Сьогодні з’явилась новина про можливий злам Lastpass, через що сторонні особи потенційно мали можливість отримати доступ до акаунтів користувачів. Цієї проблеми можна було б уникнути, використовуючи 2fa.
Що таке двофакторна автентифікація?
Двофакторна автентифікація, вона ж 2fa, це, спрощено, два незалежні паролі від одного акаунту, які необхідно використати разом, інакше акаунт не відчиниться.
Перший пароль як правило статичний, а другий динамічний, генерується менеджером 2fa, і змінюється кожні 30 секунд.
Для 2fa частіше використовують смартфони, а не ПК, але в цьому підході є кілька недоліків:
- Телефон може розрядитись, або бути не під рукою
- Відновити 2fa менеджер на новому телефоні не завжди легко
- Зберігати ключі доступу в онлайн сервісі не завжди найкраща ідея
За допомогою KeePassXC цих недоліків можна позбутись:
- У вас завжди буде офлайн копія 2fa бази
- Ще один резервний (чи основний) пристрій з менеджером 2fa
- Базу KeePassXC значно легше переносити між пристроями й відновлювати на пристроях.
Звичайно KeePassXC це в першу чергу менеджер паролів, а не тільки менеджер 2fa, але сьогодні поговоримо тільки про другу складову.
Налаштування KeePassXC в якості менеджера 2fa
Налаштування зробимо на прикладі двофакторної автентифікації для OneDrive.
- Спочатку увімкнемо 2fa на OneDrive
- На сторінці виберіть Add a new way to sign in or verify
- Виберіть Use App. Microsoft буде пропонувати мобільний менеджер, але замість цього виберіть set up a different Authenticator app
- На цьому кроці ви побачите qr код, який можна просканувати 2fa менеджером на смартфоні, але оскільки ми налаштовуємо не його, то виберіть I can't scan the bar code
- Нарешті ви отримаєте Secret key, який виглядає наступним чином: 6oxg nu4f pwic aflv
Переходимо до KeePassXC
- Завантажте KeePassXC
- Створіть нову базу в KeePassXC з гарним паролем
- Для зручності створіть в KeePassXC нову групу (директорію) з назвою 2fa і в ній зробіть новий запис (new entry)
- В новому запису для зручності задайте ім’я OneDrive, а в полі Notes вставте Secret key (він вам ще може знадобитись в майбутньому) і збережіть запис
- Тепер в контекстному меню вашого запису OneDrive виберіть TOTP -> Set up TOTP
- Введіть Secret key і натисніть OK
Все, відтепер отримати свій другий 30-секундний пароль можна з допомогою KeePassXC. Найпростіше всього копіювати його до буфера обміну можна просто вибравши необхідний запис, в нашому випадку OneDrive, і натиснувши комбінацію Ctrl + T.
Декілька порад
- Тримайте базу паролів KeePassXC в Dropbox чи якомусь іншому сервісі синхронізації, щоб у вас завжди була резервна копія бази
- На етапі налаштування 2fa ніщо не заважає вам просканувати QR код на мобільному менеджері 2fa, та одночасно налаштувати KeePassXC за допомогою Secret key. Таким чином у вас буде два незалежні менеджери 2fa, на смартфоні, та на ПК.
- З точки зору безпеки перший і другий пароль треба зберігати окремо. Тобто якщо динамічний пароль ви зберігаєте в KeePassXC, то тримати там же перший пароль не оптимально. Краще його зберігати окремо в тому ж LastPass, або його аналогу - Bitwarden.