Сегодня мы в очередной раз потрогаем тему защиты критичных данных в дозволенных местах.
Здравствуйте, меня зовут Виктор и у меня больше 200 паролей. Прошли те счастливые времена, когда зажиточный помещик мог обойтись всего 1 ключом от сундука, где лежат все его NFT червонцы. Современный мир диктует новые правила и большинство банков и интернет сервисов с вами не начнут работать, пока не получат верификацию в виде SMS или учетных данных.
Конечно, можно сказать «Да он нам нафиг не нужон интернет ваш!» и уйти в Сибирь, строить свой солнечный лунапарк без цифровых авторизаций и финансовых оков. Но, во-первых, к вам все равно прилетят на вертолетах и стандартным способом причинят справедливость. Во-вторых, существование в режиме глубокого пролетариата всегда приводит к печальным последствиям (пруфы преподавали на уроках истории в российских школах до 2023 г).
Что касается тех, кому интернет «нужон» и людей, стремящихся приобщиться к возможностям современного цифрового мира с относительно высокой степенью безопасности, то способы есть и они разнообразны.
Сразу уточню, что следующий текст и методы относятся к созданию защиты чувствительных учетных данных. На povаrenok.ru вы можете заходить как и раньше с паролем из браузера. Но частая ошибка людей в том, что все их пароли хранятся в одной базе, без разделения по уровню безопасности.
Задача: построить на минимальном количестве элементов относительно защищенную, надежную и комфортную систему хранения учетных данных, не впадая в паранойю защиты от глобального заговора интернет-корпораций.
На физическом уровне мы имеем:
* смартфон
* компьютер
Они будут выступать в роли носителей софтовой части и резервных копий данных.
Софтовая часть: кроме стандартной программной начинки устройств, нам понадобятся:
* менеджер паролей
* аутентификатор
* почтовый аккаунт с облачным хранилищем (part II)
В течение последних 8 лет я использовал разные менеджеры паролей, включая пятилетний опыт с KeePass, которым активно пользовался на нескольких устройствах, регулярно делая резервные копии локальных баз данных. Не очень удобно, но вроде секьюрно. Но узнав стойкость своего мастер пароля (55 минут брутфорса), меня посетила мысль, что пора снова задуматься о безопасности.
Важным критерием для меня было найти баланс в отношении Простота / Надежность, так как слишком сложная система была бы источником раздражения и стресса.
Начнем с центрального элемента системы - менеджера паролей. Можно, конечно, посмотреть в сторону экзотических экземпляров в виде хардварных хранилищ, но удобство эксплуатации и замены при утере девайса выглядит туманно.
С программными продуктами в этой сфере все обстоит гораздо лучше.
Витрина менеджеров паролей богата. Часть из них, к сожалению, завершила продвижение проектов, часть была скомпрометирована, но продолжила развитие и выпуск платных продуктов. Выбор - дело индивидуальное.
Но есть важная и, как оказалось, довольно простая вещь - создание мастер пароля.
В начале стоит посмотреть, что из себя представляют вариации ваших текущих паролей, например тут.
Исходя из теории и практики, можно утверждать, что хороший пароль должен быть:
* мнемоническим (так проще запомнить)
* максимально рандомным (Password1234 - это 2 секунды брутфорса, без шуток)
* соответствующим распространенным требованиям (спец символы, цифры, регистры и всякое)
И в этом нам поможет старая добрая транслитерация. Помните, когда мобильные телефоны умели только звонить и 1 sms = 70 символов на кириллице, но 150 на латинице ?. Тогда мы не догадывались, что в 2023 году это будет золотым скиллом. Банальная смска “Prihodi@Lenina19;-)” - будет чудом криптографии.
Простой пример: Lenina23&Pushkina7
Pion&Roza237
Kot-23@Pes-7
Как вы, наверное, догадались, числа в примерах это отсылки на 23й год и 7й месяц, а еще намек и стимул для периодической смены паролей.
Думаю суть вы уловили. Попробуйте свои варианты и, если не лень, поделитесь в комментах. Чужая креативность может помочь застенчивым интровертам.
Итак, раз мы теперь уверены в стойкости своих паролей, может стоит сменить пароль на ПК и зашифровать диск встроенными в ОС инструментами (BitLocker например)? Компьютер ведь не просто так называется персональным, а не зашифрованный диск в руках злоумышленника - это полный доступ к вашим кэшам, истории браузеров, сохраненным паролям и прочей ценной информации, которая будет использована против вас.
Счетчик обязательных паролей: 1 (ПК)
Допустим, вы не заленились и у вас есть ПК, на который не стыдно ставить менеджер паролей. Начнем с самого главного - рекавери чек. Ставим клиент, добавляем тестовые данные, синхронизируемся с облаком и удаляем клиент с устройства. Затем ставим на другое устройство и проверяем, как прошло восстановление. Если все хорошо, то выпускаем в прод и начинаем эксплуатацию.
Теперь еще интересный момент, создаем папку/директорию на ПК со скучным названием «Пенсия», экспортируем зашифрованный бэкап из менеджера паролей, переносим файл в папку и архивируем ее с шифрованием (почти любой архиватор это умеет). В качестве дополнительного пароля можно использовать свой пароль от ПК. Закидываем архив на смартфон. А папка нам еще пригодится во второй части статьи (part II).
Счетчик обязательных паролей: 2 (+менеджер паролей)
Теперь у нас есть бекап менеджера паролей в облаке компании-разработчика, на нашем ПК и на смартфоне. Но если смартфон на PIN пароле? Срочно исправляем!
Зачастую смартфон хранит больше критично важной информации о владельце, чем личный ПК. Если вы планируете использовать менеджер паролей на смартфоне совместно с 2FA клиентом, то это устройство дает полный доступ ко всем вашим цифровым данным. Поэтому убедитесь, что версия вашей ОС поддерживает шифрование памяти устройства и оно активировано.
Откажитесь от использования PIN для блокировки экрана, в некоторых смартфонах взлом такого пароля занимает считанные секунды. Используйте сканер отпечатка пальца, это наиболее просто более удобный и защищенный вариант, чем PIN. В качестве резервного пароля используйте пароль от ПК. Если предпочитаете графический паттерн, его тоже сложнее взломать, чем PIN, но перед созданием своего паттерна пробегитесь глазами по исследованию на эту тему.
Ну, вроде, mission accomplished, и почти да, но нет ?. Раз уж мы строим систему для защиты критичных данных, надо бы добавить следующий слой защиты, например 2FA/MFA. Такая связка из независимых устройств хранения и динамической генерации паролей будет достаточной мерой защиты для большинства пользователей.
Есть много аппаратных вариантов 2FA и они выигрывают по безопасности перед софтовыми, но в некоторых странах и городах их проблематично достать, а при потере или поломке ключа, начнется интересный квест по восстановлению доступов.
Выбирая программный аутентификатор по привлекательности иконки (а сейчас ваш мозг именно это делает), не забудьте почитать про эксплуатационные свойства, например, отсутствие привязки к номеру мобильного телефона, так как восстановление физической или электронной симки вне страны размещения оператора… ? вы уже представили этот аттракцион с потерянным телефоном во время отпуска за границей.
Теперь начинается часть посложнее. Самый важный критерий аутентификатора - это… (реально, подумайте 15 секунд, как будет работать дополнительный слой независимой авторизации и где могут возникнуть персональные сложности).
По моему мнению, самым важным моментом будет процедура восстановления, потому что без кодов 2FA, значительная часть паролей будут бесполезна.
Скорее всего устройством 2FA будет выступать смартфон, а он имеет свойство теряться, ломаться, красться и все эти кейсы нанесут вам значительный моральный вред. Поэтому не забываем про необходимость создания бэкапов 2FA. Делаем рекавери чек, аналогично процедуре в описании менеджера паролей. Если процедура не удалась, разбираемся или выбираем другой клиент. Важный момент: при утере доступа к 2FA сервису, все привязанные авторизации станут недоступны, поэтому обязательно убедитесь, что вы можете полностью восстановить работу 2FA клиента на другом устройстве.
Если все ОК, то проходимся по своим важным сервисам и активируем 2FA. По завершению, создаем зашифрованный бэкап конфигурации клиента, используя локальный пароль от ПК и сохраняем копии на своих устройствах.
Итак, наши шифрованные архивы хранятся на устройствах, находящихся под защитой паролей, и тут действует двойная и даже тройная защита (в случае бэкапа менеджера паролей).
Все эти манипуляции с бэкапами могут показаться излишними, но практика показывает, что комбинации жизненных ситуаций могут выйти за пределы любых планов и локальный файл конфигурации может спасти ваш день или неделю или весь баланс на крипто кошельке.
Немного итогов: теперь у нас есть 2 защищенных устройства, которые содержат клиенты и бэкапы для обеспечения удобного доступа к нашим данным с двухфакторной авторизацией и проверенной возможностью восстановления клиентов.
Поздравляю тех, кто дочитал до этого места! Правильно реализованная система защиты данных сделает ваши волосы гладкими и шелковистыми.
Во второй части статьи мы поговорим о добавлении комфорта в процесс хранения наших данных авторизации. Запомним еще 1 пароль (обещаю, последний) и самое важное - настроим защищенную автоматическую систему передачи всех наших доступов на случай фатальной непредвиденной ситуации. Что-то вроде цифрового завещания, так как ваши близкие люди могут не иметь представления о ваших активах в банках и крипто валютах и никакие решения судов и выписки нотариусов им не дадут эти доступы, если вы не позаботитесь об этом заранее.
