Да, да, и ещё раз да! Все мы с вами шифруем пароли при помощи AES. В интернет выходим только через ToR. Финансовые операции проводим только через блокчейн с 20-ю подтверждениями, и всё что будет написано дальше не про нас с вами...
…Но давайте признаемся, что использование Гугл аккаунта для регистрации на каких-то малозначительных сайтах сильно упростило нам жизнь… Ну, мне по крайней мере точно. Особенно, когда мне не нужно хранить все пароли, или помнить все пароли, или помнить, а здесь большая ли буква, а маленькая ли, а что вообще от меня хотят?
Но у всего есть обратная сторона. К примеру, если у вас угонят почтовый ящик, то в таком случае получат доступ ко всему и сразу.
Конечно, помним о двухфакторной аутентификации, и что почтовый ящик привязан к телефону, и вообще это невозможно. Но так ли сильна ваша вера в Гугл? В особенности если вы один из тех счастливчиков, что не привязывали свой телефон к Google аккаунту.
В этом случае ваша безопасность под угрозой. И кто ей должен обеспокоиться? Ну в первую очередь вы самостоятельно:
Отказаться от использования Гугл аккаунта.
Завести записную книжку с паролями.
Выходить только через защищенные соединения.
И этого будет достаточно… Но это все равно крайне неудобно…
У тебя есть решение? Нет! Но у меня есть картинка решения!
На деле, важна инфраструктура безопасности. Потому что при отсутствии инфраструктуры, вы возвращаетесь обратно к записным книжкам. А наличие готовой в меру безопасной, и что самое главное удобной инфраструктуры способно решить вопрос.
Нет! Это не значит, что вы будете в полной безопасности, и вас никогда не взломают.
Да! Это будет безопасней.
Итак, инфраструктура безопасности интернета. Перед ней стоят несколько вопросов:
Кто её должен делать?
Должна ли быть диверсификация рисков?
Как её сделать?
КАК?
Всего четыре слова. Добровольно-принудительная двухфакторная аутентификация! Причем не обязательно использовать именно SMS. Как минимум это дорого и мерзко.
Есть несколько вариантов. Есть всякие приложения типа 2FA keys. Одно время они были крайне популярными. Но там была одна… маленькая проблема…
Они выдавали какой-то волшебный ID при установке приложения. И не дай бог, тебе его потерять. Вот я лично так потерял однажды доступ к своему аккаунту на одной фриланс платформе. Они ввели добровольную двухфакторную аутентификацию, а через неделю я потерял телефон с приложением.
Нет, безусловно номер я восстановил, а вот ID от приложения нет. Пришлось связываться с поддержкой, и доказывать, что я «Томат».
Поэтому двухфакторная аутентификация должна быть привязана к номеру телефона, и никак иначе.
Т.е. Это должен быть код, на СМС или на мессенджер. Без всякой дополнительной установки чего-либо, куда-либо. Потому что здесь инфраструктура важней безопасности.
А что насчёт добровольно-принудительной? Ну оптимальным решением станет функционирование в режиме ограниченного профиля. Чтобы не нужно было получать код для каждого действия, а только для ряда действий, которые действительно важны на аккаунте.
Кто?
Кто должен строить инфраструктуру? По-хорошему, это должен делать владелец. Платформы ли, сайта ли, мобильного ли приложения.
Ещё лучше, если он это будет делать своими силами. Как в свое время сделал «солнцеликий Габен». Но это в идеальном случае.
Что делать, если вы просто владелец какого-то небольшого сайта, но хотите обеспечить своим пользователям и удобство (Верификацию через Google аккаунт), и надежность (двухфакторную аутентификацию)?
Ну, в этом случае проще всего, конечно, воспользоваться готовыми решениями, и при помощи API внедрить их в свой сайт.
Здесь тоже все непросто:
Вы должны доверять сервису, и быть уверены в том, что двухфакторную аутентификацию никто не перехватит. Да, да, это уже маразм и паранойя но читают нас разные люди, с разными потребностями.
Вы должны быть готовы к дополнительным тратам. Все эти готовые решения взимают с вас за каждую Сэ-Мэ-Сэ. И что куда неприятней, за Сэ-Мэ-Сэ на мессенджеры они тоже взимают плату.
Вы должны самостоятельно установить двухфакторную аутентификацию. Руками ли своего программиста, или своими собственными — не важно. Важно, чтобы это было сделано собственными силами, хоть на чужом SDK, хоть как.
Ну или если у вас «Лапки», то будьте добры отдать всю безопасность на аутсорс, а потом не удивляться, куда это утекли базы данных ваших пользователей.
Диверсия? Демашрия? Диверсификация!
Здесь все предельно просто — какой бы ни была инфраструктура не была удобной. Сколько бы элементов и ступеней защиты она не содержала, все важные аккаунты и пароли хранить по старинке.
Под важными аккаунтами и паролями:
Корпоративные данные.
Банковские данные.
Конфиденциальные данные.
А крипту лучше вообще держать на холодном кошельке, отключенном от интернета.
Итоги?
Итоги? А что итоги! Всё просто!
Если вы юзер, Диверсифицируйтесь! Как там было. Есть вещи, которые не пропить, а для всего остального есть мастеркард Гуглакк?
Если вы владелец пусть даже самого маленького сайта — следуйте хорошему тону, создавайте инфраструктуру. Подключайте и возможность верификации через Гугл аккаунт, и двухфакторную аутентификацию, желательно от стороннего провайдера услуги.
Ну и помните, что ваша задача не создать абсолютно безопасный кокон (это невозможно), а сделать так, чтобы взламывать вас было дороже, чем размер потенциальной выгоды, полученной от взлома.
Комментарии (19)
MountainGoat
23.07.2023 13:27+1Гугел-всемогугел.
У кого лапки, пусть делают так: Посмотреть по пивко получасовое видео про основы Docker-Compose. Взять VPS с линуксом в который этот докер ставится одной коммандой. Поставить докер, в него через compose поставить NextCloud и Poste.io. Ничего не трогаем, всё остаётся по умолчанию, задаём только учётки и сертификат LetsEncrypt. Всё, гугл нафиг не нужен.
Goron_Dekar
23.07.2023 13:27Какой vps предложете? С доступом из РФ и из не-РФ, с возможностью оплаты из РФ/неРФ и по цене не больше 10-15$ в год?
Я бы ещё сказал, что unohost удобнее компоста для тех, у кого лапки
MountainGoat
23.07.2023 13:27+1Опять бесплатно хотите?
Serverless контейнеры на Scaleway. При желании можно ужаться в 5 баксов в месяц.Goron_Dekar
23.07.2023 13:27Так говорите, как будто хотеть получить что-то бесплатно это уже жуткий грех. Нормальное желание нормального человека, разве нет?
Мы обсуждаем замену гугла из соображений информационной гигиены, следовательно вариант дать номер своей карточки Scaleway, или кому-то ещё не подходит.
Значит надо сделать так, чтобы деньги на этот хостинг брались сами и с отдельного счёта.
Путь, который я вижу чтобы этого достичь - открыть накопительный счёт в банке с суммой, достаточной чтобы приносить эти 60$ в год. Предположим, что мы нашли банк с доходностью 2% годовых. Значит сумма, которую нам надо туда положить - 3000$. Уже дороговато, но мы забыли про инфляцию. С учётом инфлации выйдет ещё больше.
Выходит, что вы предлагаете либо менять доступ к данным на доступ к своему банковскому счёту, либо заплатить 3000$. Так себе вариант, если честно.
freQuensy23
23.07.2023 13:27Я арендую сервер на plooza за 179 рублей/мес в финляндии. Это 1.8 доллара. За эти деньги я получаю:
* Удаленный менеджер паролей с синхронизацией
* Синхронизатор и бэкапер всех своих заметок, баз данных по моим проектам итп
* VPN
* Хость для своих телеграм ботов
* Место для суперрезервного бэкапа нетяжелых файлов (сохранения в играх и.т.п.)
* Удаленный Linux на котором можно получить опыт администрирования серверов и работы с терминалом.
Имхо это все стоит 1.8 доллара в месяц, ведь арендуя свой сервер вы получаете целый сервер, а не только какой то из пунктов по отдельности)Goron_Dekar
23.07.2023 13:27Как это относится к тому, что это опять привязка карточки, микроплатежи и прочий токс. И если утечёт их база, то вы опять появитесь в утечках, а именно это и поинт не юзать гугл в данной статье.
Ещё раз повторю: с точки зрения безопасности персональных данных ваш вариант не лучше, чем юзать гугл. А с точки зрения денег - хуже.
Я решаю эти задачи имея внешний IP дома и на работе, и держу свои облока там. Если учесть, что домашний интернет можно платить налом, а к гуглу моя карточка не привязана, риск утечки моих чувствительных финансовых данных мал - только банки (и, каюсь, patreon, но там прокси-карточка с минимальным лимитом).
saga111a
23.07.2023 13:27+1NextCloud
когда файлов сотни еще работает. Когда их десятки и сотни тысяч оно лежит мертвым грузом.
Взять VPS
хранить свои файлы на собственно арендуемом VPS? Это прямой путь потерять вообще всё. Но, ведь можно RAID еще и удаленный и тут начинаются пляски с инфраструктурой. С ее надежностью и поддержанием. А тут и безопасность оказывается не лучше того что дает гуугл.
Увы обезопасить себя на 100% в интернете можно только и только им вообще не пользуясь.Большой шанс своей почте улетать в спам. Прямо катастрофический, либо мне не везло, что крайне не приятно.
freQuensy23
23.07.2023 13:27+2Да, к сожалению сейчас крупные провайдеры почты весь self host кидают в спам.
MountainGoat
23.07.2023 13:27DKIM, SPF, DMARC настроили? А внешним сервером проверили? Потому что у меня не улетает. Безусловно свою почту удаляет только outlook/hotmail.
saga111a
23.07.2023 13:27DKIM, SPF, DMARC настроили? А внешним сервером проверили?
Вот тут вероятно моя компетенция и желание на то время были недостаточными(и я эти попытки забросил). Так что это хорошо если реально удается свое доменное имя нормально использовать как почтовый сервер.
А вот с nextcloud я честно потратил довольно много времени и приемлемой работы добиться не смог, после нескольких тысяч файлов на нем начинались тормоза, одна из причин была кэш фото, что-то еще было и сервер ложился. Хорошо работал LibreOffice который онлайн, лучше гуугл документов. Если брать webdav от nextcloud то он работает непростительно медленно, хотя и нормально держал соединение с win системами.
dsh2dsh
23.07.2023 13:27+4Господи, какая-то куча ложных предпосылок, блокноты какие-то... Всего-то нужно взять любимый KeePass* и настроить синхронизацию со своим домашним файл-сервером.
Fealune
23.07.2023 13:27+7Поэтому двухфакторная аутентификация должна быть привязана к номеру телефона, и никак иначе.
Нет, просто надо делать бэкапы айдишников приложений-аутентификаторов. Авторизация через смс - такое себе...
AlexeyK77
23.07.2023 13:27+6А потом в один день у вас мошенники угоняют саму симку и все превращается в тыкву (или не мошенники, а сами знаете кто просто получают смс вместо вас). Так что привязка к телефону не панацея.
Xokare228
23.07.2023 13:27>> шифруем пароли при помощи SHA 256
После этого читал по диагонали. Шифрование != хеширование. Пароли хешируют, а не шифруют. Для обратимого шифрования используют другие алгоритмы вроде AES
Mitch
23.07.2023 13:27+1Авторизация через sms вообще ужас.
Кипас реальный вариант сейчас.
А вообще самый адекватный метод как я считаю это регистрация и авторизация крипто-кошельком, например metamask. Не требуется почта вообще, нужно только сделать хорошие бекапы seed фразы.
К сожалению, этот метод пока очень мало где реализован разработчиками сайтов, мечтаю что это станет повсеместным стандартом.
То есть metamask можно использовать вообще не как кошелек, и никогда не иметь в нем денег даже, а просто для регистрации и авторизации. Если не пользовались, гляньте на пример как реализовано на coinmarketcap.com
Dolios
23.07.2023 13:27+4Поэтому двухфакторная аутентификация должна быть привязана к номеру телефона, и никак иначе.
Ни в коем случае! Ни сим карта, ни номер вам не принадлежат, они могут быть отобраны у вас в любой момент. А симка может, банально, сломаться. Я уж молчу о том, что любая Маринка из Урюпинска вашу симку перевыпустит и отдаст мошеннику.
Нет, безусловно номер я восстановил
Давайте, расскажите, как восстановить номер, например, в Аргентине, если вы клиент тюменского Билайна.
Они выдавали какой-то волшебный ID при установке приложения. И не дай бог, тебе его потерять.
Там ещё выдают коды восстановления. И всё это элементарно бэкапится и доступ восстанавлявается в любой точке мира.
Любит народ наш всякое... (с)
iliazeus
23.07.2023 13:27Если честно, статья выглядит плохо прикрытой рекламой. Все ссылки в ней ведут на сайт одной и той же компании, которая как раз занимается, в том числе, рассылками на смс и мессенджеры. У ее директора инициалы подозрительно похожи на никнейм автора статьи - который, к тому же, нигде не гуглится, как будто его изобрели специально и недавно. А кроме этой статьи у него ещё только одна, написанная пару дней назад - чтобы пройти песочницу, возможно?
MonkAlex
Дочитал до "помнить неудобно, использую везде гугл".
Ответ keepass.