Утопил телефон со всеми TOTP кодами, неделю восстанавливал доступы. Делюсь граблями

[Omoto]

Классика жанра. Поехали на шашлыки, телефон выпал из кармана в речку, и все. Pixel 7 не пережил. А на нем Google Authenticator с двумя десятками TOTP, синк я в свое время гордо выключил, потому что приватность.

Дальше неделя боли. Гитхаб спасли recovery codes, которые я три года назад кинул в заметки и забыл (да, знаю, так нельзя, но спасло). Почта восстановилась через резервный номер, симку МТС перевыпустил за час по паспорту, бесплатно. Госуслуги вернул через Т-Банк за пять минут, тут реально удобно сделали. А вот биржа мурыжила трое суток: видеоселфи с паспортом, листочек с датой, саппорт отвечает раз в 12 часов. Один мелкий сервис так и потерял, recovery codes не было, саппорт развел руками.

Теперь думаю, как пересобрать схему. Aegis с шифрованным автобэкапом? Или вообще сложить TOTP в KeePassXC рядом с паролями, он же умеет. Смущает, что тогда оба фактора в одной корзине. Кто как живет?

[peekatwo]

recovery codes выдают не для того, чтобы хоронить их в заметках. сам себе злобный буратино, чо. но за разбор по сервисам спасибо, про биржу с листочком ржал

[Austkin]

У меня так: Aegis, автобэкап шифрованного vault в папку, которую Syncthing раскидывает на комп и домашний сервак. Пароль от vault в голове и в конверте у родителей, без шуток. Телефон умирает, ставишь Aegis на новый, импортируешь файл, десять минут и ты в строю. Если нужен синк между айфоном и андроидом из коробки, посмотри еще Ente Auth, он тоже шифрует на клиенте.

А Google Authenticator с включенным синком это так себе приватность, сиды улетают в гугловский аккаунт, e2e туда докрутили сильно позже и не по умолчанию. Так что синк ты выключил правильно, просто бэкап не настроил. В этом и была вся дыра.

[marianna]

держу TOTP в KeePassXC и сплю спокойно, и щас объясню, почему это не одна корзина. база лежит локально, пароль длинный, плюс keyfile на флешке. чтобы забрать оба фактора, надо спереть базу, keyfile и пароль одновременно. реальная угроза для обычного юзера это фишинг и стилеры, а не злодей, укравший именно мою базу. зато бэкапится все одним файлом, и сценария как у ТС просто не существует

[rburr]

ну такое. стилер на твоей машине заберет расшифрованную базу прямо из памяти вместе с TOTP, и второй фактор превращается в тыкву. весь смысл 2FA в разных устройствах. телефон отдельно, пароли отдельно.

[cudauser]

а почему не passkeys? тут недавно тема была, человек месяц на них прожил и в целом хвалил. завел бы и не мучился с кодами

[Tanyagor75]

passkeys у ТС точно так же жили бы на утонувшем телефоне, если без облака. технология тут ни при чем, бэкапа не было, вот и вся причина.

И кстати про симку. Перевыпуск за час по паспорту это удобно тебе и ровно настолько же удобно мошеннику с липовой доверенностью, таких историй вагон. СМС как фактор это самое слабое звено схемы, а у нас в банках на нем держится вообще все, и поделать с этим юзер ничего не может.

[penalty]

после похожей истории купил два YubiKey 5 NFC, один на ключах, второй лежит дома. у перекупов выходило под 9 тысяч за штуку в начале года, жаба душила, но после недели восстановления доступов жаба молчит. куда железку воткнуть нельзя, там Aegis. и да, recovery codes теперь печатаю на бумагу и в папку с документами, как дед. бумага в речке не тонет... ну то есть тонет, но она дома лежит