Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Да, да, и ещё раз да! Все мы с вами шифруем пароли при помощи SHA 256. В интернет выходим только через ToR. Финансовые операции проводим только через блокчейн с 20-ю подтверждениями, и всё что будет написано дальше не про нас с вами...
…Но давайте признаемся, что использование Гугл аккаунта для регистрации на каких-то малозначительных сайтах сильно упростило нам жизнь… Ну, мне по крайней мере точно. Особенно, когда мне не нужно хранить все пароли, или помнить все пароли, или помнить, а здесь большая ли буква, а маленькая ли, а что вообще от меня хотят?
Но у всего есть обратная сторона. К примеру, если у вас угонят почтовый ящик, то в таком случае получат доступ ко всему и сразу.
Конечно, помним о двухфакторной аутентификации, и что почтовый ящик привязан к телефону, и вообще это невозможно. Но так ли сильна ваша вера в Гугл? В особенности если вы один из тех счастливчиков, что не привязывали свой телефон к Google аккаунту.
В этом случае ваша безопасность под угрозой. И кто ей должен обеспокоится? Ну в первую очередь вы самостоятельно:
Отказаться от использования Гугл аккаунта.
Завести записную книжку с паролями.
Выходить только через защищенные соединения.
И этого будет достаточно… Но это все равно крайне неудобно…
У тебя есть решение? Нет! Но у меня есть картинка решения!
На деле, важна инфраструктура безопасности. Потому что при отсутствии инфраструктуры, вы возвращаетесь обратно к записным книжкам. А наличие готовой в меру безопасной, и что самое главное удобной инфраструктуры способно решить вопрос.
Нет! Это не значит, что вы будете в полной безопасности, и вас никогда не взломают.
Да! Это будет безопасней.
Итак, инфраструктура безопасности интернета. Перед ней стоят несколько вопросов:
Кто её должен делать?
Должна ли быть диверсификация рисков?
Как её сделать?
КАК?
Всего четыре слова. Добровольно-принудительная двухфакторная аутентификация! Причем не обязательно использовать именно SMS. Как минимум это дорого и мерзко.
Есть несколько вариантов. Есть всякие приложения типа 2FA keys. Одно время они были крайне популярными. Но там была одна… маленькая проблема…
Они выдавали какой-то волшебный ID при установке приложения. И не дай бог, тебе его потерять. Вот я лично так потерял однажды доступ к своему аккаунту на одной фриланс платформе. Они ввели добровольную двухфакторную аутентификацию, а через неделю я потерял телефон с приложением.
Нет, безусловно номер я восстановил, а вот ID от приложения нет. Пришлось связываться с поддержкой, и доказывать, что я «Томат».
Поэтому двухфакторная аутентификация должна быть привязана к номеру телефона, и никак иначе.
Т.е. Это должен быть код, на СМС или на мессенджер. Без всякой дополнительной установки чего-либо, куда-либо. Потому что здесь инфраструктура важней безопасности.
А что насчёт добровольно-принудительной? Ну оптимальным решением станет функционирование в режиме ограниченного профиля. Чтобы не нужно было получать код для каждого действия, а только для ряда действий, которые действительно важны на аккаунте.
Кто?
Кто должен строить инфраструктуру? По-хорошему, это должен делать владелец. Платформы-ли, сайта-ли, мобильного-ли приложения.
Ещё лучше если он это будет делать своими силами. Как в свое время сделал «солнцеликий Габен». Но это в идеальном случае.
Что делать, если вы просто владелец какого-то небольшого сайта, но хотите обеспечить своим пользователям и удобство (Верификацию через Google аккаунт), и надежность (двухфакторную аутентификацию)?
Ну, в этом случае проще всего конечно воспользоваться готовыми решениями, и при помощи API внедрить их в свой сайт.
Здесь тоже все непросто:
Вы должны доверять сервису, и быть уверены в том, что двухфакторную аутентификацию никто не перехватит. Да, да, это уже маразм, и паранойя, но читают нас разные люди, с разными потребностями.
Вы должны быть готовы к дополнительным тратам. Все эти готовые решения, взимают с вас за каждую Сэ-Мэ-Сэ. И что куда неприятней, за Сэ-Мэ-Сэ на мессенджеры они тоже взимают плату.
Вы должны самостоятельно установить двухфакторную аутентификацию. Руками ли своего программиста, или своими собственными — не важно. Важно чтобы это было сделано собственными силами, хоть на чужом SDK, хоть как.
Ну или если у вас «Лапки», то будьте добры, отдать всю безопасность на аутсорс, а потом не удивляться, куда это утекли базы данных ваших пользователей.
Диверсия? Демашрия? Диверсификация!
Здесь все предельно просто — какая бы инфраструктура не была удобной. Сколько бы элементов и ступеней защиты она не содержала, все важные аккаунты и пароли, хранить по старинке.
Под важными аккаунтами и паролями:
Корпоративные данные.
Банковские данные.
Конфиденциальные данные.
А крипту лучше вообще держать на холодном кошельке, отключенном от интернета.
Итоги?
Итоги? А что итоги! Всё просто!
Если вы юзер, Диверсифицируйтесь! Как там было. Есть вещи, которые не пропить, а для всего остального есть мастеркард Гуглакк?
Если вы владелец пусть даже самого маленького сайта — следуйте хорошему тону, создавайте инфраструктуру. Подключайте и возможность верификации через Гугл аккаунт, и двухфакторную аутентификацию, желательно от стороннего провайдера услуги.
Ну и помните, что ваша задача, не создать абсолютно безопасный кокон (это невозможно), а сделать так, чтобы взламывать вас было дороже, чем размер потенциальной выгоды полученной от взлома.