Two-step authentication: ни за что и никогда и ни при каких обстоятельствах
Долго не пользовался ненужными сервисами, забыл пароль от второй базы пассвордов. Там не было ничего критически важного, но были три сервиса, которые нужно было восстановить: yahoo, gmail, wordpress.На всех трех подключена two-step authentication. На практике для восстановления пароля оказалось достаточно введения кода, присланного по смс (важное уточнение: в гугл я заходил с того же IP, что и в прошлый раз).
Иными словами, для того чтобы получить доступ к вашему аккаунту, достаточно получить доступ к вашему телефону. Period. Кроме того, если вы живете в Нумибии, где власти легко могут получить доступ к вашему оператору GSM, ваш телефон для доступа к вашим аккаунтам не требуется. Period. Кроме того, если вы посетили Нумибию с целью туризма и т.д., вы даете шанс властям этой страны получить доступ к вашим аккаунтам.
Легко, удобно, просто.
Ссылки
[link1] http://www.3dnews.ru/823419/
[link2] http://torbox3uiot6wchz.onion
[link3] http://sigaintevyh2rzvw.onion
[link4] http://mail2tor2zyjdctd.onion
[link5] http://mailtoralnhyol5v.onion
[link6] http://pyvdmllsh6mczfgb.onion/src/login.php
[link7] http://tormail44halscjy.onion
[link8] http://www.pgpru.com/comment80591
[link9] http://344c6kbnjnljjzlz.onion/
[link10] https://www.vfemail.net/faq.php
[link11] http://www.pgpru.com/comment60541
[link12] https://torproject.org/
[link13] http://www.pgpru.com/biblioteka/statji/13reasonsnottostartusingpgp
[link14] http://www.pgpru.com/comment24183
[link15] http://www.pgpru.com/comment77703
[link16] http://www.pgpru.com/comment82141
[link17] http://www.pgpru.com/comment86228
[link18] https://www.pgpru.com/comment83266
[link19] https://www.systemli.org
[link20] http://inocncymyac2mufx.onion/canary.txt
[link21] http://securityaffairs.co/wordpress/36292/hacking/sigaint-hacked-by-intelligence.html
[link22] http://motherboard.vice.com/read/after-hacks-a-dark-web-email-provider-says-a-government-spied-on-its-users
[link23] https://www.deepdotweb.com/2015/02/16/interview-sigaint-darknet-email-admin/
[link24] http://mail2tor2zyjdctd.onion/
[link25] https://trac.torproject.org/projects/tor/ticket/13829
Все логично – к черту привязку к мобильным. Мобильный только ИРЛ и только для своих в Сети мы же все анонимы. Для пущей уверенности хотел добавить телефон в гугл, это почта для меня в ИРЛ, чтобы подозрений не было, но я сам спалился начав пользовать гпг на этой почте, так что забил. Ваще надо свой почтовый сервис создать для себя и для понтов вкрячить на главную страницу регу по инвайтам за 100БТС. Чтобы никто не понял, что домен мой и я там один. А имя домена общее сделать, типа smail.is и все. Надоели эти анальные зонды.
Кстати, тут говорили, что есть тема, мол вся переписка гпг собирается до лучших времен. Как это обойти? Ну не в криптоконтейнеры же сохранять гпг письма и аттачить их к письму.. как паранойу утешить?
Есть современные шифропанковские проекты, или там все тухло? Что-нибудь из жеской криптоанархии посоветуйте, прям чтобы по беспределу. Спасибо.
В некоторых организациях можно позвонить секретарю, сказать «так и так, я забыл пароль... не могли бы вы его сменить... у меня проблема с доступом к ящику» и получить новый пароль. Никакой дополнительной верификации не требуется, по голосу всех тоже не знают. Впрочем, гугл тоже недалеко ушёл[link1].
Никак. Принять, как данность. Шифрование за тем и создавалось, чтобы коллекционирование шифрованной переписки не имело смысла.
Почта, как протокол с центральным сервером, да ещё и жёстко привязанная к инфраструктуре DNS — устаревшее средство связи, но если выбирать менее поганое из поганого то:
Лично меня мало интересовал вопрос поддержки POP/SMTS к HS, но помню, что некоторые из перечисленных сервисов это поддерживают. Потом, виртуалками и соответствующей программной изоляцией можно поборить сайты хоть на флэше, но, раз авторы некоторых HS требуют включения JS и предлагают мириться с соответствующими угрозами, у меня есть масса поводов сомневаться в их профессионализме (если вообще не сказать доброжелательности к анонимности). Кстати, недавно тут упоминавшийся[link8] https://vfemail.net тоже доступен как HS[link9] (зеркало авторизовано[link10]), но из-за завязки на JS его тоже можно считать неюзабельным.
Дополнительные ограничения на регистрацию (плата, приглашения, биткоины) мне тоже кажутся сомнительными, поэтому любители этих ограничений, в первом приближении, тоже идут в топку. Ещё стоит обратить внимание, как выглядит сайт внешне: эстетичный эргономичный интерфейс, где нет ничего лишнего, и где сразу понятно, где что искать, да ещё и написаный на грамотном английском — 90% рекламы. Яркий представитель такого типа сайта — TorBox. Я бы безусловно счёл его лидером во всех смыслах, если бы не отсутствие PGP-ключа владельца сайта. Вдруг уведут
доменхостинг, уркадут ключи, или из-за дыры придётся менять сервис — как в этом случае сайт будет доказывать пользователям, что он есть он? Одним словом, в этом плане TorBox уступает SIGAINT'у — последний также в целом всем хорош, но тёмная гамма и некоторые его заскоки мне не нравятся, хотя английский грамотный.В общем, первые три (а лучше даже два) сервиса — то, что, в принципе, можно рассматривать в качестве почты (IMHO). Впрочем, как всегда, любой такой сайт может оказаться поднятым очередным любителем, который бросит его тут же, как только ему надоест, поэтому привязываться надо не к мылу, а к активным uid'ам на вашем PGP-ключе.
С зеркалами обычных сайтов в onion-сети есть проблема их авторизованности. Кто-нибудь создаст такой... и будет снифать ваш трафик. Например, какое-то время назад сайт Tor-проекта был доступен как http://idnxcnkne4qt76tg.onion, хотя это зеркало нигде не упоминается на самом сайте Tor. Позже оно умерло. Что это было? Меня вообще удивляет тот факт, что сам сайт https://torproject.org не имеет onion-зеркала — это бы помогло со сбором статистики на Exit-нодах, да и посетителям было бы больше анонимности.
Интересно, как это связано с Whonix[link11]...
Когда-то было вроде даже полуофициально, упоминалось в рассылке кем-то из проекта, но, возможно закрыли из-за невозможности на обычном скрытом сервисе обслуживать слишком много запросов. Подробностей не помню.
Каким образом?
По теме в общем был текст[link13], несколько наивный и в котором много воды, но была поставлена правильная проблема: необходимость ухода от серверной модели почты с PGP к неким специализированным сетям криптосвязи. Вот только пока ещё не до этого не созрели.
Таким, что сейчас Exit-ноды могут смотреть, кто обращается к сайту Tor, кто скачивает дистрибутивы TBB... В случае HS за статистикой мог бы следить только сам сайт Tor'а, а не все, кому ни лень.
У кого-нибудь работает POP3 нa Mail2Tor (и на каком порте)?
Пожалуйста, объясните, почему адрес почты, зарегистрированной на mail2tor2zyjdctd.onion (это mail2tor), получается в форме *@mail2tor.com? Как такой адрес соотносится с HS?
А как, по-вашему, почта вовне будет работать, если будет только onion-адрес? Если есть трансцляция почты во внешку, то каждый ящик имеет 2 адреса: внутренний (onion) и внешний (clear net). Если пишете на тот же mail-сервис или другой HS, с которым есть прямая связь, не выходящая за Tor, то трафик Tor не покидает, всё идёт как onion2onion (HS2HS). А если внешка, то нужен обычный узел с обычным доменом, который будет как отправлять с HS, так и принимать на HS почту.
Вроде зарегистрироваться с извратами можно без JS. Пользоваться без JS и чисто через onion тоже можно, но для этого надо заходить через страницу https://344c6kbnjnljjzlz.onion/horde/mimp/ и не менять mode=minimalist. При использовании иных интерфейсов он может не только автоматически редиректить на vfemail.net, но и не работать (не давать отсылать письма) без JS. Короче, сервис проблематичный, но есть у него один плюс: его ящики не так сильно заблэклистчены у других mail-серверов и вообще на веб-сервисах, как у того же mail2tor.com, поэтому если надо больше гарантий, что ваше письмо-таки дойдёт адресату, можно предпочесть vfemail.
P.S. При отправке писем сервис активно спамит рекламой (добавляется в конец сообщения, причём вы об этом не знаете), и это никак не исправить. Более того, в рекламе пишется, что он хорош против NSA и тотальной слежки. Понятно, что трудно найти лучший способ привлечь внимание того самого NSA к своей переписке, чем писать прямым текстом в каждом отправляемом письме про NSA. Этот сервис ещё и разработчки Tor'а используют[link15]?
А ещё они не додумались отключить https, в итоге траблы с тем, что сертификат выдан на web-домен, а не на onion, из-за чего браузер ругается, надо каждый раз добавлять в исключения. К тому же, https вреден для анонимности, его всюду в onion рекомендуют отключать.
И с кириллицей он не дружит. Если пишут на кириллице, при включенном JS можно прочитать, ткнув на кнопку определённую — тогда открывается в новой вкладке текст с правильной кодировкой. А в минималист-интерфейсе без JS он просто тупо сглатывает весь кириллический текст, как будто его там отродясь не было. С отсылкой своего письма на кириллице вроде тоже траблы, но деталей не помню.
Что касается списка[link16], тут были взяты onion-адреса, засвеченные во всяких разных wiki и списках HSов, а по гуглу не искалось. Если б так же было сделано для джаббера, список[link17] был бы не из 35-ти серверов, как сейчас, а из пяти, причём всех они были бы сдохшие. Для почты тоже было бы хорошо пошерстить гугл... Информация во всяких wiki сильно устаревшая, неактуальная, и много чего там просто нет.
Ага, вот именно по тем же соображениям не хочется указывать второй ящик, который позволяет восстановить доступ к первому: с одной стороны, это хоть какая-то страховка на случай фейла, а, с другой, если взломают один ящик, то взломают все.
Гость (04/09/2014 23:21), спасибо за ответ[link18]. Именно эти детали интересовали.
Пожалуйста. Заходите ещё. :)
Ещё Tor'овские мыльники, попавшие на глаза в сети (ничего не проверялось и не тестировалось):
(сервис systemli[link19], упомянут на их странице)
По ссылке второго сервиса:
Ещё одна onion-почта: http://inocncymyac2mufx.onion [трансляция вовне с домена innocence.se]. Бесплатные аккаунты на трансляцию вовне права не имеют, но можно или заплатить или написать автору, что ты весь из себя активист. Автор на всякий случай запасся свидетельством канарейки[link20].
В дауне.
Интересно, эти 70 нод сразу принадлежали нужным людям или были скомпрометированы? Правда, атаку могли делать и не на нодах, а на других промежуточных узлах в сети. Интервью с администратором[link23].
По вебу HS не отвечает. Заявлено, что регистрация только по приглашениям.
Нет веб-интерфейса к почте.
P.S. Ещё один сервис: http://epjhlyfgxenf2q4o.onion, отправка вовне(?) с t0rmail.com.
С некоторых пор они отключили как шифрованный POP3, так и SMTP, остались только нешифрованные варианты. Шифрованных нет ни как SSL, ни как Tor HS, шифрование осталось только при доступе через веб — крайне странное поведение сервиса.
Ещё один сервис: https://ruggedinbox.com, он же — http://s4bysmmsnraf7eut.onion. Все характеристики отличные:
Правда, свидетельство канарейки они почему-то не додумались подписать своим ключом.
Это новый анонс, или он всегда там висел? Даты не пишут. Ссылки регистрации, разрегистрации и смены пароля открываются, но логин всё ещё возвращает «not found». Какое-то время назад скрытый сервис по этому адресу вообще не открывался, теперь хотя бы страница появилась. Может быть, ещё оживёт.
Настроить ящик без них не получится.
Еще малые неприятности:
"Sorry RuggedInbox.com has limits, only 1 outgoing email every 3 minutes is allowed"
Борьба со спамом. Если не участвовать в рассылках, ограничение не столь существенное (как и другое их ограничение — не более 30 писем в сутки).
Что понимается под настройкой? Веб-морда SquirrelMail, насколько я помню, ни в каком месте не требует JS.
При попытке авторизоваться пишет
Ошибка авторизации сохраняется. Если попытаться зарегистрировать новый ящик, в конце процесса сервис не пишет об успешности и не позволяет потом зайти под новыми данными. Похоже, сервис «всё».
Cерьёзнее неприятность в том, что их squrrelmail, вебморда без JS, не понимает письма на кириллице. Вместо кириллических символов ничего не печатается. Если отправитель и тема письма не содержат латинских символов, его даже не открыть в squrrelmail. Опции посмотреть оригинал письма также нет. В их roundcube всё работает нормально, но там нужен JS.
Для вновь создаваемых ящиков этой проблемы уже нет, но для ранее созданных она сохраняется.
Починили, работает снова, даже содержимое ящиков не потеряли, но зато сломали кириллицу — теперь она отображается в виде HTML-символов XXX.
Мылоподобные сервисы в торе, завязанные на PGP:
http://cwu7eglxcabwttzf.onion
http://uphnm2dgilz4dysl.onion
Не знаю, фишинг это или нет, вот ещё 4 зеркала:
http://5xgrs443ogbyfoh2.onion
http://bt3ehg7prnlm6tyv.onion
http://torsiteyqk5ajx5o.onion
http://zgfgvob256pffy62.onion
Загуглил первую ссылку:
Реакция тор-проекта: