Почтовый ящик  

Пара мыслей о противодействии жуликам в интернете (и не только)

Есть такое понятие «Best practice». Применимо к различным областям деятельности.
Выработал подобное для защиты своих финансов, аккаунтов и прочего ценного от жулья. Порядок принципов не важен, важна их совокупность в применении.

1. То, про что вещают из каждого утюга: «не сообщать никому никаких кодов». Неважно, каким методом получен код: в СМС ли, в мессенджере, почтой или ещё как.
2. При разговорах с незнакомыми людьми по телефону не использовать слова «да» и «нет».
3. Не использовать простые пароли. Пароль должен быть мнемоничен, чтоб запоминался, и должен набираться с клавиатуры по памяти. Использовать случайно сгенерированные пароли можно только, пользуясь менеджером паролей, что неудобно если у тебя больше одного устройства, на котором бывает нужно залогиниться куда-либо.
4. Везде, где можно, использовать двухфакторную авторизацию. Сильно портит жуликам жизнь, когда (не если!) они таки подберут пароль.
5. Для двухфакторной авторизации везде, где можно, использовать приложение генератор кодов, а не получение СМС. Держать резервную копию данных приложения в нескольких местах, обновлять её при внесении изменений (добавлении/удалении аккаунтов). При возможности держать приложение на нескольких личных (это ж как «ключ от квартиры, где деньги лежат!») устройствах. Это поможет, если жулики в преступном сговоре с опсосом задублируют или перевыпустят SIM-карту, а такие случаи уже были.

Как-то так. Немного усложняется процедура логина для хозяина, и чрезвычайно усложняется доступ для жулика. Каждый волен выбирать для себя, что ему важнее.

Про приложения (речь об Android, яблочных девайсов у меня нет) для генерирования кодов двухфакторной авторизации. У меня используются несколько:

Aegis — приложение с открытым исходным кодом, резервную копию сохраняет в файл. Основной генератор кодов.
Яндекс.ключ — генератор от Яндекса, используется только для логина по QR в аккаунты на яндексе, уж больно удобно. Бэкапит данные в облако яндекса, шифруя на номер телефона.
MS Authenticator — для логина в аккаунты Microsoft. Данные не бэкапит.
Authy — для логина на Pinterest (исторически сложилось, лень перенастраивать). Бэкапит данные в своё облако (потому и отказался).
WWPass Key — для специфического сервиса, обычным людям не нужно, кто тем сервисом пользуется, тот знает. :)

01 ноября 2024

tags:
how-to, HowTo, IT
<< предыдущая заметка следующая заметка >>
Оставить комментарий