id: Гость   вход   регистрация
текущее время 09:04 24/10/2017
Автор темы: Гость, тема открыта 03/08/2014 00:03 Печать
Категории: инфобезопасность, защита email, атаки
https://www.pgpru.com/Форум/ПрактическаяБезопасность/Two-stepAuthenticationНиЗаЧтоИНикогдаИНиПриКакихОбстоятельствах
создать
просмотр
ссылки

Two-step authentication: ни за что и никогда и ни при каких обстоятельствах

Долго не пользовался ненужными сервисами, забыл пароль от второй базы пассвордов. Там не было ничего критически важного, но были три сервиса, которые нужно было восстановить: yahoo, gmail, wordpress.


На всех трех подключена two-step authentication. На практике для восстановления пароля оказалось достаточно введения кода, присланного по смс (важное уточнение: в гугл я заходил с того же IP, что и в прошлый раз).


Иными словами, для того чтобы получить доступ к вашему аккаунту, достаточно получить доступ к вашему телефону. Period. Кроме того, если вы живете в Нумибии, где власти легко могут получить доступ к вашему оператору GSM, ваш телефон для доступа к вашим аккаунтам не требуется. Period. Кроме того, если вы посетили Нумибию с целью туризма и т.д., вы даете шанс властям этой страны получить доступ к вашим аккаунтам.


Легко, удобно, просто.


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (03/08/2014 01:15)   <#>
Все логично – к черту привязку к мобильным. Мобильный только ИРЛ и только для своих в Сети мы же все анонимы. Для пущей уверенности хотел добавить телефон в гугл, это почта для меня в ИРЛ, чтобы подозрений не было, но я сам спалился начав пользовать гпг на этой почте, так что забил. Ваще надо свой почтовый сервис создать для себя и для понтов вкрячить на главную страницу регу по инвайтам за 100БТС. Чтобы никто не понял, что домен мой и я там один. А имя домена общее сделать, типа smail.is и все. Надоели эти анальные зонды.
Кстати, тут говорили, что есть тема, мол вся переписка гпг собирается до лучших времен. Как это обойти? Ну не в криптоконтейнеры же сохранять гпг письма и аттачить их к письму.. как паранойу утешить?
— Гость (03/08/2014 01:16)   <#>
Есть современные шифропанковские проекты, или там все тухло? Что-нибудь из жеской криптоанархии посоветуйте, прям чтобы по беспределу. Спасибо.
— Гость (04/08/2014 02:27)   <#>

В некоторых организациях можно позвонить секретарю, сказать «так и так, я забыл пароль... не могли бы вы его сменить... у меня проблема с доступом к ящику» и получить новый пароль. Никакой дополнительной верификации не требуется, по голосу всех тоже не знают. Впрочем, гугл тоже недалеко ушёл.


Никак. Принять, как данность. Шифрование за тем и создавалось, чтобы коллекционирование шифрованной переписки не имело смысла.


Почта, как протокол с центральным сервером, да ещё и жёстко привязанная к инфраструктуре DNS — устаревшее средство связи, но если выбирать менее поганое из поганого то:
АдресТрансляция почты вовнеPGP-ключ админаWeb-интерфейсJSПометки
Годное
TorBoxТолько на некоторые HS, с которыми есть соответствующая договорённость.НетSquirrelMailНе нуженНарушает права Tor как торговой марки(?).
SIGAINTИмеется (домен sigaint.org). Кроме того, почта на Torbox, Lelantos и mail2tor посылается через Tor (HS2HS).ЕстьSquirrelMailНе нужен
Mail2TorЕсть (домен mail2tor.com).НетSquirrelMailНе нуженСлишком корявый и неформальный английский, много ошибок, как будто школьник создавал сайт. На странице http://mail2tor.com много ура-эмоций и заявлений, смахивающих на кулхацкерские.
Трэш и угар
mailtorЕсть (домен mailtor.net).НетSquirrelMailНе нуженУ сайта есть какие-то странные то ли клоны, то ли зеркала (см. пример). Или в качестве платы за сервис или для защиты от спамовых регистраций (до конца сам не понял) требуют какой-то pin number для биткоинов. Если его не предоставлять, грозятся закрыть аккаунт.
tormailПланируется, но пока не работает (домен tormail.to).НетWebmailНе нужен для регистрации (и, возможно, чтения корреспонденции — не проверялось), но нужен для отправки писем.Сервис пока ещё в «α-стадии».

Лично меня мало интересовал вопрос поддержки POP/SMTS к HS, но помню, что некоторые из перечисленных сервисов это поддерживают. Потом, виртуалками и соответствующей программной изоляцией можно поборить сайты хоть на флэше, но, раз авторы некоторых HS требуют включения JS и предлагают мириться с соответствующими угрозами, у меня есть масса поводов сомневаться в их профессионализме (если вообще не сказать доброжелательности к анонимности). Кстати, недавно тут упоминавшийся https://vfemail.net тоже доступен как HS (зеркало авторизовано), но из-за завязки на JS его тоже можно считать неюзабельным.

Дополнительные ограничения на регистрацию (плата, приглашения, биткоины) мне тоже кажутся сомнительными, поэтому любители этих ограничений, в первом приближении, тоже идут в топку. Ещё стоит обратить внимание, как выглядит сайт внешне: эстетичный эргономичный интерфейс, где нет ничего лишнего, и где сразу понятно, где что искать, да ещё и написаный на грамотном английском — 90% рекламы. Яркий представитель такого типа сайта — TorBox. Я бы безусловно счёл его лидером во всех смыслах, если бы не отсутствие PGP-ключа владельца сайта. Вдруг уведут домен хостинг, уркадут ключи, или из-за дыры придётся менять сервис — как в этом случае сайт будет доказывать пользователям, что он есть он? Одним словом, в этом плане TorBox уступает SIGAINT'у — последний также в целом всем хорош, но тёмная гамма и некоторые его заскоки мне не нравятся, хотя английский грамотный.

В общем, первые три (а лучше даже два) сервиса — то, что, в принципе, можно рассматривать в качестве почты (IMHO). Впрочем, как всегда, любой такой сайт может оказаться поднятым очередным любителем, который бросит его тут же, как только ему надоест, поэтому привязываться надо не к мылу, а к активным uid'ам на вашем PGP-ключе.

С зеркалами обычных сайтов в onion-сети есть проблема их авторизованности. Кто-нибудь создаст такой... и будет снифать ваш трафик. Например, какое-то время назад сайт Tor-проекта был доступен как http://idnxcnkne4qt76tg.onion, хотя это зеркало нигде не упоминается на самом сайте Tor. Позже оно умерло. Что это было? Меня вообще удивляет тот факт, что сам сайт https://torproject.org не имеет onion-зеркала — это бы помогло со сбором статистики на Exit-нодах, да и посетителям было бы больше анонимности.
— Гость (04/08/2014 03:28)   <#>

Интересно, как это связано с Whonix...
— unknown (04/08/2014 09:51, исправлен 04/08/2014 10:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Когда-то было вроде даже полуофициально, упоминалось в рассылке кем-то из проекта, но, возможно закрыли из-за невозможности на обычном скрытом сервисе обслуживать слишком много запросов. Подробностей не помню.



Каким образом?


По теме в общем был текст, несколько наивный и в котором много воды, но была поставлена правильная проблема: необходимость ухода от серверной модели почты с PGP к неким специализированным сетям криптосвязи. Вот только пока ещё не до этого не созрели.

— Гость (04/08/2014 10:31)   <#>

Таким, что сейчас Exit-ноды могут смотреть, кто обращается к сайту Tor, кто скачивает дистрибутивы TBB... В случае HS за статистикой мог бы следить только сам сайт Tor'а, а не все, кому ни лень.

При посещении скрытых ресурсов анонимность повышается за счёт того, что отслеживать внутренний шифрованый и стандартизированный трафик в сети Tor сложнее, чем выходящий наружу.
— Гость (28/08/2014 19:37)   <#>
У кого-нибудь работает POP3 нa Mail2Tor (и на каком порте)?
— Гость (01/09/2014 13:44)   <#>
Пожалуйста, объясните, почему адрес почты, зарегистрированной на mail2tor2zyjdctd.onion (это mail2tor), получается в форме *@mail2tor.com? Как такой адрес соотносится с HS?
— Гость (04/09/2014 23:21)   <#>
А как, по-вашему, почта вовне будет работать, если будет только onion-адрес? Если есть трансцляция почты во внешку, то каждый ящик имеет 2 адреса: внутренний (onion) и внешний (clear net). Если пишете на тот же mail-сервис или другой HS, с которым есть прямая связь, не выходящая за Tor, то трафик Tor не покидает, всё идёт как onion2onion (HS2HS). А если внешка, то нужен обычный узел с обычным доменом, который будет как отправлять с HS, так и принимать на HS почту.
— Гость (15/12/2014 18:18)   <#>

Вроде зарегистрироваться с извратами можно без JS. Пользоваться без JS и чисто через onion тоже можно, но для этого надо заходить через страницу https://344c6kbnjnljjzlz.onion/horde/mimp/ и не менять mode=minimalist. При использовании иных интерфейсов он может не только автоматически редиректить на vfemail.net, но и не работать (не давать отсылать письма) без JS. Короче, сервис проблематичный, но есть у него один плюс: его ящики не так сильно заблэклистчены у других mail-серверов и вообще на веб-сервисах, как у того же mail2tor.com, поэтому если надо больше гарантий, что ваше письмо-таки дойдёт адресату, можно предпочесть vfemail.
— Гость (15/12/2014 18:26)   <#>
P.S. При отправке писем сервис активно спамит рекламой (добавляется в конец сообщения, причём вы об этом не знаете), и это никак не исправить. Более того, в рекламе пишется, что он хорош против NSA и тотальной слежки. Понятно, что трудно найти лучший способ привлечь внимание того самого NSA к своей переписке, чем писать прямым текстом в каждом отправляемом письме про NSA. Этот сервис ещё и разработчки Tor'а используют?
— Гость (15/12/2014 18:28)   <#>
А ещё они не додумались отключить https, в итоге траблы с тем, что сертификат выдан на web-домен, а не на onion, из-за чего браузер ругается, надо каждый раз добавлять в исключения. К тому же, https вреден для анонимности, его всюду в onion рекомендуют отключать.
— Гость (15/12/2014 18:38)   <#>
И с кириллицей он не дружит. Если пишут на кириллице, при включенном JS можно прочитать, ткнув на кнопку определённую — тогда открывается в новой вкладке текст с правильной кодировкой. А в минималист-интерфейсе без JS он просто тупо сглатывает весь кириллический текст, как будто его там отродясь не было. С отсылкой своего письма на кириллице вроде тоже траблы, но деталей не помню.
— Гость (16/01/2015 15:10)   <#>
Что касается списка, тут были взяты onion-адреса, засвеченные во всяких разных wiki и списках HSов, а по гуглу не искалось. Если б так же было сделано для джаббера, список был бы не из 35-ти серверов, как сейчас, а из пяти, причём всех они были бы сдохшие. Для почты тоже было бы хорошо пошерстить гугл... Информация во всяких wiki сильно устаревшая, неактуальная, и много чего там просто нет.
— Гость (16/01/2015 15:16)   <#>

Ага, вот именно по тем же соображениям не хочется указывать второй ящик, который позволяет восстановить доступ к первому: с одной стороны, это хоть какая-то страховка на случай фейла, а, с другой, если взломают один ящик, то взломают все.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3