Как достаточно типичный почти современный человек, я решил аккуратно пройтись по всем своим аккаунтам, чтобы не утерять к ним доступ в наше чудесное время взаимных санкций, ковровых блокировок и массового банометания... И расскажу об итогах.
Аккаунт не волк - в лес не убежит
Знал бы где сломают - подложил емайл
Второго фактора бояться - на Госуслуги не ходить
Век живи, век учись, а МАКС поставишь
(и мое любимое!)
Готовь сани летом, а второй фактор и третий способ сегодня
Задача, которую я поставил перед собой - сделать всё необходимое для того, чтобы мои аккаунты остались моими, то есть к ним не получили доступ те кому не положено и мог получить доступ я. Рассказываю, от каких рисков удалось защититься - от каких нет.
Главные требования
Все способы доступа должны быть понятны, надежны, удобны
Во-первых, я должен понимать как минимум в общих чертах работу этих механизмов, если я не понимаю что-то (как минимум в базе) - то я это не могу использовать.
Второе и самое важное - контролировать распространение моей ключевой информации и доступ к ней должен я.
Не неизвестный сколь угодно высококвалифицированный, сертифицированный, обличенный доверием, лицензированный, прошедший 5 собеседований и прочее абстрактный специалист - а я, и только я.
Также крайне желательно, чтобы мои подходы могли быть отмасштабированы на других людей, ведь мне очень хочется, чтобы я мог научить следить за своими аккаунтами и членов своей семьи - и старших, и младших.
И еще - я не должен потерять доступ к аккаунту если потеряю телефон, потеряю возможность принимать СМС, потеряю контроль над номером телефона - ни одно из этих событий не должно привести к тому, что я потеряю доступ к аккаунтам
Какие инструменты были сразу отброшены?
SMS и аутентификация через МАКС мессенджеры. Эти чудовища завязаны на ресурс, доступ к которому я не контролирую - на номер телефона либо на логин в непонятном мутном сервисе, владельцы которого находятся неизвестно где, нанимают в инженеры непонятного кого и продадут все мои (и ваши) данные тому, кто достаточно заплатит или просто придет с просьбой от уважаемой организации ордером. Любая идентификация или аутентификация завязанная на эти коммуникационные средства сразу считается сломанной. И разработчикам (и владельцам) мессенджеров я доверяю примерно так же, как операторам сотовой связи - то есть, не доверяю вообще.
Итого, мы получаем следующие способы:
Пароль
TOTP
Passkey
И список сервисов (и экосиcтем - снова проклятье на их разработчиков!) к которым я хочу сохранить доступ:
Google
Apple
Госуслуги
Сбер
Т-Банк
МТС
Cloud.RU
ВК
Яндекс
Microsoft
Озон
Вайлдберис
Авито
СберМобайл
VK Cloud
WhatsApp
Телеграм
Множество разных сайтов (трекеры, форумы внеэкосистемные сервисы типа github/gitlab, пароли на большое количество железок и т.д.)
Где можно хранить ключевую информацию
Для хранения всей этой истории (пароли, passkeys, TOTP) у меня есть "доверенные" устройства - iPhone и два Android-смартфона, которые я выбираю в зависимости от фазы луны. Кроме того, я хочу подстраховаться от потери доступа к "экосистеме" - то есть например к аккаунту Apple или Google, и это существенно отличается от большинства людей, у которых один смартфон, одна экосистема. один главный аккаунт.
Как я организовал работу и управление ключевой информацией:
На всех сервисах где есть такая возможность используется парольная аутентификация
Пароли сохраняют на iPhone в Passwords.app
Пароль сохраняется на iPhone в KeePass Touch
База паролей передается отправляется на два Андроид-телефона
База паролей копируется на ноутбук с Linux и на NAS в бэкап
TOTP сохраняются в Passwords.app и Google Authenticator (без синхронизации с облаком!)
Passkeys сохраняются в Passwords.app, Google Password Manager и в локальной учетной записи Windows, не привязанной к учетной записи Microsoft. Первые два облачные, удобной альтернативы им я пока не подобрал. Но поскольку passkeys не единственный способ, то это не особо напрягает
Итого:
Пароли - 4 копии рабочих + бэкап
OTP - 4 независимых копии? из них одна облачная (Apple)
Passkeys - 3 независимых копии, из них 2 облачные (Apple и Google)
От чего хотим защититься
Потеря доступа к устройству
Блокировка аккаунтов Apple и Google (в т.ч. столь любимый многими "чебурнет")
Потеря контроля над номером телефона
А теперь о том, для каких сервисов схему получилось закрыть риски и для каких нет
Сервис |
Пароль |
TOTP |
Passkey |
Прочее |
Да |
Да |
Да |
Несменяемый (до последнего момента) email |
|
Apple |
Да |
частично |
частично |
Вместо OTP и Passkeys используются собственные механизмы, похожие, но think different |
Госуслуги |
Да |
Да |
||
Сбер ID |
Да |
Да |
Добавить passkey на сайте невозможно - только "по кнопке на сайтах партнеров". Удалить отдельно взятый ключ нельзя - только удалить ВСЕ. Аккаунт привязан к номеру телефона. Сменили номер - прощайте passkeys |
|
Т-Банк |
Да |
Да |
||
МТС |
Да |
Да |
Аккаунт НЕСМЕНЯЕМО привязан к номеру телефона. |
|
Cloud.RU |
Да |
Да |
частично |
Passkeys - через Сбер ID |
ВК |
Да |
Да |
Да |
Конфликт в некоторых сервисах между учетной записью сервиса привязанной к адресу @mail.ru и учетной записью VK ID |
Яндекс |
Да |
Да |
Да |
Не люблю яндекс. Я бы сказал что они красавцы в рассматриваемой теме |
Microsoft |
Да |
Да |
Да |
Был приятно удивлен |
Озон |
Да |
Вторым фактором только СМС |
||
Wildberries |
Вход только кодом через другую копию приложению или СМС. Серьезно, вот даже так? |
|||
Авито |
Да |
Еще одни любители второго фактора через СМС |
||
СберМобайл |
Всё через ... Сбер ID |
|||
VK cloud |
Да |
Да |
||
Сбербанк Онлайн |
Да |
Второй фактор только через СМС. Или использовать Сбер ИД |
||
частично |
Только один passkey на аккаунт. Или вход через другую сессию по присланному коду. |
|||
Телеграм |
Да |
Да |
Второй фактор через СМС или другую сессию Телеграм |
|
Huawei Account |
Да |
Второй фактор - код через почту, телеграм или WhatsApp |
||
Honor Account |
Да |
Аналогично Huawei |
||
Профильные форумы, ресурсы и небольшие сервисы |
Почти у всех |
Как правило, пароль и привязка email. С учетом уровня (не)серьезности, вполне достаточно |
Проанализируем таблицу на предмет того, какие поддерживаются методы аутентификации и проставим личные оценки:
Первая группа - Отлично
ВК - логин отделен от всех сущностей, все нужные методы аутентификации есть. Но проблемы с легаси-аккаунтами все портят
Яндекс - практически идеально
Google - несменяемый о последнего времени email все портил, но вроде бы грядет эра перемен
Microsoft - фиксированный email
Apple (?) - вроде все что нужно есть, но крайне неприятно что работает только через Apple и нестандартно. Фоллбэк только на СМС
Вторая группа - Хорошо
МТС и Сбер - господа, ну зачем так непрофессионально, а? Приравнять номер к логину...
Допустим, с МТС всё понятно - если всё что есть это молоток привык что абонент, договор и номер телефона это одно и то же, то всё вокруг кажется гвоздями считать что один человек это один номер вполне естественно. Хотя не правильно. У меня например 6 номеров, и что теперь - 6 логинов? Дорогие коллеги, вы строите экосистему вокруг ЛЮДЕЙ а не телефонных номеров. Я бы вообще скинул МТС в группу "плохо" но наличие passkeys дает дополнительный балл.
У Сбер ID можно сменить номер - вот только в Passkey зашит номер в качестве логина. Дорогие коллеги из сбера, зачем вы такую чушь сотворили? Я ведь знаю, что у вас например есть честный логин в сбербанк онлайне, то есть вы вроде бы достаточно технически и продуктово подкованы... Были, как минимум. И невероятно уникальное решение удалять ВСЕ passkeys при утере устройства с ОДНИМ. Скажите - а вы при головной боли голову не отрубаете?
Т-Банк и ВК cloud - скромненько но со вкусом. Но passkeys бы не помешал. Это прикольно и удобно
Телеграм - честный второй фактор был бы лучше. А за адекватные passkeys - разработчикам искреннее уважение
Третья группа - Грустно
Озон и Авито - ну вот что, правда что ли? Все так тоскливо?
WhatsApp - днище. Если бы его не заблокировали - я бы поддержал требование его блокировки. Такие ущербные не имеют права на эксплуатацию (кстати не подскажет ли кто-нибудь из читателей, где в WhatsApp кнопка Logout - я ее не нашел)
Honor и Huawei - Восток дело тонкое. И печальное
Четвертая группа - Совсем грустно
Wildberries - я понимаю, что ориентация на среднего клиента заставляет упрощать все до предела. Но зачем лишать выбора тех, кто знает чего хочет?
Протоколы доступа при проблемах
Смоделировать мысленно что надо делать в случае какой проблемы - это обязательный этап. Не будем его пропускать
Потеря iPhone - берем пароли, TOTP и passkeys с Android
Потеря Android - пароли, TOTP и Passkeys из Passwords.app и Google Authenticator с iPhone
Блокировка аккаунтов Apple и Google (в т.ч. столь любимый многими "чебурнет") - используем пароль из локальных KeePass Touch / KeePass2Android, коды из Google Authenticator
Потеря контроля над основным номером телефона - будет потерян аккаунт Wildberries, Avito и OZON, в зоне большого риска МТС ID
И непонятные вопросы при утере номера
Что произойдет с МТС ID если на некотором номере стоит вход с паролем, и номер перешел к другому человеку? Человек не сможет зарегистрироваться в МТС ID потому что такой номер уже зарегистрирован?
Что произойдет с МТС ID если аккаунт не защищен паролем, вход по СМС и номер достался другому человеку? Данные уйдут "наследнику номера"? Или экосистема это экосистема и при освобождении номера его аккаунт уходит в ожидание хозяина, номер может быть привязан к новому аккаунту, а хозяин старого аккаунта может обратиться в МТС за своими данными
Что-то еще случится?
Вывод
Пароль надо включать ВЕЗДЕ - без вариантов
TOTP обязательно надо включать
Passkeys - удобно и вполне юзабельно
WhatsApp получил кармическое воздаяние за свою убогость и беспардонность
Без МАКСа можно жить - и даже удобно и неплохо
Того, что завязано на МТС ID надо избегать
WhatsApp или Telegram привязанные к номеру могут пригодиться при работе с китайскими сервисами
И традиционный вопрос к аудитории - просчитывали ли вы как защитить свои аккаунты от утери в случае возникновения непонятных и непростых ситуаций? К каким выводам пришли, какие сценарии вызывают у вас наибольшие опасения
Комментарии (6)
ru4pae
09.02.2026 11:41По поводу опсосов (операторов сотовой связи). Думаю, вы не верно трактуете их модель бизнеса.
Они строят бизнес вокруг номеров. Люди меняются. Номера постоянны.
alche
Эта кнопка имеет неочевидное название Delete account.