Email or username:

Password:

Forgot your password?
Michael [Кошак] Skolsky (R1BLH)

Пара мыслей о противодействии жуликам в интернете (и не только)

Есть такое понятие «Best practice». Применимо к различным областям деятельности.
Выработал подобное для защиты своих финансов, аккаунтов и прочего ценного от жулья. Порядок принципов не важен, важна их совокупность в применении.


1. То, про что вещают из каждого утюга: «не сообщать никому никаких кодов». Неважно, каким методом получен код: в СМС ли, в мессенджере, почтой или ещё как.
2. При разговорах с незнакомыми людьми по телефону не использовать слова «да» и «нет».
3. Не использовать простые пароли. Пароль должен быть мнемоничен, чтоб запоминался, и должен набираться с клавиатуры по памяти. Использовать случайно сгенерированные пароли можно только пользуясь менеджером паролей, что неудобно, когда у тебя больше одного устройства, на котором бывает нужно залогиниться куда-либо.
4. Везде, где можно, использовать двухфакторную авторизацию. Сильно портит жуликам жизнь, когда (не если!) они таки подберут пароль.
5. Для двухфакторной авторизации везде, где можно, использовать приложение генератор кодов, а не получение СМС. Держать резервную копию данных приложения в нескольких местах, обновлять её при внесении изменений (добавлении/удалении аккаунтов). При возможности держать приложение на нескольких личных (это ж как «ключ от квартиры, где деньги лежат!») устройствах. Это поможет, если жулики в преступном сговоре с опсосом задублируют или перевыпустят SIM-карту, а такие случаи уже были.
Как-то так.
Про приложения (речь об Android, яблочных девайсов) для генерирования кодов двухфакторной авторизации. У меня используются несколько:

Aegis — приложение с открытым исходным кодом, резервную копию сохраняет в файл. Основной генератор кодов.
Яндекс.ключ — генератор от Яндекса, используется только для логина по QR в аккаунты на яндексе, уж больно удобно. Бэкапит данные в облако яндекса, шифруя на номер телефона.
MS Authenticator — для логина в аккаунты Microsoft. Данные не бэкапит.
Authy — для логина на Pinterest (исторически сложилось, лень перенастраивать). Бэкапит данные в своё облако (потому и отказался).
WWPass Key — для специфического сервиса, обычным людям не нужно, кто тем сервисом пользуется, тот знает. :)
3 comments
Link [Связной] :succubus_soviet: ⁂

@cats-shadow

Не использовать простые пароли. Пароль должен быть мнемоничен, чтоб запоминался, и должен набираться с клавиатуры по памяти. Использовать случайно сгенерированные пароли можно только пользуясь менеджером паролей, что неудобно, когда у тебя больше одного устройства, на котором бывает нужно залогиниться куда-либо.

Или записать частопользуемые/необходимые в какой-нибудь текстовый файл, закинуть на шару (с своего облака, например) и иметь к нему доступ по паролю. Я так себе рабочие штуки шарю со своего Nextcloud.

@cats-shadow

Не использовать простые пароли. Пароль должен быть мнемоничен, чтоб запоминался, и должен набираться с клавиатуры по памяти. Использовать случайно сгенерированные пароли можно только пользуясь менеджером паролей, что неудобно, когда у тебя больше одного устройства, на котором бывает нужно залогиниться куда-либо.

Michael [Кошак] Skolsky (R1BLH)
@Link "Связной" :succubus_soviet: ⁂ тут каждый выбирает сам. Предпочитаю природное биологическое хранилище между ушами для критичных паролей. Для некритичных хватает и хранилища фокса.
Go Up