить 2FA часто нельзя, приходится мучиться, мучиться лучше в одном месте, поэтому мне было очень удобно. Если вы готовы терпеть маленькие неудобства - пожалуйста, создавайте две базы, одну храните только на телефоне и в ней генерируйте 2FA, другую только на компьютере и в ней пароли. Главное то, что НУЖНО хранить вот этот мастер-код для 2FA, чтобы не было никаких проблем с переносом на различные учётки/девайсы. Например в той же Authy, которая действительно весьма удобна, нельзя перенести пароль в другое место, если же хранить мастер-код, то это совсем несложно. Кроме KeePass я не видел хранилищ мастер-кодов для 2FA. Одноразовые коды - это, опять же, порнография для домохозяек.

1password, как и многие-многие другие альтернативы вполне способен удовлетворить потребности в хранении паролей (для этого он и придуман), но мне всё-таки нравится опенсурс и децентрализованность.