Break glass механизм для передачи доступа к аккаунтам в случае emergency?  Публичный пост

Я хочу дать своим близким возможность получить доступ к моим аккаунтам в случае экстренной ситуации так, чтобы я об этом узнал. Таким образом, если я вдруг пропаду они смогут воспользоваться сервисом геолокации чтобы попытаться определить где я, посмотреть мою переписку чтобы понять, куда я мог пойти, и так далее.

Как я это вижу:

  • Я сохраняю всякие пароли к сервисам в менеджере паролей
  • Даю родственникам электронную/распечатанную инструкцию в которой написано как получить пароль от менеджера паролей в случае, если со мной что-то случилось, и куда смотреть в первую очередь чтобы меня найти.
  • В случае если они этим пользуются, я получаю сообщение по всем каналам о том, что это произошло.

Нерешенные проблемы:

  • Мне нужен break glass механизм, который позволяет передать пароль от менеджера паролей родственникам.
  • Текущая схема вероятно слишком сложна для по настоящему срочной ситуации.
  • Непонятно как передать доступ к аккаунтам с 2fa.
  • Имея доступ к аккаунтам не должно быть возможно стереть сообщения о получении доступа через вышеописанный механизм.

Предвещая возможные вопросы:
Я не готов просто дать доступ к своим аккаунтам. Мне хочется иметь личное пространство, но я готов им пожертвовать если того требуют обстоятельства. Предложенное решение - оверинжениринг, но потому я и спрашиваю у вас совета. Беглый гуглинг дает решения для бизнесов, я не для частных лиц.

Спасибо за ваши советы!

13 комментариев 👇

Банковская ячейка о существовании которой знают родственники удовлетворяет приктически всем требованиям.

В ячейке лежит папка с бумагами - там спискок всех ресурсов и инструкции для получения доступа к ним, а также распечатанные пароли, 2FA recovery коды, security questions и все что только можно.

Мне нужен break glass механизм, который позволяет передать пароль от менеджера паролей родственникам.

Доступ к ячейке регулируется существующими юридическими процедурами - тут ничего придумывать не нужно.

Текущая схема вероятно слишком сложна для по настоящему срочной ситуации

Можно хотя бы один пример такой срочной ситуации? Все "экстренные ситуации" которые приходят в голову при которых нужно дать кому-то доступ сразу ко всем аккаунтам срочными не кажутся.

  Развернуть 1 комментарий

Тред можно закрывать, все уже придумано за нас 😃

  Развернуть 1 комментарий
Миша Гусаров, Инженегр-погромист 5 декабря 2020

Могу подсказать, что делать с 2FA. В 2FA-схемах обычно есть дополнительный список одноразовых паролей для доступа при отсутствии аутентификатора. Их можно приложить к остальным данным.

В паре мест не было — там я сохраняю QR-код для добавления устройства, в нём ключи. При необходимости можно новое устройство за-enroll-ить.

  Развернуть 1 комментарий

А что вы будете делать когда узнаете что родственники получили доступ без наличия с вашей т.з. экстренной ситуации? Мне кажется технологиями проблему не решить, нужен сторонний человек которому вы доверяете и к которому они всегда смогут обратиться, и он уже примет конкретное решение давать им доступ или нет, заодно пытаясь с вами связаться.

  Развернуть 1 комментарий

@stansv, я доверяю достаточно, чтобы дать им доступ во все свои аккаунты. Тем не менее, я чувствую себя некомфортно зная что они могут войти незаметно.

Если я узнаю, что воспользовались доступом просто так - расстроюсь и поменяю мнение о них.

  Развернуть 1 комментарий

@DmitryShchelchkov, запечатанный и периодически проверяемый конверт в сейфе достаточен в этом случае.

  Развернуть 1 комментарий

@DmitryShchelchkov, тогда можно бумажку с паролем просто обернуть фольгой и запечатать в конверт с вашей подписью на нем. Если конверт сломали/потеряли значит получили доступ.

  Развернуть 1 комментарий

@stansv, нет. Нельзя же ее проверять каждый день. Тут смысл есть страховаться от ситуации "сестра/мама/бабушка решила, что ты живешь неправильно и пошла писать твоей девушке от твоего имени "нам надо расстаться", а для этого необходимо срочное уведомление. А конверт в этом месяце будет проверяться каждый день, в следующем раз в неделю, через год раз в год. Даже за неделю уже можно так подгадить, что все плохо будет.

  Развернуть 1 комментарий

@vvzvlad, ну нет так нет :)

  Развернуть 1 комментарий
Victor Chub, Механический Инженёрд 6 декабря 2020

Можно все лгоины/пароли распечатать, положить в сундук и зарыть в тайном месте. Потом сделать скрипт, чтобы каждый день нужно было отменять отправку е-мейла всем родственникам. В емейле - карта, где красным крестом помечено, где копать. И потом как герой сериала Lost нужно будет каждый день нажимать на кнопку отмены. (можно на RaspberryPi или Ардуино подключить реальную большую красную кнопку с таймером) Вуа-ля, проблема решена!

И да, зарывать сундук - обязательный минимум! (нельзя просто в е-мейле пароли отправлять) Иначе будет неинтересно. По желанию можно из этого сделать тематический Scavanger Hunt со всем сопутствующем весельем. :)

  Развернуть 1 комментарий

http://blog.lastpass.com/2016/07/how-to-get-started-with-lastpass-emergency-access/

Мне казалось, что это практически ровно то, разве нет?

  Развернуть 1 комментарий
Volodymyr Brodskyi, автоматизацией 6 декабря 2020

Хранишь пароли в 1Pass, а мастер пароль в банковской ячейке/домашнем сейфе

  Развернуть 1 комментарий
Maxim S. Tatarinov, Head of technical support 7 декабря 2020

У меня есть архив со всеми паролями, это бекап моей текущей базы паролей + сканы документов. Делаю бекап регулярно. В случае если я определенное время не выполняю скрипт на своём сервере. Доверенному человеку уплетает пароль от этого архива. Но честно не боюсь если улетит и случайно, на то и доверенный человек.
Но как по мне нам нужны и оффлайн бумаги, нужно пилить сервис с аналогом банковской ячейки, но с человеческим лицом.

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб