Пароли здорового человека (part II)

Итак, в part I мы разбирали жизненный цикл homo sapiens, который уже дошел до знания, как обращаться с паролями, умеет их централизованно хранить и теперь ему надо научиться передавать это знание потомкам на тот случай, если его догонит какой-нибудь лев-тигар. Ведь именно передача полезных знаний между поколениями позволяет социуму избегать повторения простых ошибок, например хранить мастер пароль под клавиатурой и верить новостям из телевизора.

Но в начале, надо обсудить еще один способ восстановления доступа к своим данным аутентификации, на самый крайний случай: если потеряны ВСЕ устройства с бэкапами.

c76a4a9d5659d605226404e1d15777d0.png

Нас спасет облако! И как всему в этой статье, лучше бы ему быть цифровым!

400ba26a6e2cd617edc89c5c7af513a6.png

При выборе конкретного экземпляра, желательно остановиться на внушающем доверие провайдере. Единственная важная для нас функция — хранение шифрованного архива с бэкапом 2FA клиента или с одноразовым кодом восстановления доступа на случай утери 2FA. Потому что без него, доступ к менеджеру паролей не получить.

Регистрируемся с паролем от нашего ПК, потому что данные в хранилище сами по себе не так критичны, чтобы закрывать доступ к ним новым уникальным паролем. Копируем в облако зашифрованный архив с бэкапом аутентификатора. Опять же, важные для нас сервисы закрыты двухфакторной аутентификацией и компрометация этого фактора не критична, если у злоумышленника нет логинов и паролей. 

В чем суть колдунства — теперь у вас появился независимый ресурс для восстановления 2FA и менеджера паролей, даже если все физические носители утеряны. Случай, конечно, редкий, но и этот риск теперь закрыт. 
Так же хочется напомнить, не оставляйте одновременно телефон и лэптоп вне зоны своего внимания и в зоне досягаемости посторонних людей.

Есть много примеров, когда во время путешествий у людей все ценные гаджеты лежат в одном месте и как бы под пристальным надзором владельца, но периодически я слышу от знакомых эти одинаковые истории с общей сутью: «Рюкзак с телефоном и лэптопом был безвозвратно перемещен в неизвестном направлении личностью без особых примет». 

063bbcf79a5f6b23b69cecc1401f039b.jpeg

В поездках это может стать критичной потерей, например, если ваша банковская карта привязана к мобильного номеру, а телефон с номером «безвозвратно телепортировался», то покупка билетов станет сложной задачей по поиску агентства, которое купит вам билеты за наличку или по карте за адекватную цену, и отдых приобретет оттенок квеста.
Поэтому, очень желательно, перевести аутентификацию банковского приложения на логин, пароль и 2FA, а подтверждение операций на push сообщения вместо sms.
Тогда при установке банковского приложения на новый смартфон, вы не упретесь в отсутствие заветного sms сообщения от банка. Но как обычно, протестируйте возможность работы мобильного банка на другом устройстве, потому что у разработчиков приложения может быть другое представление о необходимости авторизации через sms в случае смены устройства. 

Вообще, в поездках смартфон с интернетом это полноценный помощник и цифровой швейцарский нож, который может вас выручить в сложных ситуациях, поэтому о его сохранности стоит думать в первую очередь.

bb9aa3703080917da58fd174c4cdb2c6.png

Вернёмся к главной теме — созданию автономного цифрового завещания. Пока вы читаете эту статью, вам, скорее всего, не кажется это чем-то важным и обязательным, однако, в мире около 41000 людей ежедневно умирают от причин, не связанных с естественной смертью (* по данным ВОЗ). Вы, очевидно, не один из них, но простите за факт, обязательно будете ¯\_(ツ)_/¯.

Что представляет эфемерный человек, когда думаете о материальных ценностях и финансовых накоплениях —  конечно же старые-добрые коробки из-под обуви. Теперь представим, что у человека, живущего в 21 веке, значительная часть собственности может храниться в неявной форме: акции и фьючерсы на брокерских счетах, вклады в иностранных банках, блоги и медиа-ресурсы с доходами от всяких «марафонов желаний», криптовалютные активы и т.п. Но в таком варианте есть 1 нюанс — все активы, о которых не знают ваши близкие люди, станут недоступными, если вы не предусмотрите их передачу в случае вашего перманентного отсутствия по случаю смерти например. 

Поэтому именно сегодня и сейчас самый лучший момент для создания современного способа это сделать.

Пропущу описание всей бюрократии, которая становится препятствием при изменении прав собственности даже внутри одной семьи в ходе наследственного дела, думаю вы все представляете этот архаизм и персонажей, которые являются его лицом. Конечно, после смерти, человека уже мало что волнует, но лично мне бы хотелось, чтобы мои близкие люди не сталкивались с этой далекой от эффективности системой и ее исполнителями. Поэтому, то что можно перевести в цифровую форму и передать без посредников в виде чиновников-бюрократов, я стараюсь хранить в цифровом виде. Подробнее о переводе материальных ценностей в цифровую форму я напишу в следующей статье, ставьте лайки, колокольчики и будет вам счастье.    

Итак, из part I вы узнали, как создать надежную систему хранения своих данных аутентификации и защитить ее удобным способом.

Теперь ее можно сделать ещё более полезной, подключив возможность передачи доступов указанному лицу (или лицам) при несчастном случае.

Например, можно настроить опцию, по которой доверенному лицу будет предоставлен доступ к вашему аккаунту в случае:

* неактивности вашего аккаунта в течение нескольких месяцев

* запроса доверенным лицом доступа, если владелец не отменит этот запрос в течение заданного интервала времени.

Сервисов, предоставляющих вариации такой функции не мало (Google, LegacyBox, Everplans, SafeBeyond, Afternote) и многие популярные облачные хранилища имеют что-то подобное в платных и бесплатных версиях.

Важно: любой из выбранных вариантов должен быть предварительно проверен на практике до запуска в полноценную эксплуатацию!

Вариант 1 (самый простой)

Использовать менеджер паролей, 2FA, почту и облачное хранилище в одной экосистеме. Например, Google, позволяет сделать это бесплатно. Самое главное, у этого сервиса есть функция Inactive account manager.

4c3f8f0149a64bc0b159c75e6890150e.png

В случае неактивности пользователя 3, 6, 12 месяцев, указанному адресату будет направлено письмо с ссылкой на доступ к аккаунту неактивного пользователя. Не забудьте сделать шифрованный архив с инструкциями по восстановлению доступов к менеджеру паролей. При настройке Inactive account manager, в сообщении укажите расположение, имя архива для восстановления и пароль к нему, а ещё лучше п о к, а ж и т е доверенному человеку, как делать восстановление, а в сообщении передайте только актуальный пароль к архиву.

Таким образом, в своей экосистеме вы можете обойтись всего 2 паролями: 1 от облачного аккаунта и ещё 1 от физических устройств и резервных архивов, где будут храниться коды для восстановления 2FA аутентификатора, которым закрыт основной аккаунт.

Из плюсов: самый простой, комфортный и бесплатный вариант (* на авг. 2023).

Из минусов: все критичные доступы завязаны на одном пароле и одном провайдере услуг. Google и другие цифровые магнаты, кстати, не скрывают, что могут поделиться вашими данными и файлами с правительством, если оно попросит, поэтому важные файлы стоит шифровать и держать их вне зоне контроля своего «заботливого» государства. Также функционал у гугловых приложений самый минимальный, например менеджер паролей работает только в браузере и не предусматривает записи комментариев к элементам, а аутентификатор не умеет работать с локальными бэкапами. Ещё адрес доверенного лица тоже должен быть гугловым. Но все базовые задачи этот вариант закрывает.

Вариант 2.

У многих менеджеров паролей есть встроенный сервис Emergency access (обычно платный), благодаря которому, доверенный контакт может запросить доступ к аккаунту и через заданное время получить электронное письмо с доступами, если владелец не отменит этот запрос.

aaf8b9929debde6c28dae462b6047ca9.png

Также в менеджер паролей может быть добавлена функция аутентификатора 2FA (обычно платная), что делает его единой точкой входа для всех учетных записей даже с 2FA авторизацией. В таком случае, ваше доверенное лицо в одном аккаунте получит полный доступ к сохраненным сервисам.
Из плюсов: реализация очень простая, богатый функционал. 

Из минусов: скорее всего ПО будет платным. Выбор менеджера паролей в данном случае должен учитывать наличие функции Emergency access.

Вариант 3.

У вашего менеджера паролей нет сервиса Emergency  access и/или для второго фактора используется независимый аутентификатор.

Так как Emergency access для аутентификаторов штука редкая, будем считать, что вам надо передать 2 аккаунта.

Здесь нам снова помогут облачные сервисы с функцией Inactive account manager или Emergency access, выбор оставляю за вами. 

Делаем папку с бэкапами менеджера паролей и аутентификатора, добавляем описание как это дело установить и использовать. Из папки делаем шифрованный архив и добавляем его в облако, а дальше настраиваем отправку доступа доверенному лицу, как в варианте #1.

Из плюсов: можно построить на лучших бесплатных/платных решениях с богатым функционалом. Из минусов: Надо будет запомнить ещё 1 пароль от облака.

Счетчик обязательных паролей: 3 (+облачный Inactive account manager).

Мне лично нравится факт, что 3 разных сущности закрыты различными паролями. 

a6f96e385acdddd4430eb1452f87e071.png

Придержите ваши кольты, ковбои, напомню, в part I было достаточно доступно описано как придумать короткие, простые для запоминания и при этом криптостойкие пароли, так что здесь не должно возникнуть проблем, однако, вы всегда можете сократить это число, используя один пароль на всех сервисах

© Habrahabr.ru