Этим летом я консультировал коллег, у которых увели аккаунт в ютубе с полутора миллионами подписчиков. Увели просто — спёрли пароль. Самое смешное, что через месяц был аналогичный случай у других коллег, потом ещё и ещё. Раз-два в месяц у тех людей, которых я знаю, уводят крупные аккаунты. Кто-то умудряется их восстановить, кто-то нет.
Обидно потерять аккаунт, на котором завязан весь твой бизнес, да? И если вы этого не хотите, я тут расскажу от простого к сложному, как защититься. Вернее, от варианта «воруй меня полностью» до «хе-хе, ну попробуй». Прямо по уровням.
Вариант ноль: каждому свой аккаунт
То, о чём забывают почти полностью — раздавайте каждому сотруднику свой доступ и свои права. Например, на ютубе можно выдать права редактора, и тогда можно редактировать видео, но нельзя передавать все права на аккаунт.
В случае чего — просто доступ на пользователя закрываем, и всё, обходимся малой кровью.
Уровень упоротости: каждого пользователя заводим на корпоративном менеджере паролей. Например, LastPass. Главная фишка — вы покупаете доступ к сервису, в котором держите несколько десятков своих логинов и паролей, и просто даете человеку право авторизоваться через ваш ластпасс на другом сайте. При этом ваш логин и пароль второй человек не знает, он пользуется своим доступом к LP.
Очень удобно в случае увольнения человека — доступ к LP закрыл, доступ сразу везде закрылся. При этом логинов и паролей боец так и не знал, что удобно.
Такая настройка сразу закрывает кучу дыр.
Вариант первый: связка логин+пароль.
Уровень безопасности: слабый. Пароли воруют скриншотами, пароли пересылают в мессенджерах (считайте, что они сразу пропали). Так делать нужно ровно пять минут после регистрации, потом переходим на 2FA.
Сразу правило: в одном месте (одном канале) логин и пароль не выдаём. Если вам надо дать доступ человеку в другом городе, то лучше всего LP, второе - это разделение каналов. Это когда логин написали в вацапе, пароль — ВК, после получения сообщения удаляем. И храним пароли только и исключительно на бумаге, стараясь их не записывать в файлики. Менеджеры паролей (типа встроенного в хром) — можно, но на мелочь.
Двухфакторная аутентификация (2FA)
Или связка «логин+пароль» + «подтверждение через второй канал». Обычно это одноразовый пароль через СМС, который на андроидах не ворует только ленивый. Да, это надёжнее первого уровня, но ещё не надёжно.
Если хотите, вместо СМС поставьте приложение google authenticator, которое делает одноразовые пароли раз в минуту (и эти пароли никуда не передаются). Грубо говоря, есть сервер, который создает пару ключей, и второй ключ меняется по времени. И при обращении к сервису, например, от dropbox, он говорит — верно или нет.
Уровень упоротости — завести GA на втором телефоне, к которому есть доступ только у вас.
N+1 аутентификация.
В принципе, всё то же самое, что в прошлом пункте, но подтверждение берём из емейла, СМС, GA, звонком с кодовой фразой и так далее. Обычно боле 4-х уровней нам уже не требуется.
Разграничение доступа.
Тут всё тоже просто. Покупаем новый, чистый ноутбук. Чистый — это не рефарбишед, а новый с завода. Лучше всего с контролем отпечатков пальцев. Регистрируем на нём защищённую почту (proton или что попроще) и только с этого ноутбука раздаем доступы второго уровня (менеджеров в ютубе, например). И этот же аккаунт является резервным для всех рабочих.
Ноутбук храним в сейфе, никакие софты на него не ставим, с него не работаем. Лучше всего сочетать со следующим уровнем.
FIDO
Мы сейчас не про фидонет, а про физические ключи доступа. Тут есть простой принцип — у тебя должен быть физически ключ в руках, чтобы тебя пустили. Рисунок ключа не подойдёт, как бы не была вкачана харизма.
Принцип работы простой - покупаешь ключ (у меня — юбикей), настраиваешь доступ по ключу, далее для авторизации — вводишь логин и пароль, и вставляешь физический ключ, который ты ранее регистрировал, в usb порт. Проходит авторизация.
Уровень упоротости — поставить pin-код для доступа к ключу. Упоротость второго порядка: есть ключи, которые требует доступ по опечатку пальца.
Сразу скажу, что по стандарту можно зарегистрировать до 10 ключей в одном аккаунте. Так что делайте запасные ключи, если вы ключик потеряль — то ква. Я держу один ключ с собой, еще три — резервные. Можно хранить одни ключ в депозитной ячейке в банке.
Первичное резюме.
Разграничение доступов, физически недоступный «ключевой ноутбук», доступ к которому по хардварному ключу и отпечатку пальца, делает воровство аккаунта практически невозможным.
Если вы не попались на мастера социальной инженерии или на терморектальный криптоанализ.
Пару лайфхаков:
1. Если вы используете крипту, храните seed фразы на железной пластине в сейфе. Уровень упоротости в виде «написать на бумаге, порвать на четыре части, все просрать» - не надо. Никогда не храните в одном сейфе seed + кошелек. А, и кошелёк только холодный (хардварный) — ledger, onekey, пофиг.
2. Всегда распечатывайте резервные коды доступа. Это нужно на случай, если забыл пароль, а получить доступ надо. Работает для гугла, яндекса и так далее. Хранить в бумаге в сейфе.
Вот в принципе и всё, что я хотел вам рассказать о безопасности. Теперь о ценах:
- Yubikey (хардварный ключ доступа) в РФ около 5 тысяч, “там" — от usd 19. Аналогов навалом: Jacarta, Epass, даже Google свой Titan делала. Ищите по запросу Fido U2F key и выбирайте по задачам.
Пластина для записи seed фразы — от 5000 у нас за safepal Crypter до 20-30 тысяч. Золотая середина — Billfoldl. В воде не ржавеет, в огне не горит.
Потерять доступ к своим крипто-кошелькам или аккаунтам — бесценно.
Кто точно работает с хардварным ключом:
- VK (настройки-безопасность-onepass)
- Google Mail (управление аккаунтом — безопасность — токены) — и далее youtube, Chrome
- DropBox
- FB + Inst
- Криптобиржи
- Apple, ebay, сотни других
И самый главный совет.
Никогда. Никому. Не говорить. Свой. Пароль (пароли). Максимум — дать доступ через LP. А лучше дать второй доступ к своему аккаунту.
Надеюсь, эта информацию была вам полезна. Есть вопросы — задавайте. Если уже чем-то пользуетесь, то поделитесь какие у вас результаты.
(!) Подписывайтесь на наш канал в Дзен >> Филипп Богачев