Есть такое понятие
«Best practice». Применимо к различным областям деятельности.
Выработал подобное для защиты своих финансов, аккаунтов и прочего ценного от жулья. Порядок принципов не важен, важна их совокупность в применении.
1. То, про что вещают из каждого утюга: «не сообщать никому никаких кодов». Неважно, каким методом получен код: в СМС ли, в мессенджере, почтой или ещё как. 2. При разговорах с незнакомыми людьми по телефону не использовать слова «да» и «нет». 3. Не использовать простые пароли. Пароль должен быть мнемоничен, чтоб запоминался, и должен набираться с клавиатуры по памяти. Использовать случайно сгенерированные пароли можно только пользуясь менеджером паролей, что неудобно, когда у тебя больше одного устройства, на котором бывает нужно залогиниться куда-либо. 4. Везде, где можно, использовать двухфакторную авторизацию. Сильно портит жуликам жизнь, когда (не если!) они таки подберут пароль. 5. Для двухфакторной авторизации везде, где можно, использовать приложение генератор кодов, а не получение СМС. Держать резервную копию данных приложения в нескольких местах, обновлять её при внесении изменений (добавлении/удалении аккаунтов). При возможности держать приложение на нескольких личных (это ж как «ключ от квартиры, где деньги лежат!») устройствах. Это поможет, если жулики в преступном сговоре с опсосом задублируют или перевыпустят SIM-карту, а такие случаи уже были. |
Как-то так.
Про приложения (речь об Android, яблочных девайсов) для генерирования кодов двухфакторной авторизации. У меня используются несколько:
Aegis — приложение с открытым исходным кодом, резервную копию сохраняет в файл. Основной генератор кодов.
Яндекс.ключ — генератор от Яндекса, используется только для логина по QR в аккаунты на яндексе, уж больно удобно. Бэкапит данные в облако яндекса, шифруя на номер телефона.
MS Authenticator — для логина в аккаунты Microsoft. Данные не бэкапит.
Authy — для логина на Pinterest (исторически сложилось, лень перенастраивать). Бэкапит данные в своё облако (потому и отказался).
WWPass Key — для специфического сервиса, обычным людям не нужно, кто тем сервисом пользуется, тот знает. :)