Как защитить свой аккаунт от взлома
13.02.2024 42893 Комментарии (102)
Постоянно встречаю сообщения из серии "мою почту взломали", "мой телеграм-канал увели", "получили доступ к моему личному кабинету в банке" и так далее и тому подобное. Во многих случаях люди сами в этом виноваты: они используют крайне примитивные, легко подбираемые пароли, а потом удивляются, что к их конфиденциальной информации кто-то получил доступ или же кто-то увел их аккаунт.
© 1998–2025 Alex Exler
13.02.2024
Что ещё почитать
Мистер Блейк к вашим услугам
02.06.2025
34
Плюс, в отличие от программ MS и Google, Yubico Authenticator не привязан к устройству - все OTP будут генерироваться и на другом девайсе, главное, чтобы ключ был.
Если на несколько, то на сколько?
Рекордсменом по количеству акаунтов на ключе является серия PIN+R2 от Token2: 300 акаунтов и можно управлять акаунтами по-отдельности (удалять любой ненужный, без ущерба другим записям на этом ключе):
www.token2.com
OnePlus: Настройки - Утилиты - Блокировщик приложений
Samsung: Настройки - Биометрия и безопасность - Папка Knox
И добавить туда Google Authenticator
Разве это так работает? Если на новом телефоне залогиться в гугл, то автоматически весь ваш список с кодами не появятся, насколько я помню.
Если написать "6-значные" буквами ("шестизначные"), то увидите, что это целое слово, поэтому нет смысла разбивать его пробелом при использовании числа 6.
Вот правило, если интересно:
"§ 77. Пишутся через дефис:
<… >
3. Сложные слова, первым элементом которых является числительное (см. § 76, п. 3), если это числительное написано цифрами, например: 25-процентный, 10-летний, 35-летие.
4. Сложные порядковые числительные, если первая часть их написана цифрами, например: 183-миллионный, 5-тысячный."
therules.ru
Цитата "Starting March 19, 2024, Twilio Desktop Authy apps will reach their end of life (EOL). Beyond this date, you can access most of the desktop features and functionality in the mobile Authy apps.
You may have previously seen an August 19, 2024, end of life (EOL) date for Twilio Desktop Authy apps. This date has been moved up to March 19, 2024." Конец цитаты.
Authy хранит данные в облаке в зашифрованном виде, т.е. если я устанавливаю на новый тел, мне не нужно каждый аккаунт снова авторизовывать.
Судя по тому, что я вижу по WinAuth, это только локальное. Потерял БД и прощай все учётки.
Да и зачем переезжать? Сервис же не отключают.
Мне нужно чтобы у 2-факторного было два метода доступа, как минимум. Один ключ носить с собой, а второй в сейфе или банковской ячейке 😂
Ладно еще, когда при включении 2FA дают коды восстановления, которые можно распечатать или скинуть на другую почту и т.п.
А если нет? 😄
И главное, это работает везде. У меня был эксперимент - я попросил своих студентов запросить дубликат номера соседа вообще без предъявления документов. Из 10 попыток в трех это удалось. Это было в Женеве (операторы - в 2 случаях Swisscom, в одном Sunrise).
Был, конечно, прав, но её любовник сам об этом вовремя узнал и попросту купил любовнице другой телефон, на совсем-совсем "левое" имя; вычислить было невозможно.
Ай да я, ай да не при маме будь сказано!
С возрастом меняется, можно днём (если работа позволяет, конечно) перехватить те самые дополнительные полтора часа (4.5 + 1.5), но, конечно, перед тем не есть "плотно".
Говорят, сэр Уинстон придерживался именно такого образа жизни. И таки немало прожил!
В Америке умер родственник, его iPhone передали дочери (в другой стране) и она хочет им пользоваться.
Телефон удалось разблокировать (код был элементарным, просто подобрали, как я поняла из пересказа). Но телефон залочен у американского оператора. Можно ли в этой ситуации сделать unlock?
При наличии доступа к аккаунту оператора и знании персональной информации, типа ССН.
Не подколка, просто стало интересно. Ибо почти везде есть те наследники, которых вычеркнуть в наше время практически невозможно, времена Айвенго прошли.
In the United States, children may be disinherited by a parent's will, except in Louisiana, where a minimum share is guaranteed to surviving children except in specifically enumerated circumstances.
In England and Wales from 1933 to 1975, a will could disinherit a spouse; however, since the Inheritance (Provision for Family and Dependants) Act 1975 such an attempt can be defeated by a court order if it leaves the surviving spouse (or other entitled dependent) without "reasonable financial provision".
Возможно, что-то изменилось за прошедшие годы, я не слишком-то слежу за законами в РФ (если там вообще сейчас есть понятие "закон", конечно).
Дело в том, что примерно 12 лет назад одна женщина обратилась ко мне за консультацией; и не только ко мне, а и к ещё одному общему знакомому, из нашей ЧГК-тусовки, Юра высококвалифицированный юрист
Она хотела в завещании (бедная девочка; рак, не дожила и до сорока, мы и не знали, что счёт пошёл не на недели, на дни...) лишить прав наследства своего отца. Не буду углубляться в подробности, это было её дело, я не стану об этом говорить. Суть в том, что мы не нашли лазеек; наследник первой очереди.
Надо бы что-то перевести в британские фунты и шведские кроны, но я не настолько богат 😄
Мне проще, у меня один наследник первой очереди, могу спокойно помирать без завещания. 💀
дочку из России сюда вряд ли вообще пустят, да и хрен она узнает, что я тогось. Kот разве что претендент, но жена его и так не оставит.
дочку из России сюда вряд ли вообще пустят
Деньги - это такие продолговатые бумажки. Меня так на юрфаке научили потом 😉
Протон не даст добавить фидо ключ, если нет СМС или OTP (идиотизм)
Paypal (у меня во всяком случае) не дает добавить два ключа (идиотизм еще больший).
Вот пример фальшивого окна входа в акаунт Microsoft. Тут даже самая внимательная осторожность не поможет.
Вот еще вдогонку (сейчас Chromium эту дыру прикрыл, но она около года существовала). И никто не гарантирует что подобного рода дыр сейчас не существует.
да и просто новую почту на гугле уже просто так не заведешь...
К сожалению, новое поколение фишинг атак воруют не сами факторы, а логинятся с их помощью от имени жертвы, и воруют уже саму сессию. Вот пример
https://raivo-otp.com/faq/#is-raivo-otp-available-for-other-operating-systems
так себе совет "знающих" людей.
то, что вы привели в качестве примера (Evilginx, Modlishka...) - это уже не совсем фишинг, это больше MITM (так как он не получает кредов - он использует открытую пользователем сессию).
Легче, конечно, от этого не становится 😉
Это не традиционный фишинг, но тем не менее мы используем оба термина phishing with MFA bypass, так же как AITM (Adversary in the middle) . Выуживает он вместо самих credentials куки/сессию из браузера - что, в принципе абсолютно то же самое.
Добавлю, что это уже не просто теория - я помогаю паре компаний админить тенанты МС365, и около 20% фишинг атак сегодня используют Evilginx. Причем сейчас уже встречаются комбинации Evilginx с Browser-in-Browser - там success rate гораздо выше.
и что вы посоветуете для защиты?
Для защиты я посоветую FIDO ключи и/или их "встроенные" аналоги (passkeys).
Из меня, конечно, та ещё Инна Чурикова в роли Жанны д'Арк, да и моложе я, да и вообще я таки мужчина. Но.
А зачем вообще доверять непонятному устройству под названием "смартфон" все свои данные?
Фильмы я смотрю на большом экране, книги, если в электронном виде, читаю тоже не на семи дюймах. Навигатор есть в машине.
Аудиокниги? Только если куда далеко поехать, но для них есть банальная флэшка.
А в магазине я вообще плачу карточкой; иногда вообще наличкой, и мои обычные, ныне уже не совсем зелёные, бумажки очень любят продавцы, порой они даже "приподзакрывают" глаза на налог с продаж. Всем хорошо.
Но и с карточкой проблем никаких, потерять не жалко, ибо кредитка, не дебитовка, новую пришлют, покупки вора, если такой дурак найдётся, отменят, да и кэшбек неплохой.
Если я завтра этот милый телефон-раскладушку (навигатор там, кстати, есть) производства одной скандинавской фирмы забуду в кармане джинсов перед тем, как те постирать, то я потеряю примерно пятьдесят долларов, столько стоит новый.
А накопления у меня совсем в другом банке; и карточкой той я, конечно, не пользуюсь.
Полгода назад разве что, когда один дом продавали, а другой покупали, так и то не карта, а обычный чек. Бумага надёжнее. И никаких ипотек, конечно, жить надо по средствам.
Где я не прав?
Про смартфоны я исключительно по теме безопасности паролей.
У меня их три и их разгадать могут только очень близкие мне люди, а таких мало, я мало кому доверяю. Да и то трудно; как совместить имя кота с номером дома, учитывая, что кот по тому адресу никогда не жил?
Все пароли знает тоже жена.
Вру, не все 😄 Но она знет код ячейки в банке, где лежит некая бумажка, а там уже всё, но и то там зашифровано почти по Гашеку. Тот же метод был и у Штирлица, и в "Вариант "Омега".
Без точного знания не вскрывается априори.
PS:
Можно зашифровать что-то через интернет-программу, как советует Алекс. Более того, спасибо ему за то, что он предлагает программы очень умные; я могу об этом судить по той простой причине, что я, сам в этом почти ничего не понимая, уже без малого тридцать лет знаю человека, который профессионально занимается именно компьютерной криптографией. И мой тёзка, после всем понятно чего живущий в одной европейской стране, сказал - да, это хорошо. Взломать-то можно что угодно, вопрос только в сумме и времени. Ради тысячи долларов никто год напрягаться не станет. Ради миллиарда - да, но там другие системы и иные методы.
А мой метод прост; книги и мнемоника.
Могу прямо здесь рассказать пароль одной моей кредитки, ещё российской. И банк тут этот не работает, да и срок кредитки давно истёк, так что я ничем не рискую.
Запомни, сказал я жене, словосочетание "Валентинов день"; пароль был, естественно, 0215; не 0214, а 0215, ибо надо добавить единицу. Ну и как вы это вычислите, если не перебором?
Ну и денег на той карте было не так много. "Горсть мусора получит тот, кто кошелёк мой украдёт" (с) 😄
P.S. И - да; на моём лаптопе, откуда я набираю данное сообщение, нет доступа к моим банковским счетам 😄
Но подстраховываться недурно научили.
Мне проще. Я вообще за простоту.
Клиенты у меня люди обычно приличные, так что скрывать от "товарищей майоров" что российских, что европейских, что местных, американских, особо нечего. Даже налоги плачу! Я стараюсь работать именно в "белом поле", но если надо залезть в "серое", так на то как раз и существуют мобильники, что покупаются в Волмарте за ничтожные деньги и именно за наличные. Проследить карточку невозможно по определению, и, кстати, меня это немного пугает. Я-то, повторю, человек законопослушный (это выгоднее в конечном счёте), но факт того, что такой телефон может купить любой на всё голову больной террорист/наркоман/садист/педофил, далее по списку, меня не радует. Как и почти свободный доступ к оружию. Но что поделать, мир не совершенен.
Да, а создать аккаунт в (условно) скайп - дело нескольких минут. Если что-то совсем важное и секретное, то можно и лаптоп купить; старенький, лишь бы работал; из любого кафе позвонил, чай, не Россия, паспорт не просят, потом дрелью в него потыкал и выбросил. Тут дело только в цене задачи.
Что, повторю, тоже не очень-то и нравится. Мало ли какой "Шакал" из известного фильма такое делать будет.
В общем, достаточно тонкая грань между свободой и безопасностью.
www.tracfone.com
Тут же, в этом же магазине покупаете карточку оплаты; за 20 долларов у вас и сколько-то там интернета, и 120 минут, которые можно использовать в течение трёх месяцев. И снова платите наличными.
Активируете; надо, как в "мгновенной лотерее", просто с карточки монеткой или ногтем стереть защитную хрень серебристого цвета, потом ввести это в телефон там, где "add airtime".
Ну и как вы меня вычислите?
У меня таких телефонов было штук десять минимум; нет-нет, не для криминала 😄
Я их покупал моим гостям, что сюда прилетали, чтобы им на роуминг не тратиться, а мало ли потеряемся, не всегда же планы совпадают; кому-то в музей охота, а мне работать надо; удобно - созвонились, встретились, поехали ужинать.
Потом моим гостям и отдавал, как сувенир.
ну конечно же никак, если вы их купили за нал и положили дома 😉
ну или используете для разговоров с детьми. или с женой. вы будете неуловимы, пока не будете интересны кому либо, кто располагает ресурсами вас искать.
Если же вы стали интересны - то для того, что бы остаться неуловимым вам нужно кроме покупки телефона использовать немалый ряд организационных мероприятий, уменьшающий риск вашей идентификации. Уменьшающий - но не сводящий к нулю.
А я тот самый неуловимый, да; Алекс, с которым мы ещё времён почти умершего ныне ЖЖ т.н. "взаимные френды" лет уже, наверное, 15 (больше, но уже не помню) подтвердит, что у меня в профайле и имя настоящее, и образование, и год рождения, разве что дату не поставил, в определённом возрасте день рождения уже не столько праздник, сколь повод для самокопания, не хочется получать поздравления.
Я же говорю - не надо усложнять жизнь. Без нас желающих полно 😄
очень рад за вас, что секретов у вас нет, прятать ничего не нужно а то, что нужно, надежно защищено. К сожалению, далеко не все могут похвастаться таким счастьем.
PS:
помните поговорку от врачей о том, что нет здоровых а есть недообследованные? 😉.