mysurik.ru

Я поставил двухфакторку на все сервисы и понял, что зря откладывал

2FA двухфакторка сервисы защита

Как меня взломали

Однажды я открыл свой аккаунт на mail.ru, а там письмо: «Вы вошли с нового устройства, Нигерия». Я в тот день вообще не заходил. Кто-то подобрал пароль.

Пароль был сложный — Qwerty123! — но, видимо, я его светил где-то. Я успел поменять пароль, ничего не пропало. Но осадок остался.

После этого я перерыл интернет и понял: единственный способ защититься — включить двухфакторную аутентификацию везде, где можно.

Что я подключил

Начал с Google. У меня там почта, документы, фото — если потеряю, это катастрофа. Включил 2FA через Google Authenticator, скачал резервные коды (это важно, без них если телефон потеряете — пиши пропало).

Дальше — GitHub. Там код, деплои, доступ к серверам. Без 2FA на GitHub — считай, что доступа к серверу нет, но любой может код посмотреть. Включил TOTP через тот же Authenticator.

Telegram. В Telegram 2FA включается в настройках конфиденциальности: пароль + облачный пароль. Теперь даже если кто-то узнает SMS-код, без пароля не войдёт.

WordPress. На админку mysurik.ru я поставил плагин Google Authenticator — теперь при входе спрашивает шестизначный код. Плюс сменил стандартный /wp-admin на другой URL.

Proxmox. Веб-морда поддерживает TOTP из коробки. Включил в Datacenter → Options → Two-Factor Authentication.

Anthropic (AI Client, хоть и не пользуюсь). Там 2FA через SMS — включил на всякий случай.

Чем пользуюсь

Сначала я юзал Google Authenticator — он простой, но бесит, что при смене телефона все ключи теряются. Потом перешёл на Authy — он синхронизируется между устройствами, можно с компа заходить через расширение. Сейчас попробовал 2FAS (бесплатно, открытый исходник) — он делает бекап ключей в Google Drive. Самое то.

Ещё купил пару NFC-ключей: один в кошелёк, второй в ящик стола. На AliExpress копейки. Настроил через них доступ к Bitwarden (менеджер паролей, self-hosted). Теперь если теряю телефон — захожу ключом, не парюсь.

Подводные камни

Первое время забывал, на каких сервисах включена 2FA, на каких нет. Завёл табличку в Bitwarden: сервис, тип 2FA (SMS/TOTP/ключ), есть ли резервные коды.

Ложные срабатывания. Один раз не мог войти в GitHub потому что на сервере сбилось время, и код не совпадал. Помучился 10 минут, пока не догадался синхронизировать часы через NTP.

Телефон сел. Было такое — сел аккумулятор, а мне срочно нужно зайти на почту. Хорошо, что резервные коды лежали в бумажнике. Теперь коды храню и в Bitwarden, и на бумажке.

Как я отключал 2FA на старом телефоне

Когда я купил новый телефон, Google Authenticator сказал: «Извини, ключи остались на старом». Я тогда ещё не перешёл на Authy пришлось перевыпускать ключи на всех сервисах. Заново заходить в каждый аккаунт, отключать старый ключ, добавлять новый. GitHub, Google, Telegram, WordPress, Proxmox — около часа возни. Теперь я храню ключи в Bitwarden — при смене телефона просто сканирую QR-коды заново.

Что я пропустил сначала

Первое время я думал, что 2FA защищает только от взлома пароля. Но на самом деле она защищает и от фишинга. Если вы попали на поддельный сайт Google и ввели пароль, хакер тут же подставляет ваш TOTP-код и входит. Поэтому важно проверять URL перед вводом кода. Я теперь смотрю на адресную строку как ястреб.

Второе — резервные коды. Я их сохранил, но положил в тот же Google Drive, который защищал 2FA. Если бы меня залочили из аккаунта, я бы и до резервных кодов не добрался. Теперь они лежат на бумажке в кошельке и отдельно в зашифрованном файле на домашнем сервере.

Кому это вообще нужно

Если у вас обычный аккаунт на mail.ru для рассылок и доступ к сайту через админку — 2FA не обязательна. Но если у вас на аккаунте висят домены, серверы, платёжные данные — включайте обязательно. Один потерянный пароль может стоить дороже часа настройки.

Я потерял один сервер из-за забытого пароля к облаку (без 2FA). Злоумышленник зашёл, запустил майнер на 100% CPU и получил счёт на 30000 рублей от облачного провайдера. К счастью, провайдер пошёл навстречу и списал половину. Но с 2FA такого бы не случилось — он бы не зашёл даже с правильным паролем.

Мой минимальный набор сейчас

Google — TOTP + аппаратный ключ. GitHub — TOTP + резервные коды на бумаге. Telegram — облачный пароль. WordPress — TOTP через плагин. Proxmox — TOTP. Bitwarden — аппаратный ключ. Всё остальное — TOTP в Authy.

Если вы думаете «меня не взломают, я никому не интересен» — вы ошибаетесь. Боты не разбирают, интересны вы или нет. Они просто перебирают пароли из слитых баз. 2FA — единственное, что остановит бота.

Совет

Начните с одного самого важного аккаунта — Google или почты. Включите 2FA, сохраните резервные коды, поносите неделю. Когда привыкнете — добавьте следующий.

Главное — не включайте всё сразу. Вы выпадите из всех аккаунтов и будете восстанавливать доступ неделю.

Ваш комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *