Незнакомый человек прислал мне в Telegram вот такое душераздирающее сообщение:
Вишенка на торте — там ещё и рабочие документы были. Были, потому что вариантов решения нет!
[+] Сегодня в программе
Что здесь произошло
Этому бедолаге выпал наихудший расклад:
- Windows внезапно отказалась принимать ПИН-код – пишет, что он неправильный.
- Пароль учётной записи Microsoft (MSA) человек не помнит.
- На учётной записи есть номер телефона, но при попытке сброса пароля не приходит SMS из-за санкций в РФ (и РБ?).
- Процесс восстановления доступа к учётной записи завершается неудачей.
- Добраться до файлов на диске невозможно, потому что он автоматически зашифрован BitLocker. Пароля восстановления нет, а хранящийся в облаке — недоступен, поскольку не войти в MSA.
Что ещё может пойти не так
Хуже вряд ли будет. Но даже если вы помните пароль MSA, можно лишиться доступа к аккаунту, если номер телефона является единственным способом подтверждения входа!
Запрос на подтверждение от Microsoft всегда появляется внезапно: мы отправили вам код в SMS, гудбай!
Да, вы сможете спасти свои локальные данные, войдя в Windows с ПИН-кодом, потому что он хранится только на компьютере. Но учётная запись Microsoft будет потеряна вместе с облачными файлами и почтой.
Как не работает восстановление учётной записи Microsoft
Когда недоступен единственный имеющийся способ подтверждения входа, предусмотрена лишь отправка запроса на восстановление аккаунта через форму https://account.live.com/acsr.
Но это примерно то же самое, что писать в Спортлото!
Например, там без шансов, если при регистрации вы указали вымышленные личные данные вроде имени и даты рождения, которые сразу же успешно забыли. Также понадобится знание контактов и тем почтовых сообщений. И желательно всё это слать им с устройства, которым вы регулярно пользуетесь в привычном расположении. Неудивительно, что у героя нашей истории ничего не вышло.
Процесс описан в статье базы знаний KB5000442. И размещённое там видео (не текст!) срывает дополнительные покровы:
- Если вы не входили в аккаунт год, забудьте о файлах и почте.
- Неактивные аккаунты истекают через два года. Видимо, удаляются полностью. Почему-то выбран невнятный термин "истекают" (expire) при наличии куда более понятных синонимов!
Как застраховаться от проблем со входом в аккаунт Microsoft
Для начала нужно запомнить или сохранить в надёжном месте пароль. Но само по себе это не страхует от проблем.
Microsoft очень активно продвигает номер телефона в качестве главного средства защиты от потери MSA. В настройках безопасности аккаунта есть уведомление на странице и всплывающее окно. Также есть предупреждение на главной странице параметров Windows. Причём всё это показывают вне зависимости от количества и типов уже добавленных способов подтверждения входа.
Я же наоборот исторически не считаю телефон надёжным средством аутентификации из-за риска перевыпуска SIM-карты злоумышленником. А тут ещё и SMS не ходят.
Я рекомендую использовать двухфакторную аутентификацию (2FA) с помощью приложения!
2FA с аутентификатором одним выстрелом убивает четырёх зайцев:
- Страхует от недоставленных SMS. Их заменяет подтверждение в аутентификаторе Microsoft либо одноразовый код в нём же или стороннем аутентификаторе.
- Позволяет сбросить забытый пароль. Первым фактором будет подтверждение аутентификатора, вторым — код, высланный в резервную почту.
- Укрепляет защиту аккаунта от угона.
- Упрощает вход за счёт возможности беспарольной аутентификации [в приложении Microsoft Authenticator].
Строго говоря, можно добавить способы подтверждения входа, не включая 2FA. То есть предоставлять их только по прихоти алгоритмов Microsoft. Но когда уже всё настроено, логично форсировать запрос второго фактора.
Инструкция по настройке 2FA в аккаунте Microsoft
Это занимает 5 минут.
- В облачных настройках аккаунта Microsoft перейдите на страницу управления способами входа: Безопасность — Изменить способ входа или по прямой ссылке https://account.live.com/proofs/manage/additional и добавьте новый способ входа.
- Добавьте резервный адрес электронной почты.
- После подтверждения почты добавьте приложение аутентификатор на выбор:
- С приложением Microsoft Authenticator вы сможете входить как по одноразовому коду, так и по уведомлению, в том числе без пароля. Для этого выполните вход в приложении: нажмите ➕ – Личная учётная запись – Войдите с помощью учётной записи Microsoft (нежели “Сканировать QR-код”).
- Вы можете использовать любой сторонний аутентификатор и входить по одноразовому коду. Отсканируйте QR-код в приложении.
- Включите 2FA https://account.live.com/proofs/EnableTfa и сохраните в надёжном месте код восстановления. См. также справку Microsoft.
Эти же шаги на картинке. В пункте 3 у меня добавлены приложения Microsoft Authenticator и Aegis.
Разумеется, резервный адрес электронной почты тоже нужно защитить 2FA с помощью аутентификатора. Причём использовать Microsoft Authenticator в качестве единственного приложения рискованно. Резервное копирование осуществляется в облако Microsoft, и при блокировке аккаунта вы туда не попадёте.
Аутентификатор Aegis поддерживает бэкап в локальную файловую систему. Поэтому напомню посты канала с рекомендациями по бэкапу 2FA с его помощью:
- О восстановлении доступа к Госуслугам после утери аутентификатора
- Автоматический бэкап аутентификатора Aegis в Google Drive с помощью Tasker
Мнение
Вместо заключения озвучу своё мнение.
О причинах возникновения этой ситуации
Велик соблазн обвинить жертву в безалаберности: ахаха, не сохранил и не запомнил пароль аккаунта Microsoft, не позаботился о хранении ключа восстановления BitLocker.
Но по факту человек просто пользовался Windows 11 так, как это задумала и вынуждала Microsoft:
- Вошёл в систему с MSA, когда этого потребовали. Видимо, при установке ОС или первом использовании ноутбука.
- Указал номер телефона в качестве средства подтверждения входа в MSA. Тут был выбор между телефоном и почтой, но кто ж знал.
- Создал ПИН-код и дальше пользовался только им, поскольку парольный вход отключён. Поэтому и забыл пароль!
- Диск ему зашифровали автоматически и не сообщили об этом.
- О прекращении доставки SMS тоже не уведомили.
Проблема здесь даже не в принуждении к MSA, а в плохой продуманности и несогласованности разных решений и сервисов Microsoft.
Форсируя беспарольный вход в Windows с Hello, компания не имеет гарантированного решения на случай, когда ломается вход с ПИН-кодом. Да, в этом сценарии у них предусмотрен процесс «Забыл ПИН-код», в том числе для не имеющего пароля аккаунта Microsoft. Но для этого нужны доступные способы подтверждения входа.
Предоставление одного такого способа действительно форсируется. Причём не сразу, а спустя какое-то время после создания MSA.
Но ничто не мешает им по такой же схеме позже запросить и второй способ. Безотносительно санкций, не так уж сложно представить ситуацию, когда человек теряет доступ к своей резервной почте или поменял номер телефона.
Восстановление MSA через форму изначально имеет низкие шансы на успех, потому что создатели процесса живут в своём радужном мире, где все люди используют только реальные личные данные в онлайн-аккаунтах.
Наконец, автоматическое шифрование. Я понимаю, что процесс старались сделать максимально бесшовным и незаметным для пользователя. Но надо же учитывать, к каким последствиям может привести потеря доступа к аккаунту. Ведь известен момент, когда пароль восстановления сохраняется в облаке. И можно отправить человеку письмо с уведомлением, ссылкой на пароль и рекомендацией сохранить его в надёжном месте. И на главной странице Параметров эти сведения точно были бы полезнее, чем бонусы Bing.
////
При таких раскладах двухфакторная аутентификация становится не только средством защиты аккаунта Microsoft, но и важнейшим элементом доступа к нему и даже локальным данным. Включите 2FA сейчас!
Об отказе от учётной записи Microsoft
Я предвижу комментарий примерно половины читателей: «Просто не надо пользоваться аккаунтом Microsoft, и не будет таких проблем!». Ок, вы сделали такой выбор, но дальше не всё так просто.
MSA уже является системным требованием Windows 11. И со временем всё больше и больше людей будут входить с ней в систему на новых устройствах или после чистой установки. Постепенно в их число войдут ваши родственники, друзья и знакомые. Представьте, что с подобной проблемой к вам обратится хороший друг. Скажете ему, что он лох, и просто не надо было использовать аккаунт Microsoft? :)
Сегодня они лишатся доступа к учётной записи Microsoft, а завтра — Яндекса с ценными файлами на Яндекс Диске. И общим знаменателем будет потеря единственного фактора. Такие проблемы надо стараться предотвратить, объясняя людям риски и обучая их основам грамотного использования онлайн-аккаунтов.
Все ценные учётные записи по возможности должны иметь минимум два способа подтверждения или восстановления входа! Как правило, можно сочетать почту с аутентификатором.
Кстати, проведите инвентаризацию своих аккаунтов в этом контексте. Будет проще проводить ликбез.
Фантастическая беспечность! Хотя, это массовое явление.
И да, в топку эту учетную запись Microsoft.
«Ключ, естественно, не сохранял нигде». Ключевое слово «естественно»!
Это же просто пример из наиболее близкой к блогу тематики.
Что, ни разу не видели, как люди новый телефон на android настраивают?
— Какой у меня пароль?
— Попробуй коляпетямаша1
— Не подходит
— Попробуй 2
В топку учётную запись google? Следующую какую?
Поэтому мораль в конце.
>> И общим знаменателем будет потеря единственного фактора.
Не совсем. Общий знаменатель, доверие «облакам».
Ни слова против TOTP, вещь важная, нужная и удобная. Но как недавно прочел в одной художественной книге про большой бизнес в штатах: Пишите только то, что не страшно увидеть завтра на билборде в центре Нью-Йорка. Как аналог из нашей темы: Используйте облака таким образом, чтобы было не страшно их потерять. Потому что никто не застрахован от потери самого аккаунта, по независящим от пользователя причинам — сбой, политика, большая или локальная сервиса, и прочее.
Облака уже технологическая обыденность. Уже выросло поколение без персональных компьютеров, только со смартфонами. У них всё в облаке. Может там они ничего и не теряют либо не страдают от потерь.
А вот когда они попадают в эти ваши компьютеры… :)
Я ничего не говорил про «не пользоваться». Скорее про бекап, диверсификацию и отсутствие жестких привязок. Чтобы в случае чего «эту неприятность мы переживем». И эту тоже. И эту…
Да, вот так скучно и обыденно — у него просто не было бэкапа.
Я в блоге и в канале неоднократно говорил, что облачный диск — это не бэкап. Да, это лучше чем ничего. Пока не лишишься доступа…
На уроках информатики вместо никому не нужного преобразования чисел из десятичной системы в двоичную и обратно и заучивания тупых определений типа «что такое информация» надо давать установку, что любой носитель информации в любой момент может сломаться и что важную информацию необходимо регулярно бекапить. И что пароли нужно хранить в специальной программе/приложении, базу которой тоже нужно регулярно бекапить, а не доверять все пароли браузеру.
Опять вы со своими компьюктерами. Специальная программа, бэкапить — это слишком сложно для потребителя на смартфоне. Я вот пользуюсь keepass2android, но я бы не назвал пользовательский опыт удобным или хорошим. Там хомячок уже от стартового диалога умрет. Может и есть хороший UX у коммерческих решений, но прозреваю, что за деньги.
Поэтому пароли в браузере — нормальная тема для потребителей. Но есть нюанс © Нужна синхронизация, а это опять завязано на облачную учетную запись :)
Жизнь вообще непростая штука. А тут сложность уже в понимании ценности данных и надежности их хранения. То, с чего я начал «Общий знаменатель, доверие «облакам»».
Я часто повторяю. В наше время, компьютерная грамотность, это такая же неотъемлемая часть, как умение читать и писать.
Каждый хозяин своего счастья. Устраивает умение читать по слогам вывески А-быр-валг, а от стартового диалога «умирает», значит принял такое решение. Не важно, осознал последствия или нет. А вот подстраиваться под любителей «читать вывески» выглядит странно. Да, всё должно быть по возможности проще, но не проще, чем необходимо.
Именно что все должно быть еще проще, чем для чтения вывесок. И это забота создателей программно-аппаратных продуктов сделать так, чтобы было просто, но функционально и в меру (!) безопасно.
Про современную тягу к параноидальной безопасности я ниже простыню написал.
Сегодня ситуация такова, что пароли пользователей знает кто угодно — кроме самих пользователей. Тогда НАФИГА ОНИ ВООБЩЕ НУЖНЫ???
За что, собственно, давно порицали Microsoft во всех холиварах — потужные попытки представить внутренне сложную систему внешне простой, и всё описанное в статье есть прямые последствия этого.
Что-то там само создалось, куда-то само загрузилось, как-то само работает — система прекрасна, пока всё нормально, но ровно до того момента, когда что-то ломается.
Сложность должна где-то жить, и если её убрали из этапа развёртывания и эксплуатации — она переедет на этап диагностики/восстановления (где может обратиться в невозможность восстановления — фатальную форму сложности).
Контекст — десктопные системы. Там совершенно нормально упрощать сложное, в некоторых линуксах это тоже поняли и даже GUI запилили.
Я же пишу о том, как можно было улучшить процесс, обеспечив связанность разных сервисов. И для иллюстрации этого нет ничего лучше, чем пограничные случаи. Здесь — сочетание вопиющей пользовательской безалаберности с санкциями.
У меня 2fa не включена, но привязаны кроме телефона (можно и отвязать, наверно) почта и аутентификатор. Ну и BitLocker не используется. Пароль от MSA помню, OneDrive настроен на 4 устройствах.
Да, необязательно включать двухфакторную аутентификацию, чтобы обеспечить себе возможность входа в учетную запись. Поэтому я и пишу:
И да, любой способ можно отвязать.
Ну в целом да — в топку ЛЮБЫЕ учетные записи. Да, не от всех можно отказаться безболезненно, но от именно Майковской — можно. И нужно.
Но да — люди не знают. И им СПЕЦИАЛЬНО не говорят.
Да, я не считаю, что все сводится к идее «злобных корпораций, отбирающих нашу приватность и собирающих наши данные». Да, они многое собирают и даже продают, но я не считаю это заведомым злым умыслом и тем более признаком некой системы МИРОВОГО ЗАГОВОРА или ГЛОБАЛИЗАТОРОВ!!!
Но!!!
Я категорически против самой концепции современной гипербезопасности, навязываемой человеку сверху во всех возможных областях.
Не только в айти.
Человека все больше держат за недееспособного не способного за себя отвечать. За идиота (клинического), за ребенка вечного.
И да, в этом подходе есть правда жизни. НО!!! Чем больше человека за ребенка держать — тем ЕЩЕ ИНФАНТИЛЬНЕЕ он будет.
Лариса Долина не даст соврать.
Знаете, когда-то давно (когда я подрос, начал задумываться о жизни и обращать внимание на то, как устроено в разных, неизвестных мне ранее местах) я пришел к поразительному для меня тогдашнего выводу, во многом сменившему весь мой взгляд на жизнь, все мои парадигмы:
мы все росли в СССРе, где постоянно слышали (и слышим до сих пор) бесконечные объявления в транспорте: «Будьте осторожны! Не делайте того, не делайте этого, придерживайте двери, проходите в середину салона, не задерживайтесь, не бегите, не то, не се, а вот это обязательно, иначе большой барабум!!!»
И я понимаю, откуда ноги растут — когда появилось метро, в столичных городах было огромное число народу из натурально деревни, которые, как у СТругацких, «до сих пор называли электричку чугункой», а от прибытия поезда шарахались примерно как первые зрители Люмьеров.
И их натурально советское государство опекало как детей. Ну такова была парадигма социалистическая с его вечной опекой, коллективизмом, взятием на буксир.
Больше нигде в мире я с таким не встречался. Хотя «относительно первобытные» люди и там сталкивались и с метро, и с железкой, и с авто, и с самолетами.
И вот когда я надеялся на то, что этот совок-детский сад наконец начнет исчезать, произошло обратное — он воцарился во всем мире, в первую очередь как раз в сфере айти.
В информационной, мать его, безопасности.
И с какого-то момента людей, этих неразумных питекантропов, не иначе, начали погружать в мир обязательной избыточной безопасности.
Отсюда все эти бесконечные пароли (я еще помню открытые форумы без учетных записей и паролей — приходи и пиши!), двух-и-более-факторные аутентификации, учетные записи на все, что можно и нельзя — и шифрование.
И что мы имеем? Дальше я пишу с полной ответственностью, как ремонтник, к которому каждый день люди этим идут — на сегодня 90-99% людей теряют свои данные не от действий каких-либозлоумышленников, а из-за косяков инфраструктуры безопасности данных.
90% забывают свои пароли,пины, графические ключи (паролей многие даже и не знали никогда, ибо один раз введено, а дальше «оно само все время входило же!») — потом от 3 до 10 попыток ввода — и до свидания, данные!! Ну или данные живы, но зашифрованы, ага.
Еще 9% потерь — это когда всякие облака и прочие хранители оных — херак и обнулились. Или сервера у них погорели, или вирус пробрался, или тупо вашу учетку за что-то (или ни за что!) удалили.
А вот остальной 1% — это примерно, когда у человека данные именно увели из-за недостаточной защиты.
Но это как раз уводят обычно у тех, кому никакой защиты не будет достаточно — ибо настолько ценны (бесценны) те данные.
Поэтому В ТОПКУ ВСЕ УЧЕТКИ! Как минимум, все навязываемые учетки.
Я считаю приемлемой на будущее только одну концепцию — при активации каждого нового устройства пользователя спрашивают — КАКУЮ МОДЕЛЬ он ХОЧЕТ использовать: защищенную или «простую», без шифровки и заборов. Спрашивают, развернуто объясняя последствия выбора и риски каждой из моделей.
И что-то мне подсказывает — 90% людей сразу выбирали бы модель «без защиты», но и без риска остаться без своих данных, просто забыв пароль или оказавшись заложником дебильной бизнес- и UХ-модели корпорации, предоставляющей устроство, услуги и экосистему.
И нет, никакие двухфакторки не решают эту проблему столь же элегантно и эффективно, потому что объем данных, заполняющих оперативную память ПОЛЬЗОВАТЕЛЯ, необходимых для доступа к СВОЕЙ инфе с каждым фактором растет экспоненциально.
Так что — еще раз — В ТОПКУ ВСЕ учетки и шифрования. Отказывайтесь от них, если вы не корпоративный пользователь, где только можно. «И бабу свою научите.» (почти цитата)
Владимир Ильич, ну что же вы, перелогиньтесь.
И лучше расскажите нам, как вам живется без учетных записей. Всяких госуслуг, почт, маркетплейсов и магазинов, банков.
Про телефон ваш без шифрования я бы тоже послушал…
Вадим, ну вы же понимааете, про КАКИЕ я учетки. Частные учетки сервисов — избегаемое зло в целом (кроме банков). Можно ж и не пользоваться озоном например. Вообще.
И про телефон без шифрования свой я бы тоже послушал. Да негде. В мире и так полно шифрования — есть шифрование GSM, wi-fi, прочих протоколов — это достаточный технологический минимум. Я не луддит и не предлагаю это все в расход.
А шифрование от провайдера экосистемы мне — ТОЛЬКО ПРЕДСТАВЬТЕ! — может быть не нужно. И я хочу иметь возможность выбора отказа от него. Удивительно, но как-то жили без мс-учетки и битлокера раньше.
Вообще без проблем (кто с проблемами — он и сейчас в опасности, но теперь их стало больше вдвое: к опасностям от злодеев добавились опасности от «защитничков»)
И если мне надо — я поставлю ВераКрипт и буду точно осознавать, что и зачем я делаю, и как мне с этим обращаться.
А не так, что мне зашифровали все, а про существование ключей (как и самого факта шифрования!) я даже не догадываюсь, пока не случится, то, из чего эта статья состоит.
Действительно. Если бы ТС пользовался беспарольной учетной записью, то и доступ бы к ней не потерял :)
https://www.outsidethebox.ms/18835/#microsoft
https://www.outsidethebox.ms/20511/
Вы всегда пишете об очень продвинутых пользователях — профессионалах и корпоратах.
А 99% юзеров — это домашние чайники, которым нужны сериальчики и погамать, а не разбираться в том, что ВООБЩЕ ТАКОЕ эта двухфакторка.
И почему-то для этой категории пользователей НИКАКИХ ВАРИАНТОВ чем дальше тем больше нет. Словно их и не существует.
Но их БОЛЬШИНСТВО. И это большинство надо УВАЖАТЬ. В том числе уважать и его технологическую безграмотность, увы.
Подстраиваться надо. Это же ЦА. И должно быть проще. Но не всегда получается.
Вот та же двухфакторная аутентификация — отличный пример. В сравнении с TOTP пользовательский опыт проще у SMS, но там свои недостатки. И вот уже госуслуги заменяют второй этап смс на max с вопросами бота не разговариваете ли вы с кем то по телефону сейчас :) Хотя там мотивы не про упрощение UX, конечно :)
Опять же, беспарольная аутентификация — это хорошая альтернатива. Если говорить о реализации для аккаунта Майкрософт, то очень похоже на смс (приходит уведомление). И даже лучше — вам просто нужно подтвердить в уведомлении без всяких кодов.
Ключи доступа тоже норм https://www.outsidethebox.ms/22646/
Очень сложно спорить с грамотными мыслями, в которых опущены некоторые нюансы, способные при этом, существенно повлиять на результат.
«но не проще, чем надо» подразумевает двухфакторный анализ — сложность и качество.Так ли сложнее ТОТР к СМС? Да ничуть. Это скорее непривычно. Но сложись ситуация, когда этот способ стал столь же массовым, он выглядел столько же простым. Простым и более качественным. Экстремум целевой функции достигнут.
Более того, если перечитаете, я немного про другое писал. Каждый сам кузнец своего счастья. Но не надо потакать. Ай, ему сложно. Ай, «хомячок уже от стартового диалога умрет». Хомячок должен эволюционировать (процесс, а не результат) до компьютерной грамотности. Потаканием, вы не пользу несете, а вред. Ну а несчастные случаи в процессе эволюции необратимы.
Кстати, вокруг TOTP даже немало мифов среди ИТшников. А ведь это всего лишь стандартный алгоритм временно́й свёртки кодового слова (пароля, ключа), единый для всех. Функция двух переменных — строка и время. Причем сам пароль при создании айтема аутентификации передается открытым текстом.
я вообще не хочу быть аутентифицированным никаким Майкрософтом. И всем того же желаю. И никакой Ильич ту ни при чем.
Это в целом нормальное человеческое желание.
Однажды тоже озаботился (причем не только этим вопросом, но и в более широком охвате — вопросом аутентификации своих логинов везде, вообще и в целом — включая корпоративные и по намеку от корпоративного сисадмина). И купил себе аппаратный ключ (точнее — два, один основной, повесил на ключи в качестве брелока, и второй — резервный, лежит «где надо», для того чтобы далее не повторяться — настройка, естественно, выполняется при синхронно). Дабы не рекламить нечаянно и не продвигать в поисковых выдачах: на «юби» начинается, на «кей» заканчивается.
В процессе настройки и тестировании использования — энтузиазм появился и только увеличивался.
Во-первых — полная замена аутентификаторов (которые тоже не панацея если их можно тырить с настройками без ведома владельца) и паролей вообще, на ресурсах, которые позволяют аутентификацию passkey (FIDO2 = WebAuthn + CTAP) — это в том числе, кстати и Майкрософт, но об этом чуть ниже. Аутентификация теперь вместо ввода хитрого-хренасдва-вспомнишь-пароля и тыкания в аутентификаторы и обратно в окно ввода ключа — превратилась в «вставил ключ в usb — кликнул в соответствующий способ аутентификации — ввел несложный пин ключа (сложный не особо нужен т.к. главная защита — не он) — коснулся ключа в ответ на требование — и-по-ле-теее-лииии».
Это в (навскидку) вход в аккаунты гугль (включая акк, выделенный корпоративно в рамках купленного у гугля пакета услуг), гитхаб, майкрософт…
Причем при входе в майкрософт (это то самое «чуть ниже») и если у тебя несколько аккаунтов (поверьте — такое вполне может понадобиться), защищенных одним и тем же ключом — после выбора способа входа по ключу и подтверждения касанием ключа — выкатывается список выбора всех защищенных этим ключом аккаунтов для выбора нужного.
Дополнительная плюшка — Keepass! Нюанс (если автору интересно) — это не ч/з дефолтный fido2, а настройкой challenge–response (HMAC‑SHA1) на ключиках — на слоте в разделе OTP, причем при создании на основном ключе секрет — запомнить и на резервном при создании указать (вместо сгенерированного) — чтобы оба ключика одинаково работали на этом слоте. Причем как на компьютере (KeepassXC прекрасно понимает passkey-авторизацию доступа к базе = галка + пин + касание ключа) — так и на android-комбайнах (тут уже упомянутый автором Keepass2androit плюс (это важно!) ykDroid, причем поскольку у меня ключик с NFC-опцией (как практически все ключи этого производителя) и на планшете есть NFC — даже без otg usb обхожусь.
Базу (паролей+заметок) будучи олдфагом изначально (и в основном) организую и использую локальную (допускаю что многие не согласятся с моей парадигмой — но не спешите закидывать какашками), место основного формирования — на компьютере (с некоторых пор это ноутбук), с копированием для использования на другие девайсы (в том числе — с android). ну или для резервирования в какие-нито облака (в последнее время, кстати, отказался от этого).
Защищенность и секретность — намного (несравненно) выше.
Вся защита — физический единоличный доступ к брелку на личной связке ключей.
Причем в случае предполагаемой компрометации (утери/кражи) — из «нужного места» достается резервный ключ, и ним выпоняется пере-генерация доступа с исключением предполагаемого скомпрометированного из опций авторизации на ресурсах (в порядке от более важных к менее, но это уже лирика). Локальная keepass-база: авторизация + выгрузка в xml + пересоздание challenge–response на том же слоте ключа (с пере-генерацией секрета — для его воссоздания на новом резервном ключе). После этого — неторопливое (но не отложенное в долгий ящик) приобретение нового резервного ключа, неторопливое включение его в настройках авторизации на ресурсах, воссоздание на нем challenge–response с предварительно запомненным секретом — для keepass, и упрятыванием в то же «нужное место», ага.
Спасибо, огонь!
А, забыл, дополню.
Для более отсталых ресурсов, не предоставляющих возможности passkey-авторизации и упорствующих на использовании аутентификаторов в 2fa — в наличии весьма удобный аутентификатор «на ключе». Используемый при надобе — и доступный только при физическом доступе к нему (дополнительный фактор безопасности).
Вот вы вроде давно читаете, но непонимание вопиющее. Я пишу для домашних пользователей. У меня вообще нет в блоге материалов, целевой аудиторией которых являются организации.
Да, многое можно применять в организациях. Но в основном в качестве конечного пользователя (ускорение работы) или специалиста техподдержки в компании (диагностика и устранение неполадок). А если какой-то админ вычитал про политики, он в любом случае не локально их применяет. Да, есть еще условные «компьютерные мастера» — но их можно отнести к опытным домашним пользователям. Опять же, это либо обслуживание домашних пользователей, либо эникей.
Так вот домашние пользователи — необязательно тупые чайники, которым только сериальчики. Если человек обладает определённым интеллектуальным уровнем и желанием разобраться, он справится.
И эта статья — отличный пример материала, в котором нет ничего сложного. Искажение восприятия возникает из-за того, что в интернет или к вам с вопросами вылезают только такие вот чайники. Остальные сами справляются.
Опять сотрясание воздуха, да еще и капслоком. Так им и сделали специально беспарольную учётную запись, чтобы не надо было пароли помнить. В этом нет ничего сложного. Сложным это вам кажется, потому что вы этим не пользуетесь.
1) Необязательно. Но если не засиживаться в пузыре айти-спецов (хоть корпоративной,хоть частной поддержки, хоть просто сугубых технарей, которые любят все пилить под себя — и умеют! — то можно БОЛЕЕ правильно оценить соотношение между тупыми и нетупыми чайниками. И начать думать (я про тех, кто что-то для масс разрабатывает) о БОЛЬШИНСТВЕ (Майкрософт, кстати, все это время пытается, но часто очень криво. Но хоть пытается. Точнее, пытался)
Отдельно замечу, что часто тупые чайники не такие и тупые (вполне себе профи и академики в разных областях), но вот разбираться в тонкостях настройки компов им НЕ НУЖНО. Точнее, нужно по остаточному принципу. Потому что ресурсы чердака не бесконечны и лучше их направлять на основные фронта своей занятости.
И потому любой чайник имеет право иметь комп по тому же принципу, что и машину — так чтоб ребенок с минимальной теоретической подготовкой мог сесть и поехать (да, эти времена тоже уходят стремительно, но все же пока не настолько).
2) и эта статья — отличный пример именно того, как работает человеческий мозг, психология и биология — нормальный (!) человек не будет и не должен предвосхищать подвохи от экосистемы, от своего инструмента. Он свой ресурс в норме расходует на другое. И никогда не будет такого, что все чайники (или хотя бы большинство) станут опытными чайниками, а не «тупыми».
Скорее,динамика, как мы знаем, обратная. А у большинства актуальных разработчиков до сих пор синдром «домашнего айти начала 90-х» — периода, когда в интернет попадали только самые грамотные, неравнодушные и любознательные люди.
Но такого больше никогда не будет. Такова селяви.
3) единственная существующая в природе по-настоящему беспарольная запись — это локальная учетка (внезапно) БЕЗ ПАРОЛЯ. Все остальное — это красивые слова, по сути не соответствующие действительности. (Что и испытал на своей шкуре герой истории).
Это все равно что назвать бепарольным вход на веб-сервисы в браузере, потому что пароль запомнен в кукисах, ага.
Вадим, вы прекрасно повышаете осведомленность и подкованность пользователей, в том числе и домашних.В том числе и мою.
Но поверьте: ваши читатели — ни фига не большинство и не норма среди именно домашних (да и офисных) юзверей. Вот как и я — не норма. Я для настоящего домашнего пользователя — Волшебник. (Вы, наверное, проходили бы по разряду Бога).
И это не потому (не столько потому), что к нам идут только проблемные. К нам идут все. Проблемы у них чаще всего с железом, так что нет у нас особого отбора по софтовым чайникам. А проблемы с учетками — чаще сопутствующие. И я вижу примерный массив знаний (и умений) по поводу этих самых учеток у РЕАЛЬНО СРЕДНЕГО пользователя (к тому же я этого пользователя далеко не только у себя в мастерской вижу).
И этому пользователю нужен UX класса «автомобиль 80-х», а не класса «киберпанк с Киану Ривзом». Правда. И мне он нужен.
В компах я себе могу пока организовать свободный от бесконечной аутентификации спейс, а вот в смартах уже не получается.
И да, я не буду даже напоминать про то, как в современных условиях
а) трансграничные аутентификации становятся часто просто невозможными (вот и смс-ку прислать Майкрософт нам уже не может. И не только он). Да, это можно обойти тем или иным способом, но не всегда. И никогда постфактум появления критической проблемы с доступом (см.статью)
б) постоянная и вездесущая идентификация в отдельных малоизвестных странах вообще становится явным механизмом тоталитарного контроля и порой вещей похуже.
Последнее время стало напрягать сравнение с автомобилем. Он — статичное изделие единственной направленности. И то, нельзя недооценивать время потраченное на освоение. Компьютер же — универсален и динамичен. Представьте механизм, который сейчас можно использовать как автомобиль, а завтра как экскаватор, бульдозер, катер, подводную лодку или космолет. А еще — перфоратор, телевизор и пылесос. То есть скорее конструктор, чем изделие.
При этом не спорю, маркетинговые цели испортили UX и есть переусложнение с одновременной недоработкой этого конструктора.
Если я что-то и опустил, то лишь очевидные на мой взгляд вещи. Ок, давайте я поясню свой тезис, раз вы не видите разницы.
UX однозначно сложнее у TOTP. На примере двухэтапной аутентификации после ввода пароля (телефон разблокирован):
• СМС: пришло уведомление, код виден прямо в нём. Уже можно вводить код.
• TOTP: найти аутентификатор в списке приложений, открыть и найти в списке сервисов нужный (глазами или поиском). А на смартфоне надо еще запомнить или скопировать код и переключиться в целевое приложение. Только теперь можно вводить код.
И теперь беспарольная аутентификация Microsoft: нажать на уведомление, в некоторых случаях ввести показанные на экране две цифры.
И да, у Microsoft я пользуюсь только беспарольной аутентификацией. Потому что это проще всего :)
Я согласен, что хомячкам не надо потакать. Поэтому для них нужно придумывать такие решения, которые сочетают безопасность и простой пользовательский опыт.
Менеджеры паролей за исключением браузерных — это не простой UX. Особенно на мобильных устройствах. Поэтому и привожу пример, пожалуй, самого популярного бесплатного менеджера в экосистеме android.
И поэтому я так много говорю о беспарольной аутентификации, в том числе ключах доступа. Это проще парольной, проще СМС, проще TOTP. Сейчас это наилучший компромисс между безопасностью и удобством.
Угу, вы-то в полной мере пользуетесь благами моего блога, в том числе чтобы зарабатывать деньги. А дальше эту осведомленность передаете населению? Обучаете этих чайников грамотных подходам?
Если будете бить себя в грудь, что да, я вам все равно не поверю. Потому что я давно вижу ваши подходы. Отстаивание локальной учетной записи, которая не соответствует современным требованиям операционной системы — лишь один из примеров.
Да и в целом по форумам и чатам я давно уяснил парадигму компьютерных мастеров. Это не те люди, которые заинтересованы в обучении населения основам компьютерной грамотности. Зато они всегда первые в комментариях заламывают руки от имени мариванн.
Вообще бесит что почти каждый онлайн сейчас хочет номер телефона и привязку к нему. Было же раньше всё просто — уникальный ID (ник/мыло/нечто иное) + пароль + резервная почта. Всё. Этого достаточно, в особых случаях — есть техподдержка. Но нет, надо придумать еще сущностей и везде пихать смс. Я вообще сильно удивлен как это госуслуги позволяют вместо смс ТОТП использовать. Причем у банков ТОТП почему-то обычно наоборот нет — или смс, или бумажка с ограниченным количеством одноразовых паролей, которую еще попробуй получи у сотрудника банка лично (а ведь много лет назад я помню как без проблем печатал себе такую бумажку просто через банкомат).
У микрософт аккаунтов вообще отдельная шиза — они одни из совсем немногих, кто позволяет регистрацию без номера телефона. Но есть ньюанс — через некоторое время, пару дней после регистрации, они внезапно просят дать им хоть какойнибудь номер телефона и код из смс. Причем этот номер потом больше нигде в аккаунте не сохраняется и после первого раза уже ничего не просят, я им давал номера от покупного сервиса приема смс.
И да, в итоге возникают проблемы. Особенно если жить в месте, которое одновременно две страны считают своей территорией, и одновременно весь мир запихивает под санкции, а одна из двух вышеупомянутых стран еще и сверху накидывает блокировок и ограничений. В итоге возникает забавный кейс — имеем почту на ukr.net которой уже лет почти 25. Имеем пароль от нее, последний пароль приложения, IP адрес белый который тоже лет 15 как не менялся, но всё — в почту не войти. Потому что им там что-то показалось и пароля недостаточно, и требуется подтвердить доступ — а нечем. Просто потому что номера телефонов Украины внезапно перестали работать в 2022 году (но при этом на большей части территории РФ они работают в роуминге), резервная почта на mail.ru — внезапно стала вражеской и не считается (но при этом на нее исправно приходят уведомления о неудачной попытке входа и смене статуса аккаунта), а техподдержка соглашается провести процедуру восстановления только через бумажное письмо с нотариально заверенными копиями документов, что в принципе не особо реально, учитывая местоположение. И конечно же до кучи на сам сайт почтовой вебморды зайти можно только через впн. Потому как это для России вражеский сервис :)
До кучи отдельно доставляет то, что даже российские сервисы не все могут даже смс доставить на местного основного оператора +7949, а некоторые только недавно научились, не говоря о международных (но гугл и телеграм как ни странно как-то могли. До недавних пор. Сейчас похоже уже не могут).
Здесь несколько неточностей, причем корректная информация есть в статье, в том числе на картинках.
1. Они действительно просят номер телефона, но можно вместо этого дать адрес электронной почты.
2. Эти сведения сохраняются в разделе способов подтверждения вашей личности https://account.live.com/proofs/manage/additional
3. Запросить подтверждение могут в любой момент — например, при входе с нового устройства.
Потому что это безопаснее.
Это как раз повод юзать TOTP и/или ключи доступа https://www.outsidethebox.ms/22646/
Тотальная цифровая безграмотность и беспечность ничем не отличается от общего уровня безграмотности и беспечности. 50 лет назад мужчины умели чинить технику, а женщины — одежду. Будь тогда компьютеры, они бы умели и знали, как что сохранять.
Я уже три года как уехал из РФ, не собираюсь возвращаться, а потому постепенно (по мере надобности, а что не надобно — само отвалится) перевожу аккаунты с почты мейл.ру на гугл. Говорю то же самое делать жене. Но у нее вечно нет на это времени, в отличие от инстаграма, а если что, муж все порешает…