vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Migalki Club
Старожил
Меценат💎
Когда попробовал настроить способы доступа в аккаунты
Как достаточно типичный почти современный человек, я решил аккуратно пройтись по всем своим аккаунтам, чтобы не утерять к ним доступ в наше чудесное время взаимных санкций, ковровых блокировок и массового банометания... И расскажу об итогах.
Аккаунт не волк - в лес не убежит
Знал бы где сломают - подложил емайл
Второго фактора бояться - на Госуслуги не ходить
Век живи, век учись, а МАКС поставишь
(и мое любимое!)
Готовь сани летом, а второй фактор и третий способ сегодня
Задача, которую я поставил перед собой - сделать всё необходимое для того, чтобы мои аккаунты остались моими, то есть к ним не получили доступ те кому не положено и мог получить доступ я. Рассказываю, от каких рисков удалось защититься - от каких нет.
Главные требования
Все способы доступа должны быть понятны, надежны, удобныВо-первых, я должен понимать как минимум в общих чертах работу этих механизмов, если я не понимаю что-то (как минимум в базе) - то я это не могу использовать.
Второе и самое важное - контролировать распространение моей ключевой информации и доступ к ней должен я.
Не неизвестный сколь угодно высококвалифицированный, сертифицированный, обличенный доверием, лицензированный, прошедший 5 собеседований и прочее абстрактный специалист - а я, и только я.
Также крайне желательно, чтобы мои подходы могли быть отмасштабированы на других людей, ведь мне очень хочется, чтобы я мог научить следить за своими аккаунтами и членов своей семьи - и старших, и младших.
И еще - я не должен потерять доступ к аккаунту если потеряю телефон, потеряю возможность принимать СМС, потеряю контроль над номером телефона - ни одно из этих событий не должно привести к тому, что я потеряю доступ к аккаунтам
Какие инструменты были сразу отброшены?
SMS и аутентификация черезИтого, мы получаем следующие способы:
- Пароль
- TOTP
- Passkey
- Apple
- Госуслуги
- Сбер
- Т-Банк
- МТС
- Cloud.RU
- ВК
- Яндекс
- Microsoft
- Озон
- Вайлдберис
- Авито
- СберМобайл
- VK Cloud
- Телеграм
- Множество разных сайтов (трекеры, форумы внеэкосистемные сервисы типа github/gitlab, пароли на большое количество железок и т.д.)
Где можно хранить ключевую информацию
Для хранения всей этой истории (пароли, passkeys, TOTP) у меня есть "доверенные" устройства - iPhone и два Android-смартфона, которые я выбираю в зависимости от фазы луны. Кроме того, я хочу подстраховаться от потери доступа к "экосистеме" - то есть например к аккаунту Apple или Google, и это существенно отличается от большинства людей, у которых один смартфон, одна экосистема. один главный аккаунт.Как я организовал работу и управление ключевой информацией:
- На всех сервисах где есть такая возможность используется парольная аутентификация
- Пароли сохраняют на iPhone в Passwords.app
- Пароль сохраняется на iPhone в KeePass Touch
- База паролей передается отправляется на два Андроид-телефона
- База паролей копируется на ноутбук с Linux и на NAS в бэкап
- TOTP сохраняются в Passwords.app и Google Authenticator (без синхронизации с облаком!)
- Passkeys сохраняются в Passwords.app, Google Password Manager и в локальной учетной записи Windows, не привязанной к учетной записи Microsoft. Первые два облачные, удобной альтернативы им я пока не подобрал. Но поскольку passkeys не единственный способ, то это не особо напрягает
- Пароли - 4 копии рабочих + бэкап
- OTP - 4 независимых копии? из них одна облачная (Apple)
- Passkeys - 3 независимых копии, из них 2 облачные (Apple и Google)
От чего хотим защититься
- Потеря доступа к устройству
- Блокировка аккаунтов Apple и Google (в т.ч. столь любимый многими "чебурнет")
- Потеря контроля над номером телефона
Сервис | Пароль | TOTP | Passkey | Прочее |
Google | Да | Да | Да | Несменяемый (до последнего момента) email |
Apple | Да | частично | частично | Вместо OTP и Passkeys используются собственные механизмы, похожие, но think different |
Госуслуги | Да | Да | | |
Сбер ID | Да | | Да | Добавить passkey на сайте невозможно - только "по кнопке на сайтах партнеров". Удалить отдельно взятый ключ нельзя - только удалить ВСЕ. Аккаунт привязан к номеру телефона. Сменили номер - прощайте passkeys |
Т-Банк | Да | Да | | |
МТС | Да | | Да | Аккаунт НЕСМЕНЯЕМО привязан к номеру телефона. |
Cloud.RU | Да | Да | частично | Passkeys - через Сбер ID |
ВК | Да | Да | Да | Конфликт в некоторых сервисах между учетной записью сервиса привязанной к адресу @mail.ru и учетной записью VK ID |
Яндекс | Да | Да | Да | Не люблю яндекс. Я бы сказал что они красавцы в рассматриваемой теме |
Microsoft | Да | Да | Да | Был приятно удивлен |
Озон | Да | | | Вторым фактором только СМС |
Wildberries | | | | Вход только кодом через другую копию приложению или СМС. Серьезно, вот даже так? |
Авито | Да | | | Еще одни любители второго фактора через СМС |
СберМобайл | | | | Всё через ... Сбер ID |
VK cloud | Да | Да | | |
Сбербанк Онлайн | Да | | | Второй фактор только через СМС. Или использовать Сбер ИД |
WhatsApp | | | частично | Только один passkey на аккаунт. Или вход через другую сессию по присланному коду. |
Телеграм | Да | | Да | Второй фактор через СМС или другую сессию Телеграм |
Huawei Account | Да | | | Второй фактор - код через почту, телеграм или WhatsApp |
Honor Account | Да | | | Аналогично Huawei |
Профильные форумы, ресурсы и небольшие сервисы | Почти у всех | | | Как правило, пароль и привязка email. С учетом уровня (не)серьезности, вполне достаточно |
Первая группа - Отлично
- ВК - логин отделен от всех сущностей, все нужные методы аутентификации есть. Но проблемы с легаси-аккаунтами все портят
- Яндекс - практически идеально
- Google - несменяемый о последнего времени email все портил, но вроде бы грядет эра перемен
- Microsoft - фиксированный email
- Apple (?) - вроде все что нужно есть, но крайне неприятно что работает только через Apple и нестандартно. Фоллбэк только на СМС
- МТС и Сбер - господа, ну зачем так непрофессионально, а? Приравнять номер к логину...
У Сбер ID можно сменить номер - вот только в Passkey зашит номер в качестве логина. Дорогие коллеги из сбера, зачем вы такую чушь сотворили? Я ведь знаю, что у вас например есть честный логин в сбербанк онлайне, то есть вы вроде бы достаточно технически и продуктово подкованы... Были, как минимум. И невероятно уникальное решение удалять ВСЕ passkeys при утере устройства с ОДНИМ. Скажите - а вы при головной боли голову не отрубаете?
- Т-Банк и ВК cloud - скромненько но со вкусом. Но passkeys бы не помешал. Это прикольно и удобно
- Телеграм - честный второй фактор был бы лучше. А за адекватные passkeys - разработчикам искреннее уважение
- Озон и Авито - ну вот что, правда что ли? Все так тоскливо?
- WhatsApp - днище. Если бы его не заблокировали - я бы поддержал требование его блокировки. Такие ущербные не имеют права на эксплуатацию (кстати не подскажет ли кто-нибудь из читателей, где в WhatsApp кнопка Logout - я ее не нашел)
- Honor и Huawei - Восток дело тонкое. И печальное
- Wildberries - я понимаю, что ориентация на среднего клиента заставляет упрощать все до предела. Но зачем лишать выбора тех, кто знает чего хочет?
Протоколы доступа при проблемах
Смоделировать мысленно что надо делать в случае какой проблемы - это обязательный этап. Не будем его пропускать- Потеря iPhone - берем пароли, TOTP и passkeys с Android
- Потеря Android - пароли, TOTP и Passkeys из Passwords.app и Google Authenticator с iPhone
- Блокировка аккаунтов Apple и Google (в т.ч. столь любимый многими "чебурнет") - используем пароль из локальных KeePass Touch / KeePass2Android, коды из Google Authenticator
- Потеря контроля над основным номером телефона - будет потерян аккаунт Wildberries, Avito и OZON, в зоне большого риска МТС ID
И непонятные вопросы при утере номера
- Что произойдет с МТС ID если на некотором номере стоит вход с паролем, и номер перешел к другому человеку? Человек не сможет зарегистрироваться в МТС ID потому что такой номер уже зарегистрирован?
- Что произойдет с МТС ID если аккаунт не защищен паролем, вход по СМС и номер достался другому человеку? Данные уйдут "наследнику номера"? Или экосистема это экосистема и при освобождении номера его аккаунт уходит в ожидание хозяина, номер может быть привязан к новому аккаунту, а хозяин старого аккаунта может обратиться в МТС за своими данными
- Что-то еще случится?
Вывод
- Пароль надо включать ВЕЗДЕ - без вариантов
- TOTP обязательно надо включать
- Passkeys - удобно и вполне юзабельно
- WhatsApp получил кармическое воздаяние за свою убогость и беспардонность
- Без МАКСа можно жить - и даже удобно и неплохо
- Того, что завязано на МТС ID надо избегать
- WhatsApp или Telegram привязанные к номеру могут пригодиться при работе с китайскими сервисами
Источник
