Dziś wpis techniczny i poradnikowy (dawno nie było!). Kierowany głównie do ludzi pracujących na co dzień „na kilka komputerów”, ale zawiera też kilka porad bezpieczeństwa dla każdego.

Nie wiem jak wam, ale zdarza mi się czasem pracować na różnych komputerach. Bywa nawet, że potrzebuję szybko „uruchomić” swoje środowisko pracy na całkiem nowej maszynie. Może to być jakaś maszyna wirtualna, laptop który jest aktualnie pod ręką, albo po prostu nowo zakupiony komputer. Dodatkowo w trybie ciągłym korzystam z przynajmniej czterech różnych Windowsów – komputer służbowy, prywatny laptop (na kanapę), prywatny stacjonarny (w biurze do „ciężkiej” roboty na dwa monitory) i maszyna wirtualna na Azure (do przeróżnych zadań).

Wszystko to sprawia, że musiałem znaleźć i skonfigurować cały ekosystem narzędzi i procedur, które pozwalają mi w miarę wygodnie się w tym wszystkim poruszać. Zapraszam do wpisu, w którym postaram się opisać jak do tego doszedłem i jak mogę w kilkanaście minut zacząć pracę (mając swoje ulubione, hasła, wtyczki do chrome, pliki) na dowolnym komputerze z Windows, który dostanę do ręki.

Dodam, że wpis ten ma charakter przykładowy i nie każę wszystkim żyć z tymi zasadami. To mój sposób ale na pewno są lepsze, inne, może też bezpieczniejsze. Każdy musi samemu zważyć ryzyka (a najpierw być ich świadom) jakie niesie takie czy inne rozwiązanie. Zazwyczaj sprowadza się to do balansu między bezpieczeństwem a wygodą. Zdaję sobie sprawę, że w moim rozwiązaniu występuje „uzależnienie” od dostawców zewnętrznych, oraz „pozorne” bezpieczeństwo oparte o klucz fizyczny Yubi (tak naprawdę na większość kont da się niestety zalogować dodatkowym faktorem TOTP lub SMS ale nie mam na to wpływu). Póki co nie rozwiązałem wszystkich bolączek czy ryzyk, ale starałem się zrobić ile się da.

Co więcej – stosowanie poniższych metod i narzędzi może się kłócić z zasadami bezpieczeństwa w firmie, w której pracujecie. Dlatego zanim cokolwiek zrobicie na służbowym sprzęcie – zapytajcie właściwą osobę w dziale IT lub po prostu swojego kierownika.

Sytuacja nie tak znowu rzadka

Załóżmy że wszystkie moje komputery są niedostępne ale mam pod ręką „gołego” laptopa, na którym jest Windows. Muszę dostać się do poczty, zalogować do stron www, którymi zarządzam, bankowości czy profilu zaufanego.

O ile tylko:

  • mam przy sobie przynajmniej jeden z dwóch telefonów, na których mam zainstalowaną aplikację Authy,
  • oraz mam w kieszeni lub plecaku pęk kluczy, przy których wisi zawsze sprzętowy Yubikey (a w 99% przypadków tak dokładnie jest. Ważne – drugi zapasowy Yubikey, na którym są te same dane, trzymam w domowym biurze),

to „jestem w domu”. Zaraz też wyjaśnię co to jest Yubikey, Authy i tak dalej.

Yubikey to kawałek plastiku z wbudowanym chipem przechowującym dane. Ja swoją parę (zalecane jest posiadanie zapasowego) kupiłem w sklepie Niebezpiecznika. Znajdziecie tam też szczegółowy opis dlaczego warto i jak to działa.

W codziennej praktyce ten kluczyk podłączany jest do portu USB lub zbliżany do czujnika NFC w telefonie w momencie logowania. W skrócie – możemy na nim zapisywać dane potrzebne do uwierzytelnienia się w usługach typu Facebook, Google czy innych, które umożliwiają takie sprzętowe logowanie. Konto zabezpieczone takim kluczem wymaga wpisania nie tylko hasła ale też włożenia klucza w USB i dotknięcia placem. Alternatywnie, jeśli logujemy się na telefonie – zbliżenia klucza do czytnika NFC.

Co ważne – ten klucz nie jest de facto wymaganym elementem mojego systemu (ale w przyszłości mam nadzieję, że będzie jednak jedynym drugim składnikiem logowania).

Authy to aplikacja, którą mam na kilku komputerach i telefonach. Synchronizuje się ona między urządzeniami i przechowuje specjalne kody TOTP. TOTP to bardzo popularny sposób zabezpieczania kont drugim faktorem (składnikiem). Jest to na ten moment chyba najważniejszy element, bez którego nie jestem w stanie dostać się do mojego świata, jeśli nie mam przy sobie klucza Yubi. Staram się mieć go zawsze na wszystkich używanych stale urządzeniach – telefonach i komputerach.

Jest to mechanizm podobny do klucza, tyle że nie sprzętowy a programowy. Dzięki temu jest całkowicie darmowy i warto swoje konta zabezpieczać PRZYNAJMNIEJ w ten sposób. Mamy w tym wypadku za darmo naprawdę duży skok w poziomie zabezpieczeń. Nawet jeśli ktoś przejmie nasze hasło (lub damy się nabrać i wpiszemy je na jakiejś fałszywej stronie) to nadal nie zaloguje się na nasze konto nie mając dodatkowego kodu. Zdecydowanie zalecam zabezpieczenie się tą metodą gdzie tylko się da.

W razie niedostępności Authy i klucza Yubi częściowo sytuację może mi uratować dowolny telefon, na którym jestem zalogowany do konta Google – wtedy przynajmniej dostanę się do tego konta z dowolnego komputera (potwierdzając logowanie na telefonie – funkcja wbudowana w Android). W praktyce zawsze mam przy sobie dwa telefony, na których jest zarówno Authy jak i jestem na nich zalogowany do Google.

Authy nie jest jedyną aplikacją zgodną z TOTP. Obsługa tego standardu funkcjonuje w aplikacjach typu Microsoft czy Google Authenticator i większości managerów haseł (np. KeePass, LastPass). Authy, jak dla mnie, wyróżnia się wygodą podczas „klonowania” zestawu naszych kodów na nowy telefon bądź komputer. Instalujemy aplikację, wykonujemy kilka kliknięć, potwierdzamy na jednym z aktywnych urządzeń (np. poprzedni telefon) i już mamy wszystko w nowym miejscu.

Od czego zaczynam – czyli dostęp do własnych haseł

Aby zacząć odtwarzać mój „ekosystem” muszę wykonać kilka czynności.

Zaczynam od zalogowania się do chmurowego managera haseł – Bitwarden. Jest to usługa czy też platforma, na której mam WSZYSTKIE, ale to absolutnie wszystkie moje hasła, numery kart SIM i kredytowych, zapiski dotyczące konfiguracji urządzeń sieciowych, kluczy RSA czy właściwie dowolne inne ważne wpisy, które mogą się przydać do dostępu gdziekolwiek.

Nie musisz używać Bitwarden – jest wiele alternatyw, np. LastPass. Są również rozwiązania „nie chmurowe” a bazujące na pliku bazy danych, na przykład KeePass. Wtedy musisz samodzielnie zabezpieczyć taki zbiór (np. regularnie wykonywać jego kopię bezpieczeństwa).

Najważniejszy życiowy nawyk, jaki musiałem sobie wyrobić, to pilnowanie się aby KAŻDE hasło było tam zapisane i aktualizowane.

Zalogowanie do Bitwarden wymaga pamiętania JEDNEGO hasła oraz skorzystania z jednego z dodatkowych składników uwierzytelnienia – wspomnianego klucza Yubi albo jednorazowego kodu TOTP losowanego co 30 sekund w aplikacji Authy.

Warto też wydrukować sobie zestaw kodów „offline” na wypadek gdybyśmy utracili dostęp do obu dodatkowych składników (klucza i TOTP). Ta rada dotyczy wszystkich kont, do których mamy ustawiony drugi składnik.

Z uwagi na fakt, że do Bitwarden muszę zawsze podać drugi „faktor” to hasło do niego mogę mieć dość proste. Raz, że chodzi o wygodę, dwa – abym nie bał się, że to hasło zapomnę, przekręcę. I tak się trochę tego boję (paranoja w stylu – a co jeśli dopadnie mnie amnezja?).

Ciekawostka – mamy nawet w domu tajny pendrive, do którego dostęp zna tylko jedna najbliższa mi osoba, na którym jest cała instrukcja na wypadek mojej „niedostępności” (np. nieprzytomności albo utraty pamięci). Ale to już trochę w ramach anegdoty i pokazania poziomu mojej paranoi :).

Wróćmy do Bitwarden. Jestem zalogowany i mogę zacząć dalsze kroki.

Pierwszym z nich jest instalacja przeglądarki Chrome i zalogowanie się w niej na konto Google. Tu hasło jest już bardziej wydumane, chociaż teoretycznie mogłoby brzmieć 12345678 ponieważ do zalogowania znowu potrzebuję drugi faktor. Google pozwala na klucz sprzętowy, jednorazowe kody TOTP (które można trzymać w Authy), czy też potwierdzenie na telefonie, na którym jesteśmy już zalogowani. Jest jeszcze opcja kodów, które przechowuje się na przykład wydrukowane na kartce, ja te kody sobie zapisałem w Bitwarden w notatkach przy koncie Google.

WTRĄCENIE – Z tego co mi wiadomo, można w Google włączyć tryb super-bezpieczny, w którym logowanie MUSI odbywać się kluczem sprzętowym. Muszę to niedługo zbadać, bo mam psychiczny dyskomfort z faktu, że posiadając klucz nadal mogę ominąć ten sposób i skorzystać z mniej bezpiecznego (np. TOTP). Dotyczy to niestety innych usług, takich jak choćby Facebook. Jest to moim zdaniem (na dziś) jedyny argument przeciwko wydawaniu pieniędzy na klucz. Z drugiej strony, jeśli klucz mamy pod ręką, to jego użycie jest szybsze niż wpisywanie kodu TOTP.

W momencie jak przeglądarka jest już „zalogowana” na koncie Google odczekuję kilka minut. W ich trakcie następuje automatyczna synchronizacja wtyczek i ustawień. Wszystkie wtyczki samodzielnie instalują się i po chwili mam swoją przeglądarkę w stanie takim, jak na każdym innym komputerze.

Najważniejszą wtyczką, która się instaluje jest oczywiście sam Bitwarden, dzięki czemu nie muszę już logować się do panelu WWW tej usługi i wszystkie hasła mam pod ręką. Od teraz logując się gdziekolwiek mogę skrótem klawiaturowym przywołać z Bitwardena dowolny komplet danych „użytkownik/hasło” – zostaną one automatycznie wpisane w formularz logowania. Jeśli loguję się gdzieś, gdzie mam dodatkowy składnik w postaci TOTP (czyli kod generowany co 30 sekund) to wersja premium Bitwarden (10$ rocznie) ogarnie również to (i jeszcze dla wygody wklei kod do schowka systemowego, tak że proces takiego logowania trwa maksymalnie sekundę dłużej).

Na poniższym filmie widać proces logowania do witryny WordPress. Podczas logowania wciskam CTRL+SHIFT+L, następnie enter, potem CTRL+V (wklejenie kodu TOTP ze schowka) i enter. Bez szukania haseł, bez kopiowania i wklejania loginów. Magia wtyczki Bitwarden (lub dowolnego innego managera haseł jaki sobie wybierzecie).

Bitwarden oczywiście rozpoznaje na jakiej stronie jesteśmy i automatycznie wybiera z bazy pasujące hasło, czyli będąc na poczcie O2 wciskam CTRL+SHIFT+L i formularz wypełnia się właściwym kontem i hasłem. Jeśli mam kilka kont – wciskam kombinację kilka razy i wtyczka „podmienia” kolejne konta i hasła w formularzu. Wypełnienie formularza logowania trwa sekundę. Oszczędzam w ten sposób naprawdę masę czasu bo dziennie loguję się do różnych miejsc (np. panele zarządzania różnymi serwerami, usługami) kilkaset razy.

WAŻNE – Nie trzymam i nie synchronizuję przez Google/Chrome żadnych haseł, żeby podpowiedzi się nie pomieszały z Bitwardenem.

Ulubione, czyli Zakładki

Druga wtyczka, która ułatwia mi od kilku lat życie, to xBrowserSync. Co więcej korzystam z niej nie tylko w Chrome ale w Firefox i Edge – wszędzie

Póki co nie znalazłem lepszego sposobu na synchronizację ulubionych. A jest to to wbrew pozorom ogromne ułatwienie. Na każdej maszynie i każdej przeglądarce mam ten sam, pogrupowany w „kontekstowe” foldery, zestaw ulubionych.

Wtyczka przechowuje dane na serwerach autorów wtyczki i w wersji darmowej dostajemy 1MB miejsca na zakładki czy też ulubione. Obecnie mam kilkaset ulubionych i ważą one kilkanaście kilobajtów, więc nie ma obaw, że 1MB nie wystarczy. Dane wtyczki są zaszyfrowane kluczem, który mam oczywiście w Bitwarden.

Po zainstalowaniu chrome, synchronizacji wtyczek i podaniu hasła do xBrowserSync, mój Chrome wygląda z grubsza tak:

Jak widać mam w ulubionych trochę folderów na każdą okazję. Dodanie lub zmiana kolejności folderów propaguje się na wszystkie moje komputery.

Pliki i programy

Teraz pora na pliki robocze oraz aplikacje instalowane w Windows. Staram się zmniejszyć ilość usług, na których mam prywatne pliki, ale nadal są to Nextcloud, Google Drive i jeszcze (z zaszłości) Onedrive i Dropbox. W każdym razie pierwszym klientem jakiego pobieram jest ten od Nextcloud. Pobieram go oczywiście logując się do niego jeszcze bez klienta – przez dostęp WWW, do którego hasło mam w Bitwarden.

Przyznam, że jeśli chodzi o pliki, nad którymi pracuję, to mam trochę bałagan, i brak dobrego pomysłu jak nad nim zapanować. W chmurze trzymam raczej tylko pliki „duże” – np. zdjęcia, różne zasoby do tworzenia stron www – cliparty, loga, bannery, dokumenty word i excel, instalki lub programy portable.

Plików samych stron www, nad którymi pracuję raczej nie umieszczam na chmurze z prostego powodu – zwykle są to tysiące małych plików i słabo się to synchronizuje. Staram się swoje projekty trzymać na GitHub i w razie potrzeby doraźnie sklonować sobie lokalnie repozytorium, aby na nim popracować.

Po instalacji klienta Nextcloud i uruchomieniu synchronizacji pozostaje poczekać (w zależności od łącza) aż na dysku lokalnym pojawią się pliki. Wśród nich jest katalog „Instalki”, w którym trzymam kilkanaście najważniejszych aplikacji, przykładowo:

  • Authy Desktop (bo warto mieć na możliwie dużej ilości sprzętów kopie swoich najważniejszych kluczy TOTP)
  • Notepad++,
  • 7zip,
  • klient do Google Drive,
  • desktopowa wersja Bitwarden (bo robi ona lokalną kopię i w razie awarii ich usługi mam swoje hasła)
  • Git i GitHub Desktop,
  • Greenshot (najlepszy do robienia zrzutów ekranu i ich opisywania strzałkami, zaznaczeniami itd),
  • paint.net,
  • WinSCP,
  • Putty,
  • klient VPN do podłączenia się do pracy,
  • kilka innych,

Oczywiście aplikacje te instaluję tylko, jeśli dany komputer będzie mi służył dłużej.

Po tych operacjach mam z grubsza wszystko, co jest mi potrzebne do wznowienia pracy.

Jakie są Wasze sposoby na ułatwienie sobie życia w wypadku pracy na kilku maszynach?

[…]

Podobało się?

Postaw mi kawę na buycoffee.to

Subskrybuj powiadomienia o nowych wpisach.

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *