Как достаточно типичный почти современный человек, я решил аккуратно пройтись по всем своим аккаунтам, чтобы не утерять к ним доступ в наше чудесное время взаимных санкций, ковровых блокировок и массового банометания... И расскажу об итогах.
Аккаунт не волк - в лес не убежит
Знал бы где сломают - подложил емайл
Второго фактора бояться - на Госуслуги не ходить
Век живи, век учись, а МАКС поставишь
(и мое любимое!)
Готовь сани летом, а второй фактор и третий способ сегодня
Задача, которую я поставил перед собой - сделать всё необходимое для того, чтобы мои аккаунты остались моими, то есть к ним не получили доступ те кому не положено и мог получить доступ я. Рассказываю, от каких рисков удалось защититься - от каких нет.
Главные требования
Все способы доступа должны быть понятны, надежны, удобны
Во-первых, я должен понимать как минимум в общих чертах работу этих механизмов, если я не понимаю что-то (как минимум в базе) - то я это не могу использовать.
Второе и самое важное - контролировать распространение моей ключевой информации и доступ к ней должен я.
Не неизвестный сколь угодно высококвалифицированный, сертифицированный, обличенный доверием, лицензированный, прошедший 5 собеседований и прочее абстрактный специалист - а я, и только я.
Также крайне желательно, чтобы мои подходы могли быть отмасштабированы на других людей, ведь мне очень хочется, чтобы я мог научить следить за своими аккаунтами и членов своей семьи - и старших, и младших.
И еще - я не должен потерять доступ к аккаунту если потеряю телефон, потеряю возможность принимать СМС, потеряю контроль над номером телефона - ни одно из этих событий не должно привести к тому, что я потеряю доступ к аккаунтам
Какие инструменты были сразу отброшены?
SMS и аутентификация через МАКС мессенджеры. Эти чудовища завязаны на ресурс, доступ к которому я не контролирую - на номер телефона либо на логин в непонятном мутном сервисе, владельцы которого находятся неизвестно где, нанимают в инженеры непонятного кого и продадут все мои (и ваши) данные тому, кто достаточно заплатит или просто придет с просьбой от уважаемой организации ордером. Любая идентификация или аутентификация завязанная на эти коммуникационные средства сразу считается сломанной. И разработчикам (и владельцам) мессенджеров я доверяю примерно так же, как операторам сотовой связи - то есть, не доверяю вообще.
Итого, мы получаем следующие способы:
Пароль
TOTP
Passkey
И список сервисов (и экосиcтем - снова проклятье на их разработчиков!) к которым я хочу сохранить доступ:
Google
Apple
Госуслуги
Сбер
Т-Банк
МТС
Cloud.RU
ВК
Яндекс
Microsoft
Озон
Вайлдберис
Авито
СберМобайл
VK Cloud
WhatsApp
Телеграм
Множество разных сайтов (трекеры, форумы внеэкосистемные сервисы типа github/gitlab, пароли на большое количество железок и т.д.)
Где можно хранить ключевую информацию
Для хранения всей этой истории (пароли, passkeys, TOTP) у меня есть "доверенные" устройства - iPhone и два Android-смартфона, которые я выбираю в зависимости от фазы луны. Кроме того, я хочу подстраховаться от потери доступа к "экосистеме" - то есть например к аккаунту Apple или Google, и это существенно отличается от большинства людей, у которых один смартфон, одна экосистема. один главный аккаунт.
Как я организовал работу и управление ключевой информацией:
На всех сервисах где есть такая возможность используется парольная аутентификация
Пароли сохраняют на iPhone в Passwords.app
Пароль сохраняется на iPhone в KeePass Touch
База паролей передается отправляется на два Андроид-телефона
База паролей копируется на ноутбук с Linux и на NAS в бэкап
TOTP сохраняются в Passwords.app и Google Authenticator (без синхронизации с облаком!)
Passkeys сохраняются в Passwords.app, Google Password Manager и в локальной учетной записи Windows, не привязанно�� к учетной записи Microsoft. Первые два облачные, удобной альтернативы им я пока не подобрал. Но поскольку passkeys не единственный способ, то это не особо напрягает
Итого:
Пароли - 4 копии рабочих + бэкап
OTP - 4 независимых копии? из них одна облачная (Apple)
Passkeys - 3 независимых копии, из них 2 облачные (Apple и Google)
От чего хотим защититься
Потеря доступа к устройству
Блокировка аккаунтов Apple и Google (в т.ч. столь любимый многими "чебурнет")
Потеря контроля над номером телефона
А теперь о том, для каких сервисов схему получилось закрыть риски и для каких нет
Сервис | Пароль | TOTP | Passkey | Прочее |
Да | Да | Да | Несменяемый (до последнего момента) email | |
Apple | Да | частично | частично | Вместо OTP и Passkeys используются собственные механизмы, похожие, но think different |
Госуслуги | Да | Да | ||
Сбер ID | Да | Да | Добавить passkey на сайте невозможно - только "по кнопке на сайтах партнеров". Удалить отдельно взятый ключ нельзя - только удалить ВСЕ. Аккаунт привязан к номеру телефона. Сменили номер - прощайте passkeys | |
Т-Банк | Да | Да | ||
МТС | Да | Да | Аккау��т НЕСМЕНЯЕМО привязан к номеру телефона. | |
Cloud.RU | Да | Да | частично | Passkeys - через Сбер ID |
ВК | Да | Да | Да | Конфликт в некоторых сервисах между учетной записью сервиса привязанной к адресу @mail.ru и учетной записью VK ID |
Яндекс | Да | Да | Да | Не люблю яндекс. Я бы сказал что они красавцы в рассматриваемой теме |
Microsoft | Да | Да | Да | Был приятно удивлен |
Озон | Да | Вторым фактором только СМС | ||
Wildberries | Вход только кодом через другую копию приложению или СМС. Серьезно, вот даже так? | |||
Авито | Да | Еще одни любители второго фактора через СМС | ||
СберМобайл | Всё через ... Сбер ID | |||
VK cloud | Да | Да | ||
Сбербанк Онлайн | Да | Второй фактор только через СМС. Или использовать Сбер ИД | ||
частично | Только один passkey на аккаунт. Или вход через другую сессию по присланному коду. | |||
Телеграм | Да | Да | Второй фактор через СМС или другую сессию Телеграм | |
Huawei Account | Да | Второй фактор - код через почту, телеграм или WhatsApp | ||
Honor Account | Да | Аналогично Huawei | ||
Профильные форумы, ресурсы и небольшие сервисы | Почти у всех | Как правило, пароль и привязка email. С учетом уровня (не)серьезности, вполне достаточно |
Проанализируем таблицу на предмет того, какие поддерживаются методы аутентификации и проставим личные оценки:
Первая группа - Отлично
ВК - логин отделен от всех сущностей, все нужные методы аутентификации есть. Но проблемы с легаси-аккаунтами все портят
Яндекс - практически идеально
Google - несменяемый о последнего времени email все портил, но вроде бы грядет эра перемен
Microsoft - фиксированный email
Apple (?) - вроде все что нужно есть, но крайне неприятно что работает только через Apple и нестандартно. Фоллбэк только на СМС
Вторая группа - Хорошо
МТС и Сбер - господа, ну зачем так непрофессионально, а? Приравнять номер к логину...
Допустим, с МТС всё понятно - если всё что есть это молоток привык что абонент, договор и номер телефона это одно и то же, то всё вокруг кажется гвоздями считать что один человек это один номер вполне естественно. Хотя не правильно. У меня например 6 номеров, и что теперь - 6 логинов? Дорогие коллеги, вы строите экосистему вокруг ЛЮДЕЙ а не телефонных номеров. Я бы вообще скинул МТС в группу "плохо" но наличие passkeys дает дополнительный балл.
У Сбер ID можно сменить номер - вот только в Passkey зашит номер в качестве логина. Дорогие коллеги из сбера, зачем вы такую чушь сотворили? Я ведь знаю, что у вас например есть честный логин в сбербанк онлайне, то есть вы вроде бы достаточно технически и продуктово подкованы... Были, как минимум. И невероятно уникальное решение удалять ВСЕ passkeys при утере устройства с ОДНИМ. Скажите - а вы при головной боли голову не отрубаете?
Т-Банк и ВК cloud - скромненько но со вкусом. Но passkeys бы не помешал. Это прикольно и удобно
Телеграм - честный второй фактор был бы лучше. А за адекватные passkeys - разработчикам искреннее уважение
Третья группа - Грустно
Озон и Авито - ну вот что, правда что ли? Все так тоскливо?
WhatsApp - днище. Если бы его не заблокировали - я бы поддержал требование его блокировки. Такие ущербные не имеют права на эксплуатацию (кстати не подскажет ли кто-нибудь из читателей, где в WhatsApp кнопка Logout - я ее не нашел)
Honor и Huawei - Восток дело тонкое. И печальное
Четвертая группа - Совсем грустно
Wildberries - я понимаю, что ориентация на среднего клиента заставляет упрощать все до предела. Но зачем лишать выбора тех, кто знает чего хочет?
Протоколы доступа при проблемах
Смоделировать мысленно что надо делать в случае какой проблемы - это обязательный этап. Не будем его пропускать
Потеря iPhone - берем пароли, TOTP и passkeys с Android
Потеря Android - пароли, TOTP и Passkeys из Passwords.app и Google Authenticator с iPhone
Блокировка аккаунтов Apple и Google (в т.ч. столь любимый многими "чебурнет") - используем пароль из локальных KeePass Touch / KeePass2Android, коды из Google Authenticator
Потеря контроля над основным номером телефона - будет потерян аккаунт Wildberries, Avito и OZON, в зоне большого риска МТС ID
И непонятные вопросы при утере номера
Что произойдет с МТС ID если на некотором номере стоит вход с паролем, и номер перешел к другому человеку? Человек не сможет зарегистрироваться в МТС ID потому что такой номер уже зарегистрирован?
Что произойдет с МТС ID если аккаунт не защищен паролем, вход по СМС и номер достался другому человеку? Данные уйдут "наследнику номера"? Или экосистема это экосистема и при освобождении номера его аккаунт уходит в ожидание хозяина, номер может быть привязан к новому аккаунту, а хозяин старого аккаунта может обратиться в МТС за своими данными
Что-то еще случится?
Вывод
Пароль надо включать ВЕЗДЕ - без вариантов
TOTP обязательно надо включать
Passkeys - удобно и вполне юзабельно
WhatsApp получил кармическое воздаяние за свою убогость и беспардонность
Без МАКСа можно жить - и даже удобно и неплохо
Того, что завязано на МТС ID надо избегать
WhatsApp или Telegram привязанные к номеру могут пригодиться при работе с китайскими сервисами
И традиционный вопрос к аудитории - просчитывали ли вы как защитить свои аккаунты от утери в случае возникновения непонятных и непростых ситуаций? К каким выводам пришли, какие сценарии вызывают у вас наибольшие опасения
