Първата четвърт на 21-ви век почти отминава, но… вече и в Пловдив става възможно човек да си купи електронен билет за градския транспорт и да го използва. Проверено и потвърдено! Е, засега само по един маршрут – автобус 25.
Приложението MPass е семпло, изглежда доста добре и е лесно за ползване, което е важно. След регистрацията си купих билет за еднократно пътуване срещу 1 лев, който платих с дебитна карта (Revolut) без никакви проблеми. Изненадата беше, че е валиден до края на денонощието (по-точно в рамките на работното време на градския транспорт), но в интерес на истината това е разписано зад бутон Детайли на всеки билет. Там пише също и че трябва да е купен поне минута, преди да се качим на автобуса и да се опитаме да го валидираме. Та не си купувайте билети oт днес за следващия ден – ще „изветреят“ преди да ги използвате.
На същото място пише, че валидирането на билета става като поставите смартфона си с QR-кода на билета на разстояние 10-15cm (около една педя) под валидатора. Това е полезно знание, защото QR-кода очевидно трябва да се сканира оптично, а на самия валидатор не личи къде му е сензора. Логично е да отдолу, но ако телефонът е поставен твърде близо, разчитането на QR-кода няма да се получи. Аз успях от втори опит, виждайки светлината на скенера върху дисплея на телефона си, която подсказа колко да го отдалеча и как да го поставя. Не бях прочел това предварително като купувах билета, а шофьорът, разбира се, не знаеше – само промърмори, че не разбирал от електронни неща. Всъщност не е и негова работа, но в първоначалния период на въвеждане на нова система е добре да има някоя табелка, стрелкичка, пиктограма… за всички ще е по-лесно. Но у нас продължава да е в сила методологията „Оправяй се!“.
След валидиране на устройството в автобуса, билетът се маркира с червена лентичка с надпис "За контрол".
И още една особеност. С един акаунт човек може да се логне на няколко устройства (вкл. в браузър) – аз си купих билета, докато бях в офиса на компютъра си, а не през мобилното приложение. Билетът обаче остава в браузъра/устройството, с което е купен, а аз възнамерявах да го ползвам от смартфона си (в автобуса). Няма драма, билетът може да се премести (макар и само веднъж!) – с допълнителна стъпка, която изисква човек да има достъп до електронната си поща, където да получи един код. Иначе и това е лесно и бързо.
С две думи, нещата засега изглеждат доста обещаващо. Остава всичко това да стане възможно и в останалите линии и автобуси от пловдивския градски транспорт. Да се появят и по-удобни варианти на билети. И разбира се, този град да се сдобие с обществен транспорт, на който да може да се разчита.
P. S. Възможно е и да не се ползва приложението, а да се плати директно с карта (през валидатора), но понеже не съм редовен ползвател на градския транспорт, а и автобус 25 не е сред тези, които ползвам обичайно… не съм тествал тази опция.
Първата четвърт на 21-ви век почти отминава, но… вече и в Пловдив става възможно човек да си купи електронен билет за градския транспорт и да го използва. Проверено и потвърдено! Е, засега само по един маршрут – автобус 25.
Приложението MPass е семпло, изглежда доста добре и е лесно за ползване, което е важно. След регистрацията си купих билет за еднократно пътуване срещу 1 лев, който платих с дебитна карта (Revolut) без никакви проблеми. Изненадата беше, че е валиден до края на денонощието (по-точно в рамките на работното време на градския транспорт), но в интерес на истината това е разписано зад бутон Детайли на всеки билет. Там пише също и че трябва да е купен поне минута, преди да се качим на автобуса и да се опитаме да го валидираме. Та не си купувайте билети oт днес за следващия ден – ще „изветреят“ преди да ги използвате.
На същото място пише, че валидирането на билета става като поставите смартфона си с QR-кода на билета на разстояние 10-15cm (около една педя) под валидатора. Това е полезно знание, защото QR-кода очевидно трябва да се сканира оптично, а на самия валидатор не личи къде му е сензора. Логично е да отдолу, но ако телефонът е поставен твърде близо, разчитането на QR-кода няма да се получи. Аз успях от втори опит, виждайки светлината на скенера върху дисплея на телефона си, която подсказа колко да го отдалеча и как да го поставя. Не бях прочел това предварително като купувах билета, а шофьорът, разбира се, не знаеше – само промърмори, че не разбирал от електронни неща. Всъщност не е и негова работа, но в първоначалния период на въвеждане на нова система е добре да има някоя табелка, стрелкичка, пиктограма… за всички ще е по-лесно. Но у нас продължава да е в сила методологията „Оправяй се!“.
След валидиране на устройството в автобуса, билетът се маркира с червена лентичка с надпис "За контрол".
И още една особеност. С един акаунт човек може да се логне на няколко устройства (вкл. в браузър) – аз си купих билета, докато бях в офиса на компютъра си, а не през мобилното приложение. Билетът обаче остава в браузъра/устройството, с което е купен, а аз възнамерявах да го ползвам от смартфона си (в автобуса). Няма драма, билетът може да се премести (макар и само веднъж!) – с допълнителна стъпка, която изисква човек да има достъп до електронната си поща, където да получи един код. Иначе и това е лесно и бързо.
С две думи, нещата засега изглеждат доста обещаващо. Остава всичко това да стане възможно и в останалите линии и автобуси от пловдивския градски транспорт. Да се появят и по-удобни варианти на билети. И разбира се, този град да се сдобие с обществен транспорт, на който да може да се разчита.
P. S. Възможно е и да не се ползва приложението, а да се плати директно с карта (през валидатора), но понеже не съм редовен ползвател на градския транспорт, а и автобус 25 не е сред тези, които ползвам обичайно… не съм тествал тази опция.
От лятото на 2019 г. в блога ми стои чернова, която така и не публикувах. Идеята ми зад въпросната статия беше да разкажа как се появи разписанието на градския транспорт на Пловдив в Google Maps. Но това сега няма никакво значение, защото от тази седмица там вече няма такива данни.
Съвсем кратка предистория: Преди вече пет години трима приятели предложихме на Община Пловдив да свършим необходимото, за да се появят маршрутите и разписанията на градския транспорт в Google Maps. Напълно безвъзмездно. Речено – сторено. Общината не трябваше да прави нищо друго, освен от време на време да ни уведомява за промените в маршрутите и разписанията, за да поддържаме нещата актуални и коректни. Това обаче не се случи. В началото на 2022 г. се уморихме да се борим с вятърни мелници и преустановихме поддръжката, като маркирахме, че данните не са актуални и няма да се обновяват.
Преди няколко дни човек от екипа на Google Transit (така се нарича услугата, която добавя информация за обществения транспорт в Maps) се свърза с мен да провери защо вече две години не сме актуализирали данните за Пловдив. Отговорих му, че за съжаление, няма как да го направим, тъй като разчитахме да получаваме тези данни от Община Пловдив, но се оказва, че всеки път трябва да им се молим за данните или да си ги събираме, както намерим за добре. Което определено не е начинът, по който трябва да се прави това. Нито може да гарантира нужната прецизност. Колегата от Google сподели, че разбира ситуацията, и ще преценят как да постъпят. След още два дни ми писа, че са взели решение да прекратят услугата за Пловдив.
Днес в Общинския съвет е имало дискусия по темата, провокирана от публикация в „Капитал“. Журналистите от медията писаха и преди година по темата и дори заедно прогнозирахме това развитие, но тишината откъм Община Пловдив си остана все така оглушителна.
Пиша това, защото сегашната ресорна кметица, г-жа Савина Петкова, е казала пред общинските съветници няколко изречения, които от стремеж към акуратност не мога да отмина без коментар. Позовавам се на публикации в регионалната преса, тъй като не съм присъствал лично.
Започвам с нейното твърдение, че градският транспорт на Пловдив има далеч по-важни проблеми, с което няма как да не се съглася. Аз самият съм се питал какви данни се опитваме да събираме и предоставяме на хората, когато ситуацията с обществения транспорт в града е толкова безобразна.
Вярно е и че общината никога не е имала договор с Google Maps. Просто защото няма как да има договор. Google не подписва такива. Платформата предоставя напълно безплатно възможността да визуализира данни за обществен или частен транспорт, ако те са предоставени от достоверен източник и в изисквания от тях формат. Иначе казано, Община Пловдив може сама да обобщава такива данни и да ги изпраща към Google. Това могат да правят и самите транспортни фирми. И има няколко в България, чиито разписания са в Google Maps, включително и БДЖ.
Проблемите тук са два. Първо, Google да се довери, че източникът на данни е достоверен. И второ, тези данни да бъдат в изисквания от тях формат – което не е задача с грандиозна трудност, но не е и тривиално начинание. През 2019 г. се наложи част от информацията да събираме от сканирани PDF-и, MS Word документи с вградени в тях таблици, които всъщност бяха растерни картинки. А данните за маршрутите, по които се движат автобусите, рисувахме точка по точка на ръка, защото „Организация и контрол по транспорта“ (ОКТ) разполагаше с GPS координати на спирките, но не и на пътя, по който автобусите се движат между тези спирки. Имаше още купчина технически засади, за които не подозирахме и в най-песимистичните си очаквания. Но някак ги разрешихме.
Иначе по темата защо Google все пак реши да публикува данни за Пловдив, това стана възможно, след като не общината, а ние, доброволците, се ангажирахме да съберем всичко и да го подредим. За да направим нещо полезно за града и гостите му. И защото ни е грижа за средата, в която живеем.
Община Пловдив потвърди с официално писмо пред Google, че ние ще вършим тази работа с подреждането и преобразуването на данните от нейно име.
За последвалите две години и половина, през които поддържахме данните живи, само веднъж получихме актуализация от общината. След двукратни мои настоявания пред тогавашния ресорен кмет Тодор Чонов, на които и до днес нямам отговор, в крайна сметка просто загубих търпение, обадих се на колегите в ОКТ по телефона и си изпросих нови данни. Те, между другото, винаги са откликвали, но така и никой не им възложи да изпращат промените, когато има такива, или примерно веднъж на три или дори шест месеца. Това щеше да е повече от достатъчно.
Не отговаря на истината обаче твърдението на г-жа Петкова, че данните, които са показвани досега от Google, са идвали от системата на „Индра“. Те не бяха особено полезни, защото в тях имаше грешки и ги получихме едва след като вече се бяхме преборили с дигитализацията на множество „хартиени данни“, които впрочем също бяха само частично полезни. Единственото улеснение на двата комплекта данни беше, че можехме да ги съпоставим и така да проследим къде се разминават, което помогна да отстраним някакво количество грешки.
Би било чудесно, ако системата на „Индра“ изобщо работеше и имаше как да интегрираме данните от нея за информация в реално време с Google. Това беше в плановете ни за бъдещето, когато градският транспорт на Пловдив евентуално щеше да има адекватна информационна система.
А приложението, което г-жа Петкова съжалява, че не е достатъчно популярно, е ето това. Моля, проследете линка и ще си отговорите сами защо „не е достатъчно популярно“. То работи (слава богу, нещо работи!), но е кошмарно остаряло и е адски неудобно за ползване, особено в движение и от мобилен телефон. Честно, г-жо Петкова, Вие колко пъти сте го ползвала?
И в заключение: искрено се надявам, че колегите от „Тикси“, които правят поредната за Пловдив нова система за управление на градския транспорт, ще имат добрата воля да предоставят отворено API или друг публично достъпен и документиран начин за интеграция с външни системи. Това ще позволи не само нова и по-лесна интеграция с Google Maps (защо не и в реално време този път?), но и създаването на други мобилни приложения и дигитални удобства за Пловдив. Защото ние още продължаваме да живеем в този град и да ни пука за него.
От лятото на 2019 г. в блога ми стои чернова, която така и не публикувах. Идеята ми зад въпросната статия беше да разкажа как се появи разписанието на градския транспорт на Пловдив в Google Maps. Но това сега няма никакво значение, защото от тази седмица там вече няма такива данни.
Съвсем кратка предистория: Преди вече пет години трима приятели предложихме на Община Пловдив да свършим необходимото, за да се появят маршрутите и разписанията на градския транспорт в Google Maps. Напълно безвъзмездно. Речено – сторено. Общината не трябваше да прави нищо друго, освен от време на време да ни уведомява за промените в маршрутите и разписанията, за да поддържаме нещата актуални и коректни. Това обаче не се случи. В началото на 2022 г. се уморихме да се борим с вятърни мелници и преустановихме поддръжката, като маркирахме, че данните не са актуални и няма да се обновяват.
Преди няколко дни човек от екипа на Google Transit (така се нарича услугата, която добавя информация за обществения транспорт в Maps) се свърза с мен да провери защо вече две години не сме актуализирали данните за Пловдив. Отговорих му, че за съжаление, няма как да го направим, тъй като разчитахме да получаваме тези данни от Община Пловдив, но се оказва, че всеки път трябва да им се молим за данните или да си ги събираме, както намерим за добре. Което определено не е начинът, по който трябва да се прави това. Нито може да гарантира нужната прецизност. Колегата от Google сподели, че разбира ситуацията, и ще преценят как да постъпят. След още два дни ми писа, че са взели решение да прекратят услугата за Пловдив.
Днес в Общинския съвет е имало дискусия по темата, провокирана от публикация в „Капитал“. Журналистите от медията писаха и преди година по темата и дори заедно прогнозирахме това развитие, но тишината откъм Община Пловдив си остана все така оглушителна.
Пиша това, защото сегашната ресорна кметица, г-жа Савина Петкова, е казала пред общинските съветници няколко изречения, които от стремеж към акуратност не мога да отмина без коментар. Позовавам се на публикации в регионалната преса, тъй като не съм присъствал лично.
Започвам с нейното твърдение, че градският транспорт на Пловдив има далеч по-важни проблеми, с което няма как да не се съглася. Аз самият съм се питал какви данни се опитваме да събираме и предоставяме на хората, когато ситуацията с обществения транспорт в града е толкова безобразна.
Вярно е и че общината никога не е имала договор с Google Maps. Просто защото няма как да има договор. Google не подписва такива. Платформата предоставя напълно безплатно възможността да визуализира данни за обществен или частен транспорт, ако те са предоставени от достоверен източник и в изисквания от тях формат. Иначе казано, Община Пловдив може сама да обобщава такива данни и да ги изпраща към Google. Това могат да правят и самите транспортни фирми. И има няколко в България, чиито разписания са в Google Maps, включително и БДЖ.
Проблемите тук са два. Първо, Google да се довери, че източникът на данни е достоверен. И второ, тези данни да бъдат в изисквания от тях формат – което не е задача с грандиозна трудност, но не е и тривиално начинание. През 2019 г. се наложи част от информацията да събираме от сканирани PDF-и, MS Word документи с вградени в тях таблици, които всъщност бяха растерни картинки. А данните за маршрутите, по които се движат автобусите, рисувахме точка по точка на ръка, защото „Организация и контрол по транспорта“ (ОКТ) разполагаше с GPS координати на спирките, но не и на пътя, по който автобусите се движат между тези спирки. Имаше още купчина технически засади, за които не подозирахме и в най-песимистичните си очаквания. Но някак ги разрешихме.
Иначе по темата защо Google все пак реши да публикува данни за Пловдив, това стана възможно, след като не общината, а ние, доброволците, се ангажирахме да съберем всичко и да го подредим. За да направим нещо полезно за града и гостите му. И защото ни е грижа за средата, в която живеем.
Община Пловдив потвърди с официално писмо пред Google, че ние ще вършим тази работа с подреждането и преобразуването на данните от нейно име.
За последвалите две години и половина, през които поддържахме данните живи, само веднъж получихме актуализация от общината. След двукратни мои настоявания пред тогавашния ресорен кмет Тодор Чонов, на които и до днес нямам отговор, в крайна сметка просто загубих търпение, обадих се на колегите в ОКТ по телефона и си изпросих нови данни. Те, между другото, винаги са откликвали, но така и никой не им възложи да изпращат промените, когато има такива, или примерно веднъж на три или дори шест месеца. Това щеше да е повече от достатъчно.
Не отговаря на истината обаче твърдението на г-жа Петкова, че данните, които са показвани досега от Google, са идвали от системата на „Индра“. Те не бяха особено полезни, защото в тях имаше грешки и ги получихме едва след като вече се бяхме преборили с дигитализацията на множество „хартиени данни“, които впрочем също бяха само частично полезни. Единственото улеснение на двата комплекта данни беше, че можехме да ги съпоставим и така да проследим къде се разминават, което помогна да отстраним някакво количество грешки.
Би било чудесно, ако системата на „Индра“ изобщо работеше и имаше как да интегрираме данните от нея за информация в реално време с Google. Това беше в плановете ни за бъдещето, когато градският транспорт на Пловдив евентуално щеше да има адекватна информационна система.
А приложението, което г-жа Петкова съжалява, че не е достатъчно популярно, е ето това. Моля, проследете линка и ще си отговорите сами защо „не е достатъчно популярно“. То работи (слава богу, нещо работи!), но е кошмарно остаряло и е адски неудобно за ползване, особено в движение и от мобилен телефон. Честно, г-жо Петкова, Вие колко пъти сте го ползвала?
И в заключение: искрено се надявам, че колегите от „Тикси“, които правят поредната за Пловдив нова система за управление на градския транспорт, ще имат добрата воля да предоставят отворено API или друг публично достъпен и документиран начин за интеграция с външни системи. Това ще позволи не само нова и по-лесна интеграция с Google Maps (защо не и в реално време този път?), но и създаването на други мобилни приложения и дигитални удобства за Пловдив. Защото ние още продължаваме да живеем в този град и да ни пука за него.
Преди пет години и половина разказах за началото на „Тоест“. Част от проекта съм още преди изобщо да се осмелим да стартираме. Досега съм похарчил адски много време, лични средства и нерви (в това число и немалко разгорещени семейни спорове). Не съжалявам! Защото смятам този проект за едно от най-важните ми житейски начинания – макар да няма нищо общо с професията ми или с индустрията, в която работя. Този текст индиректно обяснява защо продължавам да се боря за него.
Досега в началото на всеки септември екипът на изданието се завръщаше от лятната пауза с нови интересни материали по разнообразни теми. Тази година се налага да забавим рестарта с един месец и да започнем новия „сезон“ с притеснение за бъдещето. Причините за това са изцяло финансови. Колкото и свити да са месечните разходи на „Тоест“, приходите не достигат, за да ги посрещнем. И имаме спешна нужда от помощ.
💰
Дупката в месечния бюджет на „Тоест“ е около 2500 лева. Десет души могат да поправят това. Прочетете докрай публикацията, за да научите защо и как…
През тези пет години и половина оцелявахме основно на мускули и с микродарения от читателите ни. В началото на 2023 г. обновихме изцяло сайта, разширихме формите за подкрепа, като добавихме дарителски пакети и създадохме с партньорите ни от фабрика „Гайо“ специален шоколад с кауза. Преструктурирахме дейността, привлякохме нови редактори и автори и „Тоест“ се сдоби с нова динамика и рубрики, които не останаха незабелязани, а отзивите бяха силно позитивни. Това предизвика скромен ръст в месечните дарения, но той не е достатъчен за да компенсира разходите.
Нямаше как да продължим само с краудфъндинг и потърсихме допълнително финансиране чрез програми, които подкрепят културни и медийни проекти. Кандидатствахме самостоятелно и в партньорство с други организации по шест програми за финансиране. До този момент обаче нямаме положително развитие. По различни причини – за едни не сме „културна институция“, при други не ни достигна половин точка, за да се класираме. Трети поискаха от нас устойчив бизнес модел, който да ни държи на вода и без финансиране. Любопитно, коя медия има такъв? И ако бяхме намерили този модел, щяхме ли да търсим друго финансиране?
Българският медиен пазар е ограничен най-напред от езика, на който говорим и пишем. В допълнение на това, скорошни изследвания потвърждават, че повече от половината българи съзнателно избягват новините, а едва малко над 15% от тези, които разчитат на медиите, за да се информират, използват онлайн издания. На този фон „Тоест“ е аналитична медия за бавно четене, която държи на чистотата на езика и правилния изказ, съзнателно не използва прилепчиви заглавия и лековати дописки. Публиката ни е мислеща, образована и цени тези наши усилия, но няма как да е масова. И много малка част от нея ни подкрепя финансово.
🎯
Защо отказваме да пускаме рекламни банери и да затворим съдържанието само за плащащи читатели – прочетете в редакционния ни текст.
Следващата ни стъпка е да търсим дългосрочни и ангажирани партньорства с бизнеса. Онзи успешен и почтен български бизнес, който припознава нашата мисия да създаваме качествена и ангажирана журналистика. Който съзнава защо е важно и нужно в България да има независими медии. Независими включително от рекламодатели. Красноречив пример е нашият скорошен материал за A1, който никоя друга медия не се престраши да коментира. Обяснението е просто, A1 е рекламодател, който никой не би искал да разсърди.
Търсим бизнес партньорство с компании, които биха ни подкрепили не срещу стандартното „медийно отразяване“. Екипът на „Тоест“ може да предложи много повече от това. Вече имаме разговори в тази посока, но те също отнемат някакво време. Дотогава обаче „Тоест“ се нуждае от спасителен пояс. И това е целта на този текст.
Обръщам се към всички, които биха могли да си позволят малко по-сериозен разход за няколко месеца. И на които им пука за средата, в която живеят. Обръщам се и към колеги от ИТ бранша, които зная, че в общия случай имат жизнен стандарт над средния. Ще се намерим ли десет души, които в идните четвърт до половин година да даряваме по 250 лв. месечно, за да запълним недостига в издръжката на „Тоест“? Аз, разбира се, ще съм първият от тези десет души. Това време е необходимо, за да развием бизнес партньорствата, които се надяваме да превърнем във витален стълб на модела ни за финансиране.
Разбира се, всеки лев е важен в момента и ще сме благодарни да изберете и някой от другите дарителски планове. Можете да дарите и еднократно сума по ваш избор с карта или с банков превод.
По този начин ще помогнете заедно да спасим проект, който отстоява репутацията си на качествена медия вече повече от пет години. Помогнете ни да съхраним екипа и направеното дотук. В България има огромна нужда от стойностна публицистика, а „Тоест“ има и още много мечти в развитие. Но няма как да полетим, ако не можем да отскочим.
P.S. Предполагам, че е излишно да споменавам, че аз в лично качество не съм взел нито лев за вложените си усилия в проекта. И не възнамерявам.
Преди пет години и половина разказах за началото на „Тоест“. Част от проекта съм още преди изобщо да се осмелим да стартираме. Досега съм похарчил адски много време, лични средства и нерви (в това число и немалко разгорещени семейни спорове). Не съжалявам! Защото смятам този проект за едно от най-важните ми житейски начинания – макар да няма нищо общо с професията ми или с индустрията, в която работя. Този текст индиректно обяснява защо продължавам да се боря за него.
Досега в началото на всеки септември екипът на изданието се завръщаше от лятната пауза с нови интересни материали по разнообразни теми. Тази година се налага да забавим рестарта с един месец и да започнем новия „сезон“ с притеснение за бъдещето. Причините за това са изцяло финансови. Колкото и свити да са месечните разходи на „Тоест“, приходите не достигат, за да ги посрещнем. И имаме спешна нужда от помощ.
💰
Дупката в месечния бюджет на „Тоест“ е около 2500 лева. Десет души могат да поправят това. Прочетете докрай публикацията, за да научите защо и как…
През тези пет години и половина оцелявахме основно на мускули и с микродарения от читателите ни. В началото на 2023 г. обновихме изцяло сайта, разширихме формите за подкрепа, като добавихме дарителски пакети и създадохме с партньорите ни от фабрика „Гайо“ специален шоколад с кауза. Преструктурирахме дейността, привлякохме нови редактори и автори и „Тоест“ се сдоби с нова динамика и рубрики, които не останаха незабелязани, а отзивите бяха силно позитивни. Това предизвика скромен ръст в месечните дарения, но той не е достатъчен за да компенсира разходите.
Нямаше как да продължим само с краудфъндинг и потърсихме допълнително финансиране чрез програми, които подкрепят културни и медийни проекти. Кандидатствахме самостоятелно и в партньорство с други организации по шест програми за финансиране. До този момент обаче нямаме положително развитие. По различни причини – за едни не сме „културна институция“, при други не ни достигна половин точка, за да се класираме. Трети поискаха от нас устойчив бизнес модел, който да ни държи на вода и без финансиране. Любопитно, коя медия има такъв? И ако бяхме намерили този модел, щяхме ли да търсим друго финансиране?
Българският медиен пазар е ограничен най-напред от езика, на който говорим и пишем. В допълнение на това, скорошни изследвания потвърждават, че повече от половината българи съзнателно избягват новините, а едва малко над 15% от тези, които разчитат на медиите, за да се информират, използват онлайн издания. На този фон „Тоест“ е аналитична медия за бавно четене, която държи на чистотата на езика и правилния изказ, съзнателно не използва прилепчиви заглавия и лековати дописки. Публиката ни е мислеща, образована и цени тези наши усилия, но няма как да е масова. И много малка част от нея ни подкрепя финансово.
🎯
Защо отказваме да пускаме рекламни банери и да затворим съдържанието само за плащащи читатели – прочетете в редакционния ни текст.
Следващата ни стъпка е да търсим дългосрочни и ангажирани партньорства с бизнеса. Онзи успешен и почтен български бизнес, който припознава нашата мисия да създаваме качествена и ангажирана журналистика. Който съзнава защо е важно и нужно в България да има независими медии. Независими включително от рекламодатели. Красноречив пример е нашият скорошен материал за A1, който никоя друга медия не се престраши да коментира. Обяснението е просто, A1 е рекламодател, който никой не би искал да разсърди.
Търсим бизнес партньорство с компании, които биха ни подкрепили не срещу стандартното „медийно отразяване“. Екипът на „Тоест“ може да предложи много повече от това. Вече имаме разговори в тази посока, но те също отнемат някакво време. Дотогава обаче „Тоест“ се нуждае от спасителен пояс. И това е целта на този текст.
Обръщам се към всички, които биха могли да си позволят малко по-сериозен разход за няколко месеца. И на които им пука за средата, в която живеят. Обръщам се и към колеги от ИТ бранша, които зная, че в общия случай имат жизнен стандарт над средния. Ще се намерим ли десет души, които в идните четвърт до половин година да даряваме по 250 лв. месечно, за да запълним недостига в издръжката на „Тоест“? Аз, разбира се, ще съм първият от тези десет души. Това време е необходимо, за да развием бизнес партньорствата, които се надяваме да превърнем във витален стълб на модела ни за финансиране.
Разбира се, всеки лев е важен в момента и ще сме благодарни да изберете и някой от другите дарителски планове. Можете да дарите и еднократно сума по ваш избор с карта или с банков превод.
По този начин ще помогнете заедно да спасим проект, който отстоява репутацията си на качествена медия вече повече от пет години. Помогнете ни да съхраним екипа и направеното дотук. В България има огромна нужда от стойностна публицистика, а „Тоест“ има и още много мечти в развитие. Но няма как да полетим, ако не можем да отскочим.
P.S. Предполагам, че е излишно да споменавам, че аз в лично качество не съм взел нито лев за вложените си усилия в проекта. И не възнамерявам.
Още когато Путин анексира Крим се погрижих да се дистанцирам от хора, които подкрепяха или омаловажаваха случващото се. Включително неколцина познати.
Вече повече от две години нямам Facebook и така светът изглежда малко по-нормален, макар че съм наясно, че не е. Но така не личи и мащаба на новата пропагандна война, която сигурен съм мурзилките отново ожесточено водят за съзнанията на по-колебливите и податливите на внушения. Затова е важно в ситуации като настоящата да не се мълчи. Защото тишината и мълчанието работят за агресора и неговите шапокляци.
Вместо да отдъхнем малко след пандемията и да се опитаме да си подредим държавиците, общностите и света си, заради комплексираното кремълско джудже с мека, увиснала пишка, сега отново всички сме настръхнали и несигурни за утрешния ден.
И понеже днес е Прошка… нека уточним, че прошка за убийци няма. Нито за тези, които се опитват да оправдават престъпленията им.
Дано Украйна удържи, а светът осъзнае, че Русия на Путин не може да бъде променена, превъзпитана или успокоена. Може да бъде само озаптена.
Още когато Путин анексира Крим се погрижих да се дистанцирам от хора, които подкрепяха или омаловажаваха случващото се. Включително неколцина познати.
Вече повече от две години нямам Facebook и така светът изглежда малко по-нормален, макар че съм наясно, че не е. Но така не личи и мащаба на новата пропагандна война, която сигурен съм мурзилките отново ожесточено водят за съзнанията на по-колебливите и податливите на внушения. Затова е важно в ситуации като настоящата да не се мълчи. Защото тишината и мълчанието работят за агресора и неговите шапокляци.
Вместо да отдъхнем малко след пандемията и да се опитаме да си подредим държавиците, общностите и света си, заради комплексираното кремълско джудже с мека, увиснала пишка, сега отново всички сме настръхнали и несигурни за утрешния ден.
И понеже днес е Прошка… нека уточним, че прошка за убийци няма. Нито за тези, които се опитват да оправдават престъпленията им.
Дано Украйна удържи, а светът осъзнае, че Русия на Путин не може да бъде променена, превъзпитана или успокоена. Може да бъде само озаптена.
В началото на годината бях с нагласата да увелича малко темпото на публикациите си в блога, но не се получи. От една страна заделих повече време за (уж) по-важни неща. От друга, все по-трудно намирам смисъл да се надвиквам с джангъра на днешния Web, концентриран в пет URL-а и куриран от тенденциозно-злонамерените алгоритми на социалките, които стават все по-нагли, вредни и безполезни.
В личен план за мен годината беше особена. Няма как да кажа нещо по-добро, защото близки хора си заминаха завинаги от този свят, а фоновото усещане за тегавост и безнадеждност не ме е пускало от много време насам.
Но от друга страна… отново работя със свестни хора в добра компания. В семейството сме добре и ни е уютно. Сдобихме се с мечтано местенце за почивка (и изолация от шума и претенциите на света). Успяваме засега да се опазим от вируса – цялото семейство, заедно с вече доста възрастната ми майка – с ваксини, бустери и дистанция. Разбира се, тежи да не се виждаме с приятели толкова често, колкото бихме искали. И да не пътуваме както преди. Но повече тежи липсата на перспектива това скоро да се промени към по-добро, най-вече заради африканските нива на имунизация в уж европейска България, където има пълен избор и излишък на ваксини. И където на това отгоре масово не се спазват и най-базовите правила.
Не че съм имал високи очаквания за интелекта и чувството за отговорност на българите. Действителността обаче надмина и най-смелите ми допускания. В негативна посока. Такова ниво на страх, тъпота, егоизъм и недоверие в науката, в комбинация с безхаберие и пълната липса на солидарност към по-болните, по-възрастните и по-застрашените… това вече не се лекува. Безнадеждно е. И явно друго не помага, освен да го отмие времето. Ако изобщо му е останало толкова време на този свят, че да стигне за очовечаване на това твърдоглаво племе.
На този фон нямам особени очаквания за 2022 година. Или по-скоро допускам, че всичко ще стърже и скърца поне до лятото. За добро или лошо живеем в ужасно свързан свят и всичко има значение.
В политически план добрата новина е, че доживяхме финала на латиносериала Борисов. Това обаче още нищо не означава, докато не доживеем разглобяването на модела, който направи Борисов възможен (поне от инициатива „Глобална България“ насам, ако не и още по-назад).
От света на информационните технологии през годината по-скоро нямаше нещо кой знае какво за отбелязване. Интернет става все по-централизиран. Облаците също. А гравитацията и значението им огромни. Съпротивата срещу това е слаба и наистина трудна и ще става все по-зле, доколкото хората, които се вълнуват от моралната страна на технологичния прогрес са почти невидимо малцинство. Днес, сега… Няма по-критично време, в което трябва да се опазят и подпомагат малките в света на технологиите. Но тези, които не преследват ръст на всяка цена. Защото нямаме полза от нови гиганти.
Криптаджиите продължават да надуват балони, по-новите от които са все по-парадоксални (NFT, Web3 и прочие). „Бойте се от данайците, когато ви поднасят дарове.“ Та и криптаджиите пропиляха всичкия си кредит на доверие, веейки знамето на децентрализацията. От техния парцел (вече повече от десетилетие) не се роди нищо кой знае какво по различно от спекула. А походът им за децентрализация се оказа компрометиран от обичайните проявления на недъзите на пазара и на най-обикновената човешка алчност. Всъщност поход е твърде силна дума.
В тази връзка наблюдавам с интерес фотографската общност, част от която видя в NFT отдавна лелеяна възможност да направи малко пари от изкуство в дигиталния свят. С цената на това да обижда интелигентността на (част от) публиката си. Разбирам подхлъзването, но все пак е тъжно.
Иначе (поне за да не бъде чак толкова минорен този текст)… след почти десетгодишен флирт с Fujifilm, пак снимам с Nikon (доколкото снимам изобщо, разбира се) и е голям кеф. За всичкото това време Fuji някак не се придвижиха в посоката, която се надявах, а междувременно Nikon започнаха Z-системата си съвсем начисто, с нов и широк байонет за обективи. През отминалите една-две години стана повече от ясно, че се хвърлят с всички сили в тази посока, което нямаше как да не ме спечели отново.
Надявам се да има как поне малко повече да попътуваме през идната година. И да има повече поводи за снимане. Че за по-мащабни мечти сякаш нито му е времето, а още по-малко мястото.
В началото на годината бях с нагласата да увелича малко темпото на публикациите си в блога, но не се получи. От една страна заделих повече време за (уж) по-важни неща. От друга, все по-трудно намирам смисъл да се надвиквам с джангъра на днешния Web, концентриран в пет URL-а и куриран от тенденциозно-злонамерените алгоритми на социалките, които стават все по-нагли, вредни и безполезни.
В личен план за мен годината беше особена. Няма как да кажа нещо по-добро, защото близки хора си заминаха завинаги от този свят, а фоновото усещане за тегавост и безнадеждност не ме е пускало от много време насам.
Но от друга страна… отново работя със свестни хора в добра компания. В семейството сме добре и ни е уютно. Сдобихме се с мечтано местенце за почивка (и изолация от шума и претенциите на света). Успяваме засега да се опазим от вируса – цялото семейство, заедно с вече доста възрастната ми майка – с ваксини, бустери и дистанция. Разбира се, тежи да не се виждаме с приятели толкова често, колкото бихме искали. И да не пътуваме както преди. Но повече тежи липсата на перспектива това скоро да се промени към по-добро, най-вече заради африканските нива на имунизация в уж европейска България, където има пълен избор и излишък на ваксини. И където на това отгоре масово не се спазват и най-базовите правила.
Не че съм имал високи очаквания за интелекта и чувството за отговорност на българите. Действителността обаче надмина и най-смелите ми допускания. В негативна посока. Такова ниво на страх, тъпота, егоизъм и недоверие в науката, в комбинация с безхаберие и пълната липса на солидарност към по-болните, по-възрастните и по-застрашените… това вече не се лекува. Безнадеждно е. И явно друго не помага, освен да го отмие времето. Ако изобщо му е останало толкова време на този свят, че да стигне за очовечаване на това твърдоглаво племе.
На този фон нямам особени очаквания за 2022 година. Или по-скоро допускам, че всичко ще стърже и скърца поне до лятото. За добро или лошо живеем в ужасно свързан свят и всичко има значение.
В политически план добрата новина е, че доживяхме финала на латиносериала Борисов. Това обаче още нищо не означава, докато не доживеем разглобяването на модела, който направи Борисов възможен (поне от инициатива „Глобална България“ насам, ако не и още по-назад).
От света на информационните технологии през годината по-скоро нямаше нещо кой знае какво за отбелязване. Интернет става все по-централизиран. Облаците също. А гравитацията и значението им огромни. Съпротивата срещу това е слаба и наистина трудна и ще става все по-зле, доколкото хората, които се вълнуват от моралната страна на технологичния прогрес са почти невидимо малцинство. Днес, сега… Няма по-критично време, в което трябва да се опазят и подпомагат малките в света на технологиите. Но тези, които не преследват ръст на всяка цена. Защото нямаме полза от нови гиганти.
Криптаджиите продължават да надуват балони, по-новите от които са все по-парадоксални (NFT, Web3 и прочие). „Бойте се от данайците, когато ви поднасят дарове.“ Та и криптаджиите пропиляха всичкия си кредит на доверие, веейки знамето на децентрализацията. От техния парцел (вече повече от десетилетие) не се роди нищо кой знае какво по различно от спекула. А походът им за децентрализация се оказа компрометиран от обичайните проявления на недъзите на пазара и на най-обикновената човешка алчност. Всъщност поход е твърде силна дума.
В тази връзка наблюдавам с интерес фотографската общност, част от която видя в NFT отдавна лелеяна възможност да направи малко пари от изкуство в дигиталния свят. С цената на това да обижда интелигентността на (част от) публиката си. Разбирам подхлъзването, но все пак е тъжно.
Иначе (поне за да не бъде чак толкова минорен този текст)… след почти десетгодишен флирт с Fujifilm, пак снимам с Nikon (доколкото снимам изобщо, разбира се) и е голям кеф. За всичкото това време Fuji някак не се придвижиха в посоката, която се надявах, а междувременно Nikon започнаха Z-системата си съвсем начисто, с нов и широк байонет за обективи. През отминалите една-две години стана повече от ясно, че се хвърлят с всички сили в тази посока, което нямаше как да не ме спечели отново.
Надявам се да има как поне малко повече да попътуваме през идната година. И да има повече поводи за снимане. Че за по-мащабни мечти сякаш нито му е времето, а още по-малко мястото.
И трите правителства на Бойко Борисов са виновни за изключително много неща. Като започнем от вече трайното усещане, че живеем затлачено, до съмненията доколко можем да разчитаме на полицията, на общината, на другите държавни служби – които уж съществуват за да ни служат. За незавидното ни място в задния двор на Европа и ниското доверие към страната ни. За оплитането на държавата в нечистоплътни взаимоотношения с едрогабаритни бизнес кръгове (Пеевски не е единствен). За подчиняването на медиите в същите зависимости. За пълната липса на адекватност при планирането, разясняването и управлението на мерките против коронавируса у нас.
За пълната липса на адекватност въобще, заради което в момента доверието в държавните институции е толкова ниско, че държавата не разполага с най-базов авторитет да наложи дори смислени решения. Всички се съмняват във всичко и подозират подмолни намерения и цели.
И ако преди някоя калинка се приемаше с насмешка или пък някой местен кмет, неспособен да формулира завършена мисъл (в Пловдив!), то нещата стигнаха до там, че калинките и безхаберието превзеха всичко. Те са новата нормалност.
И вече заради тях умират хора! Вярно е, че умират навсякъде по света, но можеше ли част от тези, които си отидоха у нас от коронавируса (и уви, част от тези, които ще си отидат в следващите седмици и месеци) да са останат живи? Без съмнение! Ако имахме друго управление с ясно планиране, изговаряне и убеждаване на хората в смисъла от една или друга мярка, както и с навременни и релевантни компенсации за пострадалите от мерките. Ако организацията около ваксинирането и поръчките на ваксини бяха направени с повече планиране и разум. Ако по-рано се бяхме разделили с безполезната (освен за личното им облагодетелстване) и безсрамна коалиция на ГЕРБ и „патриотите“ от ВМРО, НФСБ и Атака, крепена четири години от беззъбието (и интересите) на ДПС, БСП и Воля. Всички те са виновни за днешното дередже на държавността в България и мястото ни в света. И никой от тях не може да бъде решение на проблема. Те са вредни и опасни за здравето и бъдещето ни!
В неделя идва видовден! Те са на изпит, а ние трябва да ги скъсаме, защото са безхаберници! Разпорете им шортите от гласуване!
И трите правителства на Бойко Борисов са виновни за изключително много неща. Като започнем от вече трайното усещане, че живеем затлачено, до съмненията доколко можем да разчитаме на полицията, на общината, на другите държавни служби – които уж съществуват за да ни служат. За незавидното ни място в задния двор на Европа и ниското доверие към страната ни. За оплитането на държавата в нечистоплътни взаимоотношения с едрогабаритни бизнес кръгове (Пеевски не е единствен). За подчиняването на медиите в същите зависимости. За пълната липса на адекватност при планирането, разясняването и управлението на мерките против коронавируса у нас.
За пълната липса на адекватност въобще, заради което в момента доверието в държавните институции е толкова ниско, че държавата не разполага с най-базов авторитет да наложи дори смислени решения. Всички се съмняват във всичко и подозират подмолни намерения и цели.
И ако преди някоя калинка се приемаше с насмешка или пък някой местен кмет, неспособен да формулира завършена мисъл (в Пловдив!), то нещата стигнаха до там, че калинките и безхаберието превзеха всичко. Те са новата нормалност.
И вече заради тях умират хора! Вярно е, че умират навсякъде по света, но можеше ли част от тези, които си отидоха у нас от коронавируса (и уви, част от тези, които ще си отидат в следващите седмици и месеци) да са останат живи? Без съмнение! Ако имахме друго управление с ясно планиране, изговаряне и убеждаване на хората в смисъла от една или друга мярка, както и с навременни и релевантни компенсации за пострадалите от мерките. Ако организацията около ваксинирането и поръчките на ваксини бяха направени с повече планиране и разум. Ако по-рано се бяхме разделили с безполезната (освен за личното им облагодетелстване) и безсрамна коалиция на ГЕРБ и „патриотите“ от ВМРО, НФСБ и Атака, крепена четири години от беззъбието (и интересите) на ДПС, БСП и Воля. Всички те са виновни за днешното дередже на държавността в България и мястото ни в света. И никой от тях не може да бъде решение на проблема. Те са вредни и опасни за здравето и бъдещето ни!
В неделя идва видовден! Те са на изпит, а ние трябва да ги скъсаме, защото са безхаберници! Разпорете им шортите от гласуване!
И трите правителства на Бойко Борисов са виновни за изключително много неща. Като започнем от вече трайното усещане, че живеем затлачено, до съмненията доколко можем да разчитаме на полицията, на общината, на другите държавни служби – които уж съществуват за да ни служат. За незавидното ни място в задния двор на Европа и ниското доверие към страната ни. За оплитането на държавата в нечистоплътни взаимоотношения с едрогабаритни бизнес кръгове (Пеевски не е единствен). За подчиняването на медиите в същите зависимости. За пълната липса на адекватност при планирането, разясняването и управлението на мерките против коронавируса у нас.
За пълната липса на адекватност въобще, заради което в момента доверието в държавните институции е толкова ниско, че държавата не разполага с най-базов авторитет да наложи дори смислени решения. Всички се съмняват във всичко и подозират подмолни намерения и цели.
И ако преди някоя калинка се приемаше с насмешка или пък някой местен кмет, неспособен да формулира завършена мисъл (в Пловдив!), то нещата стигнаха до там, че калинките и безхаберието превзеха всичко. Те са новата нормалност.
И вече заради тях умират хора! Вярно е, че умират навсякъде по света, но можеше ли част от тези, които си отидоха у нас от коронавируса (и уви, част от тези, които ще си отидат в следващите седмици и месеци) да са останат живи? Без съмнение! Ако имахме друго управление с ясно планиране, изговаряне и убеждаване на хората в смисъла от една или друга мярка, както и с навременни и релевантни компенсации за пострадалите от мерките. Ако организацията около ваксинирането и поръчките на ваксини бяха направени с повече планиране и разум. Ако по-рано се бяхме разделили с безполезната (освен за личното им облагодетелстване) и безсрамна коалиция на ГЕРБ и „патриотите“ от ВМРО, НФСБ и Атака, крепена четири години от беззъбието (и интересите) на ДПС, БСП и Воля. Всички те са виновни за днешното дередже на държавността в България и мястото ни в света. И никой от тях не може да бъде решение на проблема. Те са вредни и опасни за здравето и бъдещето ни!
В неделя идва видовден! Те са на изпит, а ние трябва да ги скъсаме, защото са безхаберници! Разпорете им шортите от гласуване!
И трите правителства на Бойко Борисов са виновни за изключително много неща. Като започнем от вече трайното усещане, че живеем затлачено, до съмненията доколко можем да разчитаме на полицията, на общината, на другите държавни служби – които уж съществуват за да ни служат. За незавидното ни място в задния двор на Европа и ниското доверие към страната ни. За оплитането на държавата в нечистоплътни взаимоотношения с едрогабаритни бизнес кръгове (Пеевски не е единствен). За подчиняването на медиите в същите зависимости. За пълната липса на адекватност при планирането, разясняването и управлението на мерките против коронавируса у нас.
За пълната липса на адекватност въобще, заради което в момента доверието в държавните институции е толкова ниско, че държавата не разполага с най-базов авторитет да наложи дори смислени решения. Всички се съмняват във всичко и подозират подмолни намерения и цели.
И ако преди някоя калинка се приемаше с насмешка или пък някой местен кмет, неспособен да формулира завършена мисъл (в Пловдив!), то нещата стигнаха до там, че калинките и безхаберието превзеха всичко. Те са новата нормалност.
И вече заради тях умират хора! Вярно е, че умират навсякъде по света, но можеше ли част от тези, които си отидоха у нас от коронавируса (и уви, част от тези, които ще си отидат в следващите седмици и месеци) да са останат живи? Без съмнение! Ако имахме друго управление с ясно планиране, изговаряне и убеждаване на хората в смисъла от една или друга мярка, както и с навременни и релевантни компенсации за пострадалите от мерките. Ако организацията около ваксинирането и поръчките на ваксини бяха направени с повече планиране и разум. Ако по-рано се бяхме разделили с безполезната (освен за личното им облагодетелстване) и безсрамна коалиция на ГЕРБ и „патриотите“ от ВМРО, НФСБ и Атака, крепена четири години от беззъбието (и интересите) на ДПС, БСП и Воля. Всички те са виновни за днешното дередже на държавността в България и мястото ни в света. И никой от тях не може да бъде решение на проблема. Те са вредни и опасни за здравето и бъдещето ни!
В неделя идва видовден! Те са на изпит, а ние трябва да ги скъсаме, защото са безхаберници! Разпорете им шортите от гласуване!
Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.
Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.
Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.
Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.
Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:
може да е зададен предварително;
да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
да се генерира от специално хардуерно устройство за такава цел.
Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.
По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.
Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).
Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.
Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.
Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.
В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.
Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.
Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.
Приложения, които генерират еднократни кодове за достъп
Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.
Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.
Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.
И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.
Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.
Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.
Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.
И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…
Специализирано устройство
Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.
Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂
Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)
И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.
Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.
И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂
Многофакторната автентикация всъщност е комбинацията от различни такива методи.
Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.
Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.
P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.
Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.
Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.
Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.
Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.
Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:
може да е зададен предварително;
да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
да се генерира от специално хардуерно устройство за такава цел.
Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.
По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.
Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).
Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.
Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.
Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.
В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.
Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.
Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.
Приложения, които генерират еднократни кодове за достъп
Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.
Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.
Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.
И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.
Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.
Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.
Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.
И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…
Специализирано устройство
Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.
Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂
Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)
И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.
Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.
И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂
Многофакторната автентикация всъщност е комбинацията от различни такива методи.
Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.
Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.
P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.
Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.
Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.
Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.
Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.
Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:
може да е зададен предварително;
да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
да се генерира от специално хардуерно устройство за такава цел.
Навярно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.
По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.
Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).
Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.
Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.
Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.
В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.
Особено опасно е, ако бъде превзет основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.
Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.
Приложения, които генерират еднократни кодове за достъп
Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.
Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.
Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.
И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях аз предпочитам Authy (без да твърдя, че и то няма трески за дялане). Но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е много удобно. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.
Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.
Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.
Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.
И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…
Специализирано устройство
Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.
Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея, защото ако някой открадне компютъра ви или го оставите на публично място, ще сте подарили и ключовете си за дигиталния ви свят. Аз харесвам тези модели, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂
Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)
И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.
Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.
И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂
Многофакторната автентикация всъщност е комбинацията от различни такива методи.
Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.
Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.
P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.
Този текст е своеобразно продължение на предишния и затова в някаква степен предполага, че вече ползвате някакъв мениджър на пароли и искате да надграждате. Макар и това да не е непременно задължително. Иначе още преди две години и половина писах в „Тоест“, че паролите вече не са достатъчни, за да опазят достъпа ни до различни системи.
Все повече и повече нарастват случаите, когато някой бива хакнат, защото някой друг е налучкал или се е домогнал до паролата му. Дори когато паролите са сложни и дълги, пак не сме защитени от пробив. Можем да направим нещо допълнително, така че да минимизираме възможността някой да открадне и използва паролите ни.
Може би сте ползвали банков сейф, или най-малкото сте виждали по филмите как в помещението заедно със собственика на сейфа влиза служител, който носи втори ключ. И сейфът се отваря само когато собственикът превърти своя ключ в едната ключалка, а служителят – неговия в другата. Ако един от двата ключа не е наличен, съдържанието на сейфа остава недостъпно.
Същата практика може да се приложи и към паролите – ако приемем, че те са единият ключ, който е нужен, за да достъпим акаунта си, нека добавим още един, така че само когато са налични и двата, да получаваме достъп до сайт или система. Идеята е, че ако някой е успял да открадне парола, тя да не е достатъчна, а да е нужно още нещо, за да се получи достъп.
Така най-семпло може да се обясни концепцията за двуфакторна или многофакторна автентикация. Този втори ключ най-често е някакъв код, който:
може да е зададен предварително;
да се генерира от самата система, в която искате да влезете, и тя да ви го изпрати като SMS до телефона ви (който предварително сте задали в профила си);
да се генерира от някакво трето приложение, което имате инсталирано на смартфона си;
да се генерира от специално хардуерно устройство за такава цел.
Вероятно по някакъв повод вече ви се е налагало да използвате поне нещо от гореизброеното. Много е вероятно банката ви да ви изпраща кодове в SMS-и, за да потвърдите плащане с карта например. Спорно е дали това е „втори“ фактор, но поне процесът е познат.
По възможност трябва да спрете да използвате предварително зададени статични кодове (това не е сериозно!) или такива, които получавате като SMS. Те създават илюзорно усещане, че сте положили някакви допълнителни усилия да се защитите, но реално са силно уязвими. Атаките към SS7 (Signalling System No. 7) са любимо занимание на разни кракери, защото SS7 е колекция от протоколи на вече повече от половин век. В момента се използват и в контекст, в който никога не е бил замислян, когато са били създавани.
Това всъщност е сигнализация, чрез която телефонните централи си обменят служебни съобщения, най-общо казано. После на някое алчно копеле му e хрумнало, че може да прави луди пари от нищото, като продава на потребителите възможността да си изпращат кратки съобщения (SMS) по SS7. Проблемът е, че не е много трудно тези съобщения да стигат и до не когото трябва. SIM-карти се клонират и подменят (и без знанието на собственика).
Напоследък картите стават виртуални (eSIM), което дори улеснява техния porting и swaping, включително чрез социално инженерство (заблуда на служители на оператора), които преиздават „загубени“ или „повредени“ карти. Има случаи, когато кракери успяват да пренесат номерата на жертвите си в друг оператор, за да се сдобият с нови SIM-карти за съответните номера.
Уви, много доставчици на важни услуги настояват да им оставите мобилните си номера, които те да ползват за възстановяване на достъпа до акаунта ви, ако забравите или загубите паролата си. Само че това е нож с две остриета. Ако кракер иска да получи достъп до ваш акаунт, едно от първите неща, които ще опита, е процедурата за забравена парола. И ако се е погрижил преди това да има достъп до SMS-ите ви (с клониран или заменен SIM той ще ги получава директно), то тогава контролът върху вашия акаунт отива в неговите ръце.
Ако официално попитате телеком дали някой друг има достъп до вашите SMS-и, те най-вероятно ще ви отговорят, че за някакво време по закон се пази следа за това кой на кого е изпращал SMS, но не и съдържанието. Само че това не е пълната истина. Технически персонал на телекома с определени права би могъл да има достъп до съдържанието на SMS-ите на клиентите.
В някои случаи съобщенията могат и да се пазят за някакво време назад. Да не забравяме и че лицензите на телекомите ги принуждават да предоставят интерфейси за достъп на службите за сигурност, в родната конкретика – на МВР, а как МВР контролира достъпа до тези системи и доколко спазва правилата… оставям на вашата далновидност да прецени.
Особено опасно е, ако пробият основния ви имейл акаунт, където пристигат съобщения за забравени пароли, за банкови сметки и транзакции и т.н. – само въпрос на още малко усилия и време е кракерът да превземе цялата ви дигитална самоличност.
Затова вместо еднократни кодове по SMS има два други много по-добри подхода. Разбира се, че и те не са идеални, но със сигурност са за предпочитане.
Приложения, които генерират еднократни кодове за достъп
Това е лесен, евтин и доста приличен начин да добавите втори фактор към удостоверяването си поне пред по-важните сайтове, които ползвате. А това са електронната поща, интернет банкирането, услуги, чрез които съхранявате важни файлове, и други подобни. Силно препоръчително е, разбира се, да активирате двуфакторна автентикация навсякъде, където е възможно. Уви, все още има сайтове, които не я предлагат на клиентите си – избягвайте да ползвате такива, ако е възможно.
Между другото, търсете активирането на многофакторното удостоверяване някъде из настройките на сигурността на профила ви – най-често тя се отбелязва със съкращения като 2FA (2-factor authentication), MFA (multi-factor authentication) или TOTP (time-based one-time passwords). Тези неща се различават в детайли, но доста често се ползват в сходен контекст.
Идеята накратко е да конфигурирате приложение, което се грижи да изчислява кодове с кратка валидност (TOTP), които стават задължителен втори ключ освен паролата ви за достъп. Това приложение обикновено е най-удобно да работи на смартфона ви, защото се предполага, че той винаги е с вас.
И напук на това, което биха ви подсказали познати или други статии из интернет, силно не препоръчвам да ползвате популярните Google Authenticator и Microsoft Authenticator. Вместо тях за предпочитане е Authy. Заради много неща, но поддръжката на повече устройства, и то от различни платформи (iOS, Android, MacOS и Windows), е на първо място. Това ще ви улесни, ако някой ден решите да смените устройствата си с такива от друг лагер, както и ако случайно загубите или ви откраднат телефона, защото конфигурациите ви се пазят в криптиран бекъп и се синхронизират между устройствата, които сте регистрирали.
Обзалагам се, че ще намерите колеги, които ще подхванат спор, че това удобство носи рискове. Така е, но първо, ако ви тресе тази параноя – това е опция, която можете да изключите или да не ползвате, и второ, аз лично считам този риск за съвсем приемлив на фона на неудобството от загуба на единственото ви устройство, което пази вторите ключове към най-важните ви акаунти.
Реално това със загубата на устройство е голям проблем, затова винаги при активиране на двуфакторна автентикация генерирайте резервни ключове, които пазете на сигурно място (или поне различно от обичайното). Така ще можете да върнете достъпа си при инцидент с телефона, на който работи приложението, генериращо еднократните кодове. Повечето сайтове ще ви накарат задължително да генерирате резервни (backup) кодове така или иначе.
Добра практика е да имате два различни инструмента за втори фактор. С уговорката, че ако единият от тях е да получите код в SMS, вие пак сте уязвими към въпросните атаки. Та пак да кажа – където можете, премахвайте тази опция.
И тук идваме до следващото възможно, или по-точно едно от най-добрите възможни решения…
Специализирано устройство
Те са много и понякога различни. Част от тях могат да генерират еднократни пароли подобно на приложенията, които обсъждахме по-горе. Други в добавка поддържат оторизация и криптография с публичен ключ, U2F и/или FIDO2, някои дори могат да съхраняват и данни (криптирани). Някои се закачат към компютри и телефони по USB или айфонския lightning port, други работят безжично, като ги доближите до телефон с NFC. Има дори и такива с Bluetooth. А някои можете да ползвате и като портфейли за криптовалути.
Те са много добро решение за втори фактор, ако успеете да възпитате у себе си навика да носите такова устройство със себе си. Има много малки такива, които можете да „забравите“ в някой от USB-портовете на компютъра си, но това е една доста рискована идея. Аз харесвам тези, които могат да се носят заедно с връзка ключове. А и те са един вид ключове. 🙂
Считат се за по-сигурни от генераторите на TOTP, защото са базирани на криптография с публичен ключ и няма „споделена тайна“ между сайта и нашето устройство, която може евентуално да бъде прихваната. Не са уязвими на фишинг. Не трябва да въвеждате кодове. Обикновено устройството не работи, ако не сте до него и не го активирате с бутонче или докосване – т.е. приема се, че няма как да бъде излъгано да работи автономно. Частните ключове не напускат устройствата. Дори някой да успее да го клонира, вътре има едни броячи на успешни оторизации и в момента, в който този брояч започне да не излиза, оторизацията не минава. (Това последното зависи от протокола, но е налично – б.а.)
И сега лошата новина… Дотук можехте да минете безплатно. Освен ако не плащате вече за мениджър на пароли като Bitwarden, 1Password, LastPass или друг. Но тези хардуерни устройства за двуфакторна автентикация са скъпички. Не всички: има и по-достъпни, и по-скъпи, но при всички случаи струват нещичко – общо взето в интервала от 20 до 100 долара. И това е цена, която при всички случаи ви съветвам да платите, макар да ви съчувствам, че не стига, че се опитвам да ви усложнявам живота с някакви засукани втори ключове, ами това ще ви струва и пари.
Сигурността не е безплатна – нужна е самодисциплина, дискомфорт, а много често и доста пари. Но всъщност далеч по-малко от тези, които би се наложило да похарчите, ако някой кракер ви създаде грижи. Дето се вика, нищо не е задължително – можете да ползвате и прости пароли като „123123“ или да ходите с гол задник по площада. Само не се сърдете на никого за последствията.
И ако сте истински отговорни към сигурността си, всъщност трябва да купите не едно, а две такива устройства и да ги регистрирате поне в най-важните си акаунти. Едното ви е нужно, за да го разнасяте със себе си непрекъснато, а другото е резервно, в случай че загубите първото. Не е нужно да са напълно идентични. Може резервното да е по-евтино, а може и да е софтуерно приложение за генериране на еднократни кодове. Само не даунгрейдвайте до SMS-и. 🙂
Многофакторната автентикация всъщност е комбинацията от различни такива методи.
Преди да си изберете джаджа, прочетете внимателно коя какво предлага и поддържа. Ако се загубите в неясни термини и съкращения, потърсете съвет от познат, който е грамотен по темата. Но в общия случай базовите или средната хубост модели са универсалният избор – като трябва да съобразите какви USB портове има компютърът и телефонът ви.
Ако не търсите безжични екстри и сте начинаещ в тези води, разумно е първо да си купите по-евтин модел като HyperFIDO Mini или някой от моделите на Solo. Solokeys ще се харесат и на феновете на софтуера с отворен код, както и Nitrokey. Много богат избор и с добра поддържка за голямо многообразие платформи са джаджите на Yubico, наричани Yubikeys. Те имат и чудесни съветници на сайта си, които да ви ориентират какво ви е нужно.
И накрая – още нещо важно. Ако ползвате мениджър на пароли и сте се изкушили да генерирате TOTP с него вместо с друго приложение или хардуерно устройство, по-добре недейте. Зная, че е адски удобно. Особено за автоматично попълване в разните login екрани, но това е като да държите заедно двата ключа за отваряне на сейфа ви в банката. Не е разумно. Идеята на втория фактор е да е именно… втори, различен от първия.
P.S. В текста използвам понятието автентикация като директна заемка от английски, доколкото нямаме подходяща българска дума. В най-общ смисъл под автентикация се разбира удостоверяване на автентичност или истинност. Понятието идентификация обикновено се ползва в контекста на удостоверена самоличност и има близък, но не идентичен смисъл с автентикацията.
Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление, и до днес има такива. А когато кракери пробият някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и кофти администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същият потребител, чийто имейл им е известен, не използва същата парола и потребителско име някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.
Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където някога съм я ползвал. Поне за толкова съм проследил и знам. Вероятно са повече.
За съжаление, много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.
Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.
Password manager-ът е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. А достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано, password manager-ът е нещо като сейф за пароли.
В добавка различните мениджъри на пароли могат да предлагат цяла купчина допълнителни екстри. Например:
генератори на различни по дължина и сложност пароли;
анализатори и индикатори на трудността на отгатване на паролите;
лесно въвеждане на паролите чрез различни плъгини за браузъри;
двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел;
уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не я продават);
споделяне на някои пароли със семейството или колегите;
напомняне за пароли, които не сте сменяли отдавна; и др.
Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще загубите и всичките си пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици.
Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло? И това са съвсем резонни тревоги. Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е труднопостижимо по друг начин. В добавка, рискът да бъде компрометиран мениджърът ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.
Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.
В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.
Разбира се, това означава, че макар и криптирано, хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва, имате два подхода – единият е да държите само локално копие на своето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви, за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъдат криптирани. Има много смисъл да го направите за фирмата и служителите/колегите си.
Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.
Иначе многообразието от мениджъри на пароли е голямо. Важно е да изберете това приложение, което ви предлага максимално удобство и онези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива с базови безплатни версии, но се плаща за някои от екстрите.
Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.
Не забравяйте да инсталирате плъгини за браузърите, които ползвате и да настроите нужното и за мобилните си телефони за да си улесните живота.
И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като усетите колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Целта на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.
Още помня първата си парола, която използвах в Интернет някъде преди около 25 години. Разбира се, че по онова време бях немарлив и съм я ползвал на повече от едно място, и не съм я сменял дълго време. А много от сайтовете тогава не можеха да се похвалят със сигурността си. За съжаление, и до днес има такива. А когато кракери пробият някой уебсайт, се случва и да откраднат паролите на всички регистрирани в него. Принципно сайтовете не трябва да пазят пароли, но нямате идея колко го правят. Има и кофти администратори, които нарочно събират пароли на потребителите си, за да могат да пробват дали същият потребител, чийто имейл им е известен, не използва същата парола и потребителско име някъде другаде в Интернет. Такива пакети с откраднати пароли се продават (и купуват) в тъмната мрежа безгрижно.
Въпросната парола отдавна не ползвам за нищо, но през тези 25 години тя бе разкрита и открадната при злонамерени пробиви в сигурността на цели 11 сайта, където някога съм я ползвал. Поне за толкова съм проследил и знам. Вероятно са повече.
За съжаление, много хора не подозират, че паролите им отдавна са пробити и публично известни. Дори и да не е по тяхна вина. Дори да са ползвали дълги и сложни пароли. И ако продължават да ползват една парола за повече от един сайт – проблемът е налице.
Затова е най-добре да имате различна парола за всеки сайт, тя да бъде дълга и сложна и да я сменяте поне от време на време. Всичко това не е възможно без някакъв инструмент, защото в наши дни по-активните потребители на мрежата ползват стотици различни регистрации. Някои хора си измислят някакви свои системи за помнене на пароли, но в общия случай те не са ефективни. Иначе казано, днес е немислимо да оцелеете без мениджър на пароли.
Password manager-ът е софтуер, който съхранява пароли за различни сайтове и системи. Разбира се, криптирано. А достъпът до тях се отключва с някаква главна (master) парола, която трябва да се помни много добре, защото е ключ към останалите. С две думи казано, password manager-ът е нещо като сейф за пароли.
В добавка различните мениджъри на пароли могат да предлагат цяла купчина допълнителни екстри. Например:
генератори на различни по дължина и сложност пароли;
анализатори и индикатори на трудността на отгатване на паролите;
лесно въвеждане на паролите чрез различни плъгини за браузъри;
двуфакторна оторизация чрез TOTP (базирани на времето еднократни пароли), макар че по-добре да се ползва друго приложение за тази цел;
уведомления дали някоя от паролите ви не е била компрометирана след атака спрямо даден сайт (т.е. дали някъде вече не я продават);
споделяне на някои пароли със семейството или колегите;
напомняне за пароли, които не сте сменяли отдавна; и др.
Разбира се, че някои неща изглеждат и като нож с две остриета. Има рискове и евентуални проблеми. Например, ако забравите master паролата си, ще загубите и всичките си пароли в мениджъра и ще трябва сайт по сайт да възстановявате достъпа си. А този процес ще отнеме дни и седмици.
Чудите се, можете ли да доверите всичките си пароли на някакъв софтуер… и дали уязвимост в него не ви компрометира изцяло? И това са съвсем резонни тревоги. Но повечето популярни мениджъри на пароли се стараят да ползват сигурни криптографски алгоритми, кодът им се проверява и одитира, и в общия случай удобството и възможността да имате различна парола за всеки сайт или система е труднопостижимо по друг начин. В добавка, рискът да бъде компрометиран мениджърът ви за пароли със сигурност е далеч по-малък от това да ползвате сходни или еднакви пароли на много места.
Можете да подсигурите допълнително master паролата си с многофакторна оторизация, но за това някой друг път.
В добавка има мениджъри на пароли, които се синхронизират през Интернет с множество устройства. Така можете да ползвате приложения или плъгини за различните си браузъри на всички компютри, таблети и телефони, които притежавате. И това е адски удобно.
Разбира се, това означава, че макар и криптирано, хранилището с вашите пароли се дистрибутира през мрежата (облака). Ако тази идея не ви харесва, имате два подхода – единият е да държите само локално копие на своето хранилище за пароли на основния си компютър и да се лишите от удобството да разполагате с паролите си и на други устройства. Втората опция е да имате собствен сървър, който да пази паролите ви, за да не се налага да ползвате синхронизация през нечий чужд или публичен облак, която в общия случай струва и пари. Достъпът и комуникацията до този сървър също задължително трябва да бъдат криптирани. Има много смисъл да го направите за фирмата и служителите/колегите си.
Това последното, разбира се, не е съвсем тривиално, но можете да наемете някой да ви направи такъв сървър. Ако нямате към кого да се обърнете, аз мога да свърша това за вас срещу заплащане.
Иначе многообразието от мениджъри на пароли е голямо. Важно е да изберете това приложение, което ви предлага максимално удобство и онези функции, които са важни за вас. Както и да поддържа и операционните системи, които ползвате. Има безплатни и платени версии, както и такива с отворен код или не. Има и такива с базови безплатни версии, но се плаща за някои от екстрите.
Някои от най-популярните са 1Password, LastPass, DashLine, Bitwarden, KeePassXC, NordPass. Аз години наред ползвах 1Password за лични, семейни и служебни цели, но напоследък ползвам, предпочитам и препоръчвам Bitwarden, който има и безплатна версия и е с отворен код.
Не забравяйте да инсталирате плъгини за браузърите, които ползвате и да настроите нужното и за мобилните си телефони за да си улесните живота.
И преди да ви оставя да си търсите и избирате password manager, да подшушна нещо като евентуална предпазна мярка срещу едно подхлъзване. Много от тези инструменти ще ви предложат да се грижат и за двуфакторната ви оторизация чрез базирани на времето еднократни кодове (на англ. TOTP). Ако не знаете какво е това, изчакайте малко – скоро ще пиша и по тази тема. Сега само бързам да кажа, че много добре знам колко удобно е да се подлъжете да ползвате мениджъра си за пароли и за това, особено като усетите колко лесно се ползва при логване насам-натам, но… уви, това не е добра идея. Целта на втория фактор е именно да е… втори. Не слагайте всички яйца в една кошница. Препоръчително е да оставите тази работа на друго, отделно приложение.
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
