Пароль

Хронология событий
1. Друг пишет с просьбой скинуть ему 60 000 рублей с формулировкой "до завтра". Пытаюсь ему позвонить в Telegram, звонки запрещены. Что странно, всегда был раньше на связи;
2. Звоню ему в WhatsApp. Узнаю о взломе. Гуглю проблему, вижу рекомендации о блокировке SIM-карты (не делайте так ни в коем случае!);
3. Посылаю к оператору, узнать, возможен ли выпуск дубликата сим-карты. Оказывается, невозможен. Понимаю, что тэйк про блокировку симки уже нежизнеспособен;
4. Расспрашиваю как произошёл взлом. Понимаю, что замешана электронная почта (вводился номер, был получен код из СМС, потом переустановлено приложение, вход через почту, почта заменена злоумышленником, авторизация больше невозможна);
5. Вхожу в Telegram со своего мобильного устройства, используя номер друга. Ввожу свой email, мне приходит код на почту, спрашиваю код у друга, который Telegram выслал в SMS по указанному телефонному номеру. Если СМС не приходит, нужно запросить звонок с кодом под диктовку;
6. Вхожу в его аккаунт. Добавляю облачный пароль. Добавляю код-пароль. Проверяю устройства в Настройки - Конфиденциальность - Устройства. Устройство в итоге только одно: моё.
7. Проверяю избранное: вижу несколько голосовых. В голосовых просьба "скинуть деньги на карту, можно поменьше, это я, пока не могу говорить" и всё в таком духе. Слышно синтетическое звучание голоса, но тембр и даже некоторые особенности речи угадываются.

В настройках конфиденциальности отключена возможность позвонить пострадавшему.

Выводы
1. Установите двухфакторную аутентификацию. Установите облачный пароль. Сделать это можно в приложении Настройки - Конфиденциальность - Облачный пароль.
2. Удалите все неиспользуемые или подозрительные сессии в Настройки - Конфиденциальность - Устройства.
3. Используйте надёжные пароли.
4. Никому не отправляйте свои персональные данные: логины, пароли, адреса.

Пока полёт нормальный, слежу за активностью аккаунта. Надеюсь, худшее позади и друг сможет пользоваться своим Telegram-аккаунтом и кошельком в дальнейшем без всяких проблем.

Будьте осторожны, помогите защитить аккаунты своих родных и близких, объясните, как себя обезопасить от кражи, чаще звоните друг другу.

В эпоху нейронных сетей за голосовыми сообщениями могут скрываться уже не наши друзья, а те, кто хотят нас обобрать до нитки.

Надежный пароль на компьютер? А может лучше...

Источник - Дневник Технаря

Хочу поделиться с вами личной болью о том, как сначала крупные корпорации обещают хранить мои данные, а потом я вижу новость о слитых терабайтах. Но самое обидное, что компанию N наказали за это смехотворным штрафом. Повсеместные обещания заботы и сохранности рушатся как карточный домик под дуновением ветра, что не добавляет уверенности в завтрашнем дне.

Волей не волей начинаешь задумываться о том, что пора что-то решать и брать безопасность своих данных в свои руки и делать это максимально комфортно и прозрачно для конечного пользователя.

Есть проблема: пароли потекли

Прошел 2023 год и что же было интересного?! Вот новостные заголовки только за 2023 год:

1. Объем утекших данных вырос в 2023 году на 33%

2. В результате утечек данных в 2023 году в открытый доступ попало более 300 млн записей

3. Число утечек данных из компаний и госорганов в России выросло в разы

4. В публичный доступ в 2023 году попали данные почти 400 российских организаций

На самом деле утечки личных паролей — это довольно масштабная проблема, о которой задумываешься только тогда, когда эта проблема касается непосредственно тебя.

А теперь по делу и для общего контекста: я человек, который довольно сильно заморочен на паролях. Обычно они выглядят примерно таким образом: Hg8ig^*7fw3~e42he#. Но даже это не всегда спасает, когда твои данные слил внешний сервис.

В 2022 я сидел на работе и позвонила супруга со словами «Что случилось, зачем тебе деньги?». Как кот в ИТ "ученый" я спокойно подумал, что это очередной социальный инжиниринг, пофиг. Сказал: «Забей и не обращай внимание. Ничего не говори им и просто шли на**р». Сказал и мы забыли об этом на пару дней. Пока не оказалось, что спустя пару дней доступ к некоторым моим аккаунтам и платежной карте заблокировали по причине РЕАЛЬНОГО несанкционированного доступа.

Довольно долго пришлось грести лопатой, прежде чем минимизировать урон от ситуации, но когда закончил, я понял, что больше так рисковать не хочу и пора что-то менять…

Исправив последствия, я всерьез задумался о том, чтобы как-то привести в порядок безопасность личных данных, насколько это возможно.

Первый шаг — анализ рынка имеющихся решений. На рынке, менеджеров паролей много и каждый дает свои преимущества, но основная идея большинства — это облако или же внутренние сервера компании (т.е хранение в зашифрованном виде где-то у дяди/тети всех паролей каждого пользователя).

Не знаю как у вас, но мои параноидальные мысли сразу кричат: «Штаааа?! Серьезно?! Но ведь это же как раз и узкое горлышко, т.к. заинтересованному Хакеру М достаточно ломануть доступы в одном месте и, как показывают новости 2023 — слить ВСЕХ. Лишь Один знает, что с ними будет дальше»…

На пути к решению

Разумеется, есть множество готовых решений, но анализируя их мне постоянно не хватало какой-то целостности, лаконичности, простоты и безопасности: где-то внешнее хранилище; где-то приходится много действий совершать для работы с паролями; где-то интерфейс, который вызывает кровь из глаз и т.д..

Со временем пришло осознание, что самый безопасный способ — бумажка, ручка и в тумбу.

И это действительно самое безопасное решение, но категорически неудобное из-за большого количества действий каждый раз, в процессе применения паролей.

Казалось бы: «Чел, угомонись. Используй тетрадку и страдай, коль ты параноик». Но так уж получилось, что есть у меня навык мобильной разработки да и дизайнер у меня тоже есть. И более того, окружение параноиков знакомых тоже есть, кто топил за кастомное решение. Так почему бы не оцифровать тетрадку, но без внешнего сервера — без хранилища стороннего дяди. При этом не потерять возможность переноса между устройствами и максимально защитить свои пароли, чтобы даже таким параноикам как я было комфортно и спокойно на душе.

Ну вооот, опять реклама… Не совсем!

Так и началась история менеджера паролей «Fill Keys: passwords manager».

Который уже сейчас решает основные проблемы, которые и толкнули на его реализацию:

• В приложении нет синхронизации через внешний сервер компании (мы это сделали осознанно, чтобы избежать накопления данных и создания узкого горлышка для потенциального Хакера)

• При этом, возможность переноса паролей есть и она может производиться вообще любым удобным способом: через любые почтовики, мессенджеры и даже из рук в руки на флешке в зашифрованном виде с применением симметричных алгоритмов

• Удобно использовать пароли: один раз занес все в приложение и после, в два клика, используй на нужном сервисе

• Ну и мы с ребятами постарались сделать интерфейс приложения максимально свежим в плане интерфейса и максимально интуитивным в использовании. Зачем?! Потому что есть дизайнер =D

• Ну и на всякий случай фишечка для лютых параноиков: зашифруй пароли в приложении; скинь на флешку и положи ее в тумбу. Так тоже можно

А будет что-то еще?

Пока что это весь функционал в приложении, но в планах сейчас интенсивно развивать продукт и добавлять возможности, которые будут делать жизнь пользователя проще и безопаснее. Например: добавление генератора; анализатора безопасности используемых паролей; категоризация паролей (рабочие, личные и т.д.) и добавление других документов для хранения.

Хочется нести пользу, когда вокруг столько боли

Почему то в современном мире правит бал следующий подход: развлекайся; впитывай; не задумывайся о последствиях. Из этого строится и весь контент и наше с вами медийное окружение. Порой от этого становится грустно.

Но, к счастью, у нас с командой как-то так случилось, что основным мотиватором является желание нести пользу в массы. Начать решили с не самого простого, но, вероятно, одного из самых актуальных вопросов на сегодняшний день — с безопасности!

В общем, товарищи, если вы тоже переживаете о безопасности своих данных как и мы с командой, то, хочется верить, что Fill Keys поможет вам в этом. Ну а мы с ребятами постараемся сделать этот продукт еще функциональнее и безопаснее для нас с вами.

Спасибо за внимание, у меня все!

Ссылка на проект в Google Play: https://play.google.com/store/apps/details?id=team.fill.keys