Two-step authentication: ни за что и никогда и ни при каких обстоятельствах
Долго не пользовался ненужными сервисами, забыл пароль от второй базы пассвордов. Там не было ничего критически важного, но были три сервиса, которые нужно было восстановить: yahoo, gmail, wordpress.
На всех трех подключена two-step authentication. На практике для восстановления пароля оказалось достаточно введения кода, присланного по смс (важное уточнение: в гугл я заходил с того же IP, что и в прошлый раз).
Иными словами, для того чтобы получить доступ к вашему аккаунту, достаточно получить доступ к вашему телефону. Period. Кроме того, если вы живете в Нумибии, где власти легко могут получить доступ к вашему оператору GSM, ваш телефон для доступа к вашим аккаунтам не требуется. Period. Кроме того, если вы посетили Нумибию с целью туризма и т.д., вы даете шанс властям этой страны получить доступ к вашим аккаунтам.
Легко, удобно, просто.
Кстати, тут говорили, что есть тема, мол вся переписка гпг собирается до лучших времен. Как это обойти? Ну не в криптоконтейнеры же сохранять гпг письма и аттачить их к письму.. как паранойу утешить?
В некоторых организациях можно позвонить секретарю, сказать «так и так, я забыл пароль... не могли бы вы его сменить... у меня проблема с доступом к ящику» и получить новый пароль. Никакой дополнительной верификации не требуется, по голосу всех тоже не знают. Впрочем, гугл тоже недалеко ушёл.
Никак. Принять, как данность. Шифрование за тем и создавалось, чтобы коллекционирование шифрованной переписки не имело смысла.
Почта, как протокол с центральным сервером, да ещё и жёстко привязанная к инфраструктуре DNS — устаревшее средство связи, но если выбирать менее поганое из поганого то:
Лично меня мало интересовал вопрос поддержки POP/SMTS к HS, но помню, что некоторые из перечисленных сервисов это поддерживают. Потом, виртуалками и соответствующей программной изоляцией можно поборить сайты хоть на флэше, но, раз авторы некоторых HS требуют включения JS и предлагают мириться с соответствующими угрозами, у меня есть масса поводов сомневаться в их профессионализме (если вообще не сказать доброжелательности к анонимности). Кстати, недавно тут упоминавшийся https://vfemail.net тоже доступен как HS (зеркало авторизовано), но из-за завязки на JS его тоже можно считать неюзабельным.
Дополнительные ограничения на регистрацию (плата, приглашения, биткоины) мне тоже кажутся сомнительными, поэтому любители этих ограничений, в первом приближении, тоже идут в топку. Ещё стоит обратить внимание, как выглядит сайт внешне: эстетичный эргономичный интерфейс, где нет ничего лишнего, и где сразу понятно, где что искать, да ещё и написаный на грамотном английском — 90% рекламы. Яркий представитель такого типа сайта — TorBox. Я бы безусловно счёл его лидером во всех смыслах, если бы не отсутствие PGP-ключа владельца сайта. Вдруг уведут
доменхостинг, уркадут ключи, или из-за дыры придётся менять сервис — как в этом случае сайт будет доказывать пользователям, что он есть он? Одним словом, в этом плане TorBox уступает SIGAINT'у — последний также в целом всем хорош, но тёмная гамма и некоторые его заскоки мне не нравятся, хотя английский грамотный.В общем, первые три (а лучше даже два) сервиса — то, что, в принципе, можно рассматривать в качестве почты (IMHO). Впрочем, как всегда, любой такой сайт может оказаться поднятым очередным любителем, который бросит его тут же, как только ему надоест, поэтому привязываться надо не к мылу, а к активным uid'ам на вашем PGP-ключе.
С зеркалами обычных сайтов в onion-сети есть проблема их авторизованности. Кто-нибудь создаст такой... и будет снифать ваш трафик. Например, какое-то время назад сайт Tor-проекта был доступен как http://idnxcnkne4qt76tg.onion, хотя это зеркало нигде не упоминается на самом сайте Tor. Позже оно умерло. Что это было? Меня вообще удивляет тот факт, что сам сайт https://torproject.org не имеет onion-зеркала — это бы помогло со сбором статистики на Exit-нодах, да и посетителям было бы больше анонимности.
Интересно, как это связано с Whonix...
комментариев: 9796 документов: 488 редакций: 5664
Когда-то было вроде даже полуофициально, упоминалось в рассылке кем-то из проекта, но, возможно закрыли из-за невозможности на обычном скрытом сервисе обслуживать слишком много запросов. Подробностей не помню.
Каким образом?
По теме в общем был текст, несколько наивный и в котором много воды, но была поставлена правильная проблема: необходимость ухода от серверной модели почты с PGP к неким специализированным сетям криптосвязи. Вот только пока ещё не до этого не созрели.
Таким, что сейчас Exit-ноды могут смотреть, кто обращается к сайту Tor, кто скачивает дистрибутивы TBB... В случае HS за статистикой мог бы следить только сам сайт Tor'а, а не все, кому ни лень.
Вроде зарегистрироваться с извратами можно без JS. Пользоваться без JS и чисто через onion тоже можно, но для этого надо заходить через страницу https://344c6kbnjnljjzlz.onion/horde/mimp/ и не менять mode=minimalist. При использовании иных интерфейсов он может не только автоматически редиректить на vfemail.net, но и не работать (не давать отсылать письма) без JS. Короче, сервис проблематичный, но есть у него один плюс: его ящики не так сильно заблэклистчены у других mail-серверов и вообще на веб-сервисах, как у того же mail2tor.com, поэтому если надо больше гарантий, что ваше письмо-таки дойдёт адресату, можно предпочесть vfemail.
Ага, вот именно по тем же соображениям не хочется указывать второй ящик, который позволяет восстановить доступ к первому: с одной стороны, это хоть какая-то страховка на случай фейла, а, с другой, если взломают один ящик, то взломают все.