Где лучше держать почту для регистраций
Не знаю, как в яндукс-почте, а в gmail есть привязка к телефону, куда, в случае проёба пароля, отправят СМС.
+ двухэтапная авторизация (один этап посредством СМС) очень удобна.
+ двухэтапная авторизация (один этап посредством СМС) очень удобна.
Двухфакторная аутентификация+использование почтовых алиасов. При регистрации вводится алиас, а не реальный адрес почты.
Сейчас аутлук позволяет использовать и то и то, например, если религия не позволяет пользовать гуглопочту.
Сейчас аутлук позволяет использовать и то и то, например, если религия не позволяет пользовать гуглопочту.
это конечно очень хорошо, но двухфакторная аутенфикация - сразу лесом, а привязка к телефону есть и на яндексе, что кстати меня весьма печалит, ибо доступ к телефону (а точнее даже к смскам) - доступ ко всему. телефон можно потерять, его могут укрась, там может завестись вирус (никто не защищён от багов). смски доступны куче народу. помимо самих опсосов по тем или иным каналам смски могут получить конторы, которые на них работают. например я счас работаю в конторе, которую не буду называть, но с безопасностью и доступом к личным данным абонентов тут беда,а работает она с 2 из 3 операторов сотовой связи.
+ помимо кражи учётки можно лишиться просто так - ни в чью-то пользу. например по пользовательскому соглашению гугл может просто заблочить твою учётку. и такое переодически случается.
+ помимо кражи учётки можно лишиться просто так - ни в чью-то пользу. например по пользовательскому соглашению гугл может просто заблочить твою учётку. и такое переодически случается.
Двухфакторная аутентификация+использование почтовых алиасов. При регистрации вводится алиас, а не реальный адрес почты.а алиасы то чем помогут?
Сейчас аутлук позволяет использовать и то и то, например, если религия не позволяет пользовать гуглопочту.
в плане что указывать в качестве алиаса?
я вот этим сервисом пользуюсь всегда http://shitmail.me/
У меня нет проблемы нагенерить одноразовых ящиков на все случаи жизни. У меня с точностью до наоборот другое желание: сделать ящик, который всегда будет мой, который нельзя будет окончательно проебать и т.п.
Я вот думаю специально для этого зарегать домен в зоне .net или org. Вопрос только в том в чьей они юрисдикции? Таки американской или всё-таки междунродной?
Я вот думаю специально для этого зарегать домен в зоне .net или org. Вопрос только в том в чьей они юрисдикции? Таки американской или всё-таки междунродной?
У меня нет проблемы нагенерить одноразовых ящиков на все случаи жизни. У меня с точностью до наоборот другое желание: сделать ящик, который всегда будет мой, который нельзя будет окончательно проебать и т.п.Вроде ты вполне ясно формулируешь свои мысли, и по первому посту я понял что ты хочешь, но остальные трое, отметившиеся в этом треде, написали какую-то фигню, только отдалённо имеющую отношение к поставленному вопросу. Неужели они на столько по другому мыслят?...
Я вот думаю специально для этого зарегать домен в зоне .net или org. Вопрос только в том в чьей они юрисдикции? Таки американской или всё-таки междунродной?В любом случае придётся на что-то закладываться. Домены будешь регистрировать у регистратора, который требует email и аккаунт у которого тоже могут украсть. Так же домен могут прикрыть за любое формальное нарушение или из-за изменения законодательства в стране регистратора. Историю переименования торрентс.ру в рутрекер.орг помнишь? Это конечно менее вероятно, чем изменение политики тындекса и корпорации бобра, но тоже не исключено.
Так что остаётся только выбрать домен первого уровня и регистратора.
вроде домены в зонах .com и .net счас можно зарегить у нескольких регистраторов.
и интересует пункт про то можно ли указать в качестве мыла мыло на этом домене. Например у мелокософта: Registrant Email: microsoft.com. хотя даже если нельзя, то для того чтобы сменить владельца домена регистратор вроде обычно хочет, что-то по-существенне, чем просто логин-пароль. например нотариально заверенное заявление владельца, где ФИО совпадает с регистрационными данными. короче на сколько я понимаю домен надёжнее мыла.
что всё всё-таки с юрисдикцией доменов net и org? есть ли подчинение законам какой-то страны?
и интересует пункт про то можно ли указать в качестве мыла мыло на этом домене. Например у мелокософта: Registrant Email: microsoft.com. хотя даже если нельзя, то для того чтобы сменить владельца домена регистратор вроде обычно хочет, что-то по-существенне, чем просто логин-пароль. например нотариально заверенное заявление владельца, где ФИО совпадает с регистрационными данными. короче на сколько я понимаю домен надёжнее мыла.
что всё всё-таки с юрисдикцией доменов net и org? есть ли подчинение законам какой-то страны?
там может завестись вирусто есть когда ты включаешь компьютер (неважно, какая у тебя там почта), то у тебя нет паранои, что злобный вирус украдёт все твои пароли, деньги с аккаунтов и банковских карт?
ну типа вирусы под линукс гораздо более редкая вещь, чем вирусы под андроид. во-вторых линупс у меня регулярно обновляются, а андроид в силу специфичности платформы - нет. украсть деньги вирусу на компьютере не получится. а вот вирусу на андройде - вполне. перехватить смски - гораздо более тривиальная задача, чем поймать меня на вводе пароля за компом.
кстати я готов оставит произвольному человеку свой ноут и быть спокоен за судьбу своих паролей и учёток. а оставить произвольному человеку свой телефоне не решусь именно по причине того, что счас пароль на тот же яндекс можно восстановить на телефон, даже если я этого не хочу. телефон конечно заблокирован ключом, но от вытащенной симки это не спасёт.
судя по твоим требованиям, тебя спасёт почта вообще у себя. На сервере в шкафу (или даже прямо на ноуте).
У симкард тоже можно включить пинкод. Так к слову.
Разве я спрашивал где хостить почту? Вроде я все посты говорю о доменных именах, регистраторах и юрисдикциях.
У меня есть сервер под столом и почту своего домена я туда смогу мигрировать в любой момент максимум за двое суток, если яндек.почта для доменов меня внезапно расстроит. На практике за пару часов почта переедет. Но я при всём желании не смогу туда перевести yandex.ru и gmail.com.
вон понял вопрос, что ж остальные всё так тупят?
У меня есть сервер под столом и почту своего домена я туда смогу мигрировать в любой момент максимум за двое суток, если яндек.почта для доменов меня внезапно расстроит. На практике за пару часов почта переедет. Но я при всём желании не смогу туда перевести yandex.ru и gmail.com.
вон понял вопрос, что ж остальные всё так тупят?
>Неужели они на столько по другому мыслят?
Вообще да, значит, я не совсем понял вопроса, так как мои и приуса советы рассчитаны на использование имеющихся сервисов. Лично я не готов вкладывать время и деньги в отказоустойчивую почту, т.к. никаких важных данных там не храню. У ТС значит, другой случай.
Пароль через смс спасает от брутфорса. А алиас вообще спасает от попыток взлома, так как твой реальный адрес (а следовательно, и логин в почту) нигде не светится (в айклауде под псевдонимом заходить в учетку нельзя, в аутлуке, как оказалось, можно
). Может я в этом не прав, поправьте.
Вообще да, значит, я не совсем понял вопроса, так как мои и приуса советы рассчитаны на использование имеющихся сервисов. Лично я не готов вкладывать время и деньги в отказоустойчивую почту, т.к. никаких важных данных там не храню. У ТС значит, другой случай.
Пароль через смс спасает от брутфорса. А алиас вообще спасает от попыток взлома, так как твой реальный адрес (а следовательно, и логин в почту) нигде не светится (в айклауде под псевдонимом заходить в учетку нельзя, в аутлуке, как оказалось, можно
). Может я в этом не прав, поправьте.Для конструктива стоит начать с детального описания задачи и рисков.
Тезисно:
Использование состоит из трех составляющих: владение, работа и защита.
Владение - считается, что тот кто контролирует доступ других к инструменту, тот и владелец.
Владение может быть юридическим (по документам) или техническим (у кого ключи).
Работа - инструмент находится в рабочем состоянии, позволяя выполнять требуемый функционал
Защита - к функционалу не имеют доступа те, кому доступ не давали
Угрозы (по мере увеличения):
- временный отказ работы - отказ в обслуживании: временно не получается воспользоваться функционалом инструмента
- постоянный отказ работы - сломалось с концами
- временный отказ защиты - постороннее лицо временно получило доступ к функционалу
- постоянный отказ защиты - (теоретически примеры такого можно придумать, на практике такого мало)
- временная потеря владения - типично для многоуровневных систем владения. например, мошеннически увели домен, но через суд получилось востановить
- постоянная потеря владения
Причины рисков:
- отказ в выполнении своей работы (банкротство провайдера, смена деятельности и т.д.)
- атака (далее по видам)
1)общая/персониализированная: на общую атаку выделяется минимум ресурсов, на персониализированную атаку могут выделяться значительные средства. Пример общей атаки: увести аккаунты у которых пароль qwerty
2)"на дурака"/техническая/юридическая/физическая/социо-инженеринг(мошеничество)
"на дурака" - использование ошибок пользователя: слабый пароль, засвеченный пароль, переиспользование пароля, низкая компьютерная грамотность, человеческий фактор и т.д.
техническая - использование слабостей в ПО
юридическая - использование дыр в законодательстве, судебное преследование
физическая - паяльник
социо-инженеринг(мошеничество) - подделка документов, подмена реальной личности и т.д.
3)на пользователя/на провайдера
на пользователя - атакуется пользователь или его оборудование
на провайдера - атакуется оборудование, сотрудники и т.д. посредников, предоставляющих услуги для пользователя
Типичные приемы против указанных рисков:
- резервирование
- многоуровневость
- сокрытие информации
Ps
От чего вышеперечисленного ты хочешь защититься?
Чему больше доверяешь: техническому владению или юридическому?
Тезисно:
Использование состоит из трех составляющих: владение, работа и защита.
Владение - считается, что тот кто контролирует доступ других к инструменту, тот и владелец.
Владение может быть юридическим (по документам) или техническим (у кого ключи).
Работа - инструмент находится в рабочем состоянии, позволяя выполнять требуемый функционал
Защита - к функционалу не имеют доступа те, кому доступ не давали
Угрозы (по мере увеличения):
- временный отказ работы - отказ в обслуживании: временно не получается воспользоваться функционалом инструмента
- постоянный отказ работы - сломалось с концами
- временный отказ защиты - постороннее лицо временно получило доступ к функционалу
- постоянный отказ защиты - (теоретически примеры такого можно придумать, на практике такого мало)
- временная потеря владения - типично для многоуровневных систем владения. например, мошеннически увели домен, но через суд получилось востановить
- постоянная потеря владения
Причины рисков:
- отказ в выполнении своей работы (банкротство провайдера, смена деятельности и т.д.)
- атака (далее по видам)
1)общая/персониализированная: на общую атаку выделяется минимум ресурсов, на персониализированную атаку могут выделяться значительные средства. Пример общей атаки: увести аккаунты у которых пароль qwerty
2)"на дурака"/техническая/юридическая/физическая/социо-инженеринг(мошеничество)
"на дурака" - использование ошибок пользователя: слабый пароль, засвеченный пароль, переиспользование пароля, низкая компьютерная грамотность, человеческий фактор и т.д.
техническая - использование слабостей в ПО
юридическая - использование дыр в законодательстве, судебное преследование
физическая - паяльник
социо-инженеринг(мошеничество) - подделка документов, подмена реальной личности и т.д.
3)на пользователя/на провайдера
на пользователя - атакуется пользователь или его оборудование
на провайдера - атакуется оборудование, сотрудники и т.д. посредников, предоставляющих услуги для пользователя
Типичные приемы против указанных рисков:
- резервирование
- многоуровневость
- сокрытие информации
Ps
От чего вышеперечисленного ты хочешь защититься?
Чему больше доверяешь: техническому владению или юридическому?
От всего 
Из перечисленнх тобой угроз не сильно напрягает меня только временный отказ работоспособности.
И я бы поменял местами потерю защиты и потерю владения. Лучше самому не пользоваться сервисом, чем им будет пользоваться кто-то ещё. Хотя это зависит от типа атаки. Далее можно рассуждать от типов атаки, но я в первую очередь боюсь не атаки, а факапов, тоесть событий, которых я не могу предотвратить и проконтролировать.
Примеры: бан учётки гуглом, бешеный принтер (любой страны), изменение политики какой-то компании.
Из атак я боюсь преимущественно общих. Персонализированные низкого уровня ээээ выделенных средств меня не сильно напрягают - от них есть общеизвестные методы защиты. А на среднем уровне рулит паяльник. Высший персонализированный уровень атаки - неуловимый джо.
В волшебном мире эльфов я больше верю в техническое владение, но электронная почта, которую я хочу защитить, там не работает. У них там своя почта, а наша почта ходит в реальном мире и я предпочитаююридическое владение. Причём хочу заметить: я больше в данном случае хочу защитить возможность получать.новую почту, чем.старые письма.
Из перечисленнх тобой угроз не сильно напрягает меня только временный отказ работоспособности.
И я бы поменял местами потерю защиты и потерю владения. Лучше самому не пользоваться сервисом, чем им будет пользоваться кто-то ещё. Хотя это зависит от типа атаки. Далее можно рассуждать от типов атаки, но я в первую очередь боюсь не атаки, а факапов, тоесть событий, которых я не могу предотвратить и проконтролировать.
Примеры: бан учётки гуглом, бешеный принтер (любой страны), изменение политики какой-то компании.
Из атак я боюсь преимущественно общих. Персонализированные низкого уровня ээээ выделенных средств меня не сильно напрягают - от них есть общеизвестные методы защиты. А на среднем уровне рулит паяльник. Высший персонализированный уровень атаки - неуловимый джо.
В волшебном мире эльфов я больше верю в техническое владение, но электронная почта, которую я хочу защитить, там не работает. У них там своя почта, а наша почта ходит в реальном мире и я предпочитаююридическое владение. Причём хочу заметить: я больше в данном случае хочу защитить возможность получать.новую почту, чем.старые письма.
Полностью разделяю твои тревоги и мысли. Но добавляю к ещё проблему сохранения приватности. Кроме, конечно, случаев, когда речь идёт о местах, где раскрытие личности необходимо и/или желательно (к примеру, операции с банковским счётом, что-то по работе/учёбе, покупка чего-то именного).
В случае, если я деанонимизируюсь, то всё предельно ясно: я использую университетскую почту (естесственно, первоначально я поинетересовался её судьбой у техподдержки).
Если я хочу остаться анонимным, то тут два варианта: менее анонимный, но более надёжный - это, конечно, на свой домен. По идее домены .com, .net, .org не привязаны к законодательству какой-либо страны, но ICANN находится в USA, так же как Verisign (корневой регистратор com и net) и PIR (корневой регистратор org). В википедии можно найти ссылки, когда домены с неusaшными владельцами и регистраторами закрывались usaшным олигархическим режимом: http://www.theregister.co.uk/2012/03/01/bodog_shut_via_veris...
Однако, я пока пользуюсь доменом в зоне .com и надеюсь остаться неуловимым Джо. Для пущей анонимности записал там левые данные. Всё равно едва ли они станут запрашивать сканы документов (если что легко обходится с помощью the Gimp) или личной явки (что просто нереализуемо, когда владельцы доменов находятся по всему миру). То есть я отказался от юридического владения, оставив техническое и получив взамен бóльшую анонимность.
Совсем анонимный вариант - это регистрация на совсем левую общедоступную почту. Тут я бы ранее рекомендовал lavabit, но под давлением NSA он был прикрыт. Я пока пользуюсь для этого гуглом, но в поиске более адекватной альтернативы (недавно создавал здесь тред об этом, просил там ещё единого веб-клиента для e-mail и XMPP). Пока ничего лучше zoho и яндекса не нашёл.
Если тебя совсем не волнуют приватность/анонимность, но только сохранность доступа, то по-моему домен на твоё имя у регистратора, офис которого находится в физической доступности от тебя, в домене с открытой для всех (не только для граждан определённой страны) регистрацией - лучший вариант. При потере технического владения ты всегда сможешь восстановить его личной явкой в офис. Домен .in, судя по википедии, таковым является и только 60% владельцев - индийские граждане.
В случае, если я деанонимизируюсь, то всё предельно ясно: я использую университетскую почту (естесственно, первоначально я поинетересовался её судьбой у техподдержки).
Если я хочу остаться анонимным, то тут два варианта: менее анонимный, но более надёжный - это, конечно, на свой домен. По идее домены .com, .net, .org не привязаны к законодательству какой-либо страны, но ICANN находится в USA, так же как Verisign (корневой регистратор com и net) и PIR (корневой регистратор org). В википедии можно найти ссылки, когда домены с неusaшными владельцами и регистраторами закрывались usaшным олигархическим режимом: http://www.theregister.co.uk/2012/03/01/bodog_shut_via_veris...
Однако, я пока пользуюсь доменом в зоне .com и надеюсь остаться неуловимым Джо. Для пущей анонимности записал там левые данные. Всё равно едва ли они станут запрашивать сканы документов (если что легко обходится с помощью the Gimp) или личной явки (что просто нереализуемо, когда владельцы доменов находятся по всему миру). То есть я отказался от юридического владения, оставив техническое и получив взамен бóльшую анонимность.
Совсем анонимный вариант - это регистрация на совсем левую общедоступную почту. Тут я бы ранее рекомендовал lavabit, но под давлением NSA он был прикрыт. Я пока пользуюсь для этого гуглом, но в поиске более адекватной альтернативы (недавно создавал здесь тред об этом, просил там ещё единого веб-клиента для e-mail и XMPP). Пока ничего лучше zoho и яндекса не нашёл.
Если тебя совсем не волнуют приватность/анонимность, но только сохранность доступа, то по-моему домен на твоё имя у регистратора, офис которого находится в физической доступности от тебя, в домене с открытой для всех (не только для граждан определённой страны) регистрацией - лучший вариант. При потере технического владения ты всегда сможешь восстановить его личной явкой в офис. Домен .in, судя по википедии, таковым является и только 60% владельцев - индийские граждане.
надо писать свой векторный гипертекстовый распределенный p2p сервис EterMail, который будет принимать почтовые сообщения на хитро-сгенерированные имена ящиков, почта хранится у каждого из пиров а-ля база транзакций биткоинов, но в шифорванном виде, доступ по секретному ключу, который ты выучишь наизусть. у пиров, которые хотят, поднят шлюз из обычной почты в p2p.
хотя всё равно ничего не получится, проблема в гейтах в эту систему от "обычных" почтовиков.
почта содержит в своем адресе доменное имя. соответственно надёжнее, чем доменное имя ничего сделать нельзя, всё упирается в проёб домена и соответственную потерю почты.
надо педалировать спец-домен для адресов p2p сервисов, причем чтобы он был нейтрален по отношению к сервисам.
хотя всё равно ничего не получится, проблема в гейтах в эту систему от "обычных" почтовиков.
почта содержит в своем адресе доменное имя. соответственно надёжнее, чем доменное имя ничего сделать нельзя, всё упирается в проёб домена и соответственную потерю почты.
надо педалировать спец-домен для адресов p2p сервисов, причем чтобы он был нейтрален по отношению к сервисам.
Так вот какой домен - наиболее надёжно?
Имхо - никакой, то есть любой могут отобрать при обстоятельствах разной степени уникальности-бредовости.
Например, вдруг владелец домена - новый Сноуден?
А вообще почему-то мне вспоминаются Кокосовы острова и Эквадор. Ну и еще где там борды регистрируются к примеру - Сомали, Гонконг, но это уже не надёжно по причине того что тот же Сомали может вообще перестать существовать с довольно высокой вероятностью.
Например, вдруг владелец домена - новый Сноуден?
А вообще почему-то мне вспоминаются Кокосовы острова и Эквадор. Ну и еще где там борды регистрируются к примеру - Сомали, Гонконг, но это уже не надёжно по причине того что тот же Сомали может вообще перестать существовать с довольно высокой вероятностью.
Короче, нужен свой интернет с блекджеком и шлюхами?
внезапно, да
и уже довольно давно нужен
P.S.
с DNS и ICANN
и уже довольно давно нужен
P.S.
с DNS и ICANN
Не-не. свой интернет нужен точно без icann. в своём интернете только криптоанархия. всё децентрализованно и через ключи. у кого ключи, тот и владелец. желательно естественно, чтобы главный ключ своего домена можно было хранить на флэшке под дубом в саду, а для работы было достаточно подписанного сетификата.
боюсь только и криптоанархия со временем выродится в право сильного - у кого больше кластер из квантовых компьютеров - тот и хозяин.
а еще железо самим надо будет делать, начиная от ведра кварцевого песка.
а еще железо самим надо будет делать, начиная от ведра кварцевого песка.
это конечно очень хорошо, но двухфакторная аутенфикация - сразу лесом, а привязка к телефону есть и на яндексе, что кстати меня весьма печалит, ибо доступ к телефону (а точнее даже к смскам) - доступ ко всему. телефон можно потерять, его могут укрась, там может завестись вирус (никто не защищён от багов). смски доступны куче народу. помимо самих опсосов по тем или иным каналам смски могут получить конторы, которые на них работают. например я счас работаю в конторе, которую не буду называть, но с безопасностью и доступом к личным данным абонентов тут беда,а работает она с 2 из 3 операторов сотовой связи.Сдаётся мне, ты не в курсе, как работает двухфакторная аутентификация - это раз.
Два - если ты на телефоне пользуешься почтой, её и так сопрут, если смогут вирусы залить. Если же не пользуешься, то одного телефона будет недостаточно, т.к. аутентификация потому и называется двухфакторной, что нужно и пароль, и код вводить.
да уж откуда мне быть в курсе как работает двухфакторная аутенфикация. 
Сдаётся мне ты не понимаешь чем плоха двухфакторная аутенфикация.
Да - злоумышленик не может получить доступ к моей почте без телефона, но ведь и я не смогу!
При этом имея в руках телефон аутенфикация становится по сути однофакторной, потому что пароль можно сбросить и получить новый на телефон, а потом с этим паролем и одноразовым ключом залогиниться. Тоесть владение телефоном даёт владение паролем, но не наоборот. (естественно надо знать имя учётной записи, но если это мыло для регистраций, то оно светится постоянно). Не знаю как у тебя, но у меня больше доверия к работе своего ноута. Да - в теории я тоже могу стать жертвой фишинга (хотя я слежу за адресной строкой), словить кейлогер под никсы, но по мне так это гораздо более низкая вероятность, чем потерять телефон или оставить его дома. Или вообще лишиться телефонного номера по тем или иным причинам. (ну я не знаю убью я там кого-нить и буду скрываться)
Гораздо более надёжная конструкция это разные пароли для доступа к сервису с разными правами. Чтоб можно было назначить себе пароль только на чтение почты и пользоваться им со слабозащищённых машин. Но такой фичи я пока ни у кого из титанов не видел, а перевозить почту к себе только из-за этого я не очень хочу.
Сдаётся мне ты не понимаешь чем плоха двухфакторная аутенфикация.
Да - злоумышленик не может получить доступ к моей почте без телефона, но ведь и я не смогу!
При этом имея в руках телефон аутенфикация становится по сути однофакторной, потому что пароль можно сбросить и получить новый на телефон, а потом с этим паролем и одноразовым ключом залогиниться. Тоесть владение телефоном даёт владение паролем, но не наоборот. (естественно надо знать имя учётной записи, но если это мыло для регистраций, то оно светится постоянно). Не знаю как у тебя, но у меня больше доверия к работе своего ноута. Да - в теории я тоже могу стать жертвой фишинга (хотя я слежу за адресной строкой), словить кейлогер под никсы, но по мне так это гораздо более низкая вероятность, чем потерять телефон или оставить его дома. Или вообще лишиться телефонного номера по тем или иным причинам. (ну я не знаю убью я там кого-нить и буду скрываться)
Гораздо более надёжная конструкция это разные пароли для доступа к сервису с разными правами. Чтоб можно было назначить себе пароль только на чтение почты и пользоваться им со слабозащищённых машин. Но такой фичи я пока ни у кого из титанов не видел, а перевозить почту к себе только из-за этого я не очень хочу.
Да - злоумышленик не может получить доступ к моей почте без телефона, но ведь и я не смогу!http://support.google.com/accounts/answer/185834?hl=en#phone
При этом имея в руках телефон аутенфикация становится по сути однофакторной, потому что пароль можно сбросить и получить новый на телефон, а потом с этим паролем и одноразовым ключом залогиниться.Для этого ещё нужно знать пин на телефоне.
Тоесть владение телефоном даёт владение паролем, но не наоборот. (естественно надо знать имя учётной записи, но если это мыло для регистраций, то оно светится постоянно).Как я уже говорил в своём посте - если у тебя почта на телефоне, то ты обречён в любом случае. Наличие или отсутствие двухфакторной на этот риск никак не влияет.
Не знаю как у тебя, но у меня больше доверия к работе своего ноута. Да - в теории я тоже могу стать жертвой фишинга (хотя я слежу за адресной строкой), словить кейлогер под никсы, но по мне так это гораздо более низкая вероятность, чем потерять телефон или оставить его дома.См. ответ 1.
Или вообще лишиться телефонного номера по тем или иным причинам. (ну я не знаю убью я там кого-нить и буду скрываться)Ты точно в курсе про time-based two-factor authentication?
Гораздо более надёжная конструкция это разные пароли для доступа к сервису с разными правами. Чтоб можно было назначить себе пароль только на чтение почты и пользоваться им со слабозащищённых машин. Но такой фичи я пока ни у кого из титанов не видел, а перевозить почту к себе только из-за этого я не очень хочу.Как тебе это поможет, если ты всё ещё хочешь иметь возможность восстановить пароль, если что?
http://support.google.com/accounts/answer/185834?hl=en#phoneи как это спасает от забытого дома телефона?
Как я уже говорил в своём посте - если у тебя почта на телефоне, то ты обречён в любом случае. Наличие или отсутствие двухфакторной на этот риск никак не влияет.Если у меня нет почты на телефоне, то я и так спасён. А если у меня нет почты на телефоне, но есть двухфакторная аутенфикация, то не спасён. Чуешь разницу?
См. ответ 1.а он то тут причём?
Ты точно в курсе про time-based two-factor authentication?более чем. я сейчас такую делаю для нашей платформы на работе. вот только кто такое из титанов предоставляет? у яндекса есть токены для генерации паролей, но они только для яндекс.денег.
Как тебе это поможет, если ты всё ещё хочешь иметь возможность восстановить пароль, если что?А кто тебе сказал такую глупость, что я хочу иметь возможность восстановить пароль? Я вполне способен запомнить пароли, а шифрованную копию записать на несколько разных носителей и надёжно сохранить.
и как это спасает от забытого дома телефона
Для доверенных девайсов телефон не нужен, только для новых.
более чем. я сейчас такую делаю для нашей платформы на работе. вот только кто такое из титанов предоставляет? у яндекса есть токены для генерации паролей, но они только для яндекс.денег.Эм. Все? Или под титанами ты понимаешь кого-то помимо Google и Microsoft?
а чё? у гугла есть аппаратные токены?
http://www.google.com/intl/ru/landing/2step/features.html
Или ты про смешную поделку под названием "одноразовые пароли по смс"?
http://www.google.com/intl/ru/landing/2step/features.html
Или ты про смешную поделку под названием "одноразовые пароли по смс"?
onion же
Туда нельзя получить почту из общей сети.
Так займись же исправлением сего досадного недоразумения.
Это не возможно в силу принципов работы общепринятой системы электронной почты. Ну или можно через гейты, но тогда нет никакой разницы в надёжности.
Eсть же Google Authenticator, генрирует одноразовые пароли оффлайн в зависимости от времени.
Дай угадаю. Это такое приложение для смартфона? И чем оно лучше смсок? Ну кроме того что, смски проходят через опсосов.
Это такое приложение для смартфона? И чем оно лучше смсок? Ну кроме того что, смски проходят через опсосов.Да, приложение. Лучше тем, что каждый привязанный экземпляр приложения можно в любой момент отозвать через dashboard.
Пост минусо-сборник.
Меня вообще печалят форумчане, которые довольны сложившейся ситуацией и пытаются убедить меня в надёжности имеющихся механизмов. Есть некоторые, которые задумываются, но либо большинство из них молчат из-за паранои, либо их очень мало.
Кстати интересно есть ли корреляция с деланьем бэкапов?
Мне вот кажется, что , , и даркгрэй делают бэкапы всех сколько нибудь важных персональных данных, а вот мазай, лост, и приус - нет. Хотя может я и ошибаюсь, а может счас все макоебы а там вроде джобс уже подумал о бэкапах по-умолчанию.
Меня вообще печалят форумчане, которые довольны сложившейся ситуацией и пытаются убедить меня в надёжности имеющихся механизмов. Есть некоторые, которые задумываются, но либо большинство из них молчат из-за паранои, либо их очень мало.
Кстати интересно есть ли корреляция с деланьем бэкапов?
Мне вот кажется, что , , и даркгрэй делают бэкапы всех сколько нибудь важных персональных данных, а вот мазай, лост, и приус - нет. Хотя может я и ошибаюсь, а может счас все макоебы а там вроде джобс уже подумал о бэкапах по-умолчанию.
а там вроде джобс уже подумал о бэкапах по-умолчанию.Они не по умолчанию. Однако резервное копирование в самом деле невероятно легко настроить.
А больше всех бэкапы делает айвенго. Только и делает, что бэкапится. 
Да потому что та «безопасность», которую хочешь устроить себе ты, граничит с паранойей. Если тебе реально есть что скрывать, то добьёшься того, что терморектальный криптоанализ в отношении тебя будет провести эффективней, чем ломать какую-то там почту, а против автоматизированных попыток взлома на данный момент существующие методы вполне годны.
Тред не читай! Сразу отвечай!
Ещё один газификатор лужи.
В первую очередь речь идёт не о потере ящика в результате взлома, а потере ящика в результате изменения политики держателя сервера. Вот завтра тындекс скопытиться и удалит все ящики - что делать будешь?
Второй шаг - свой домен. Но и тут засада - ведь могут и домен отобрать под любым формальным предлогом.
Ещё один газификатор лужи.
В первую очередь речь идёт не о потере ящика в результате взлома, а потере ящика в результате изменения политики держателя сервера. Вот завтра тындекс скопытиться и удалит все ящики - что делать будешь?
Второй шаг - свой домен. Но и тут засада - ведь могут и домен отобрать под любым формальным предлогом.
Вот завтра тындекс скопытиться и удалит все ящики - что делать будешь?Бабы на кайене, поднявшиеся на серваках фдснета, приедут в яндекс?
Вот завтра тындекс скопытиться и удалит все ящики - что делать будешь?ок, всерьёз обсуждать вероятность скопычивания яндекса или гугла — это не паранойя, да? сдаётся мне, тогда у всех будут гораздо бОльшие проблемы чем доступ к каким-то учёткам вконтактике, так как на эту почту должен прийти забытый пароль.
что должно произойти в мире, чтобы единомоментно рухнула почта гугла или яндекса без возможности восстановления? прямое попадание метеорита в датацентр, атомная война, приход Чим Чен Ына к власти в США?
ок, всерьёз обсуждать вероятность скопычивания яндекса или гуглаМожет хватит передёргивать?
Тындекс может просто взять и послать любого пользователя нах. Чем это для пользователя будет отличаться от скопычивания? В обоих случаях ящика больше нет.
что должно произойти в мире, чтобы единомоментно рухнула почта гугла или яндекса без возможности восстановления?конкурент появится, который будет развиваться быстрее, а потом яндекс купит с целью уничтожить
или акционеры решат, что сервис больше не нужен
собственно так и перестают работать компании
Дай угадаю. Это такое приложение для смартфона? И чем оно лучше смсок? Ну кроме того что, смски проходят через опсосов.емнип оно работает на базе некоего открытого алгоритма, который всегда можно реализовать вне смартфона
Тред не читай! Сразу отвечай! Ещё один газификатор лужи.
В первую очередь речь идёт не о потере ящика в результате взлома, а потере ящика в результате изменения политики держателя сервера. Вот завтра тындекс скопытиться и удалит все ящики -что делать будешь?
Ну на самом деле вопрос взлома он тут тоже незримо присутствует, а к онцу треда он опять вылез на первый план руками фанатов двухфакторной аутенфикации. Так что вероятно тред он читал и отвечал на мой пост о параноее вообще.
Они могут, например, в какой-то момент решить, что userbase им позволяет заставлять заводить аккаунт на гугле всех желающих отправить мессадж их пользователю. В связи с этим, отключить server2server ну и перейти на свой протокол (чтобы вместо любого мейл-клиента, люди ставили их проприетарщину). Они уже так сделали с джаббером, например. Соцсети так делают с самого начала и их пользователям это не кажется ненормальным.
Угу можно купить орудруино, батарейку, экранчик, нормальные аппаратные часы для орудруино и замутить свой токен для аутенфикации. И жилетку модели вассерман.
конкурент появится, который будет развиваться быстрее, а потом яндекс купит с целью уничтожить
или акционеры решат, что сервис больше не нужен
и ты реально считаешь, что при этом вот так возьмут и какой-то сервис закроют без предупреждения за N месяцев, что
как в Гугле или Яндексе реализован отказ конкретному пользователю в обслуживании? Нужна ли связь эл. почты с конкретной личностью или нет? за какие нарушения это могут сделать?
как в Гугле или Яндексе реализован отказ конкретному пользователю в обслуживании?типа заходишь на страничку и читаешь, что этот аккаунт был подозрительный и теперь он закрыт
и ты реально считаешь, что при этом вот так возьмут и какой-то сервис закроют без предупреждения за N месяцев, что сраные юзеры, валите дорогие пользователи, озаботьтесь тем, чтобы с 1 июля вас тут ничего не держало?может предупредят, а может не до этого будет - сократят например всех, чтоб косты срезать
я пока ещё не делаю бэкапы, но очень переживаю из-за этого и вообще мне стыдно.
ты вообще пытаешься понять что тебе пишут? я же как раз про то, что невозможность - она не принципиальная и если будет достаточно желающих, то возможность появится.
ты вообще пытаешься понять что тебе пишут? я же как раз про то, что невозможность - она не принципиальная и если будет достаточно желающих, то возможность появится.давай уточним. я говорю, что не возможно надёжно скрестить общепринятую систему электронной почты и tor mail (ну или что ты подразумевал под onion). это можно сделать через гейт, но это говно и костыль.
массовое распространение децентрализованной анонимной почты возможно, только если государства и большой брат плотно возьмётся за хомячков в интернетах.
и ты реально считаешь, что при этом вот так возьмут и какой-то сервис закроют без предупреждения за N месяцев, что сраные юзеры, валите дорогие пользователи, озаботьтесь тем, чтобы с 1 июля вас тут ничего не держало?Они могут сделать всё, что им заблагорассудится. Вот Google Reader закрыли с предупреждением, конечно, но не посмотрели, что это была самая популярная web-rss-читалка.
Меня поражает, что люди не могут осознать простую, казалось бы, вещь: крупная корпорация с акциями в свободной продаже единственное, о чём заботится - это о доходе. И лояльность пользователя их интересует только в той мере, в какой влияет на финансовые вопросы. Если они решат, что количество потерянных пользователей от изменения принесёт меньше убытков, чем само изменение доходов, то они это изменение сделают. По-моему это предельно очевидно.
P.S. Вот сейчас опять всплыл топик "Я перестал разбираться в интернете", где такой случай просто клинический и почти всеобщий: люди себя старыми называют, песенки сочиняют и так далее (и тоже, кстати, про Google). Я всё хотел там откоментировать, но так и не смог из-за перманентного фейспалма, который тот тред вызывает.
да и даже если будет предоставлено время для миграции. далеко не все сервисы позволяют сменить адрес почты.
далеко не все сервисы позволяют сменить адрес почты.примеры в студию. только желательно полезных и не бестолковых
Они могут сделать всё, что им заблагорассудится. Вот Google Reader закрыли с предупреждением, конечно, но не посмотрели, что это была самая популярная web-rss-читалка.
Меня поражает, что люди не могут осознать простую, казалось бы, вещь: крупная корпорация с акциями в свободной продаже единственное, о чём заботится - это о доходе.
да, с предупреждением. у всех было масса времени подыскать альтернативы.
если мне вдруг скажут, что почта гугла с 1 марта перестанет работать, я найду альтернативы, забэкаплюсь и будет щастье. А в случае её закрытия без предупреждения, возникает противоречие с твоим пунктом о заботах о прибыли: даже если предположить, что гуглопочта убыточна, то её резкий вендекапец означает падение стоимости акций до -9000.
если мне вдруг скажут, что почта гугла с 1 марта перестанет работать, я найду альтернативы, забэкаплюсь и будет щастье.а у тебя записаны все сервисы, где ты регистрировался на эту почту? и ты не будешь в отпуске в таиланде во время рассылки предупреджения?
А в случае её закрытия без предупреждения, возникает противоречие с твоим пунктом о заботах о прибыли: даже если предположить, что гуглопочта убыточна, то её резкий вендекапец означает падение стоимости акций до -9000.есть такое явление - недружественное поглощение, тогда такое падение ожидаемо
а у тебя записаны все сервисы, где ты регистрировался на эту почту? и ты не будешь в отпуске в таиланде во время рассылки предупреджения?к одновременному счастью и сожалению, я не проверяю почту только тогда, когда я в горах на высоте 5000 метров и интернета там просто нет, кроме спутникового. Это где-то неделя-другая в году. И после я разбираю всю почту.
В самой почте обычно сохраняются приветственные письма с сервисов о регистрации + на самом деле всё почта у меня хранится локально, т.к. получаю её клиентом, где я могу проследить что я на неё регистрировал. Плюс честно, мне на ум не лезут такие сервисы, на которые нельзя забить в случае чего и потом не зарегистрироваться заново, если ты не помнишь об их существовании и том, что там надо почту поменять.
Поэтому, грубо говоря, подготовиться к закрытию почты на гугле я могу. Не за неделю, правда: с учётом того, что ещё 2 корпоративных домена у нас юзают почту от гугла, то на полный переход с заменой всех записей в ДНС, выкачивании почты и перенастройки пользователей на другие настройки уйдёт где-то от двух недель до месяца.
есть такое явление - недружественное поглощение, тогда такое падение ожидаемо
я, если честно, не в теме, но ты можешь чтобы меня просто осадить примером в стиле:
„IT контора А в 2007-м году поглотила IT-контору Б, после чего все пользователи Б были посланы в зад, все их данные к чертям собачьим пропали“?
тогда на этом спор будет сразу закончен твоей победой.
кстати, о птичках.
Релиз GNUnet 0.10, фреймворка для построения безопасных P2P-сетей
может на основе этой шняги можно замутить желаемое?
например, там у нея внутре есть свой DNS, (GNS) и соответствующий домен .gnu
не подскажут ли благородные доны, что будет если отправить по обычному smtp/pop письмо на адрес в домене .gnu? что нужно сделать, чтобы такое письмо дошло и нельзя ли сделать это надёжно за счет множества гейтов, адрес которых не должен иметь значения для адреса получателя письма в .gnu?
Релиз GNUnet 0.10, фреймворка для построения безопасных P2P-сетей
может на основе этой шняги можно замутить желаемое?
например, там у нея внутре есть свой DNS, (GNS) и соответствующий домен .gnu
не подскажут ли благородные доны, что будет если отправить по обычному smtp/pop письмо на адрес в домене .gnu? что нужно сделать, чтобы такое письмо дошло и нельзя ли сделать это надёжно за счет множества гейтов, адрес которых не должен иметь значения для адреса получателя письма в .gnu?
„IT контора А в 2007-м году поглотила IT-контору Б, после чего все пользователи Б были посланы в зад, все их данные к чертям собачьим пропали“?Пример с покупкой с разбегу не нагуглил, но вот последний пример внезапного закрытия без возможности миграции как раз сервиса электронной почты. http://www.inopressa.ru/article/09aug2013/guardian/lava.html
Или вот очень клиенто-ориентированный амазон внезапно закрыл сервис: http://www.companion.ua/articles/content?id=141767
или вот внезапно AOL закрыло сервис и послало всех клиентов нахуй. http://mashable.com/2013/04/26/aol-music-closes/
не подскажут ли благородные доны, что будет если отправить по обычному smtp/pop письмо на адрес в домене .gnu?Почтовый сервер не сможет отрезолвить домен и пошлёт тебе ответ что домена не существует.
что нужно сделать, чтобы такое письмо дошло и нельзя ли сделать это надёжно за счет множества гейтов, адрес которых не должен иметь значения для адреса получателя письма в .gnu?можно уговорить сервер через который ты послыаешь смотреть в тор сеть и уметь работать с тамошней почтой.
можно слать письмо на адрес gnu-net-dome.gnu.gnu-gateway-domain.com. При этом тебе надо соответстующе настроить dns сервера и почтовый сервер для домена gnu-gateway-domain.com, чтоб он переслыла письма в обычную сеть. Как сделать обратно - хз. не очень в курсе как внутри работает эта гнунет-почта.
Собственно об этом я и писал выше.
пример внезапного закрытия без возможности миграции как раз сервиса электронной почты.Да fds-net же.
ну купит допустим, а клиентскую базу то ему зачем нах посылать?
ну купит допустим, а клиентскую базу то ему зачем нах посылать?непрофильное направление потому что
например, купят яндекс из-за пробок и маркета, а почта не нужна, только место в ДЦ жрёт и электричество и обслуживать её надо, а акционеры требуют сократить косты срочно, потому что из-за слияния и так курс акций опустился (обычно так бывает)
Пример с покупкой с разбегу не нагуглил, но вот последний пример внезапного закрытия без возможности миграции как раз сервиса электронной почты. http://www.inopressa.ru/article/09aug2013/guardian/lava.htmlок, принято
Или вот очень клиенто-ориентированный амазон внезапно закрыл сервис: http://www.companion.ua/articles/content?id=141767
или вот внезапно AOL закрыло сервис и послало всех клиентов нахуй. http://mashable.com/2013/04/26/aol-music-closes/
ты ничего не понял.
Ну тогда дай чтоли более развёрнутый комментарий, чтобы донести свою мысль. А то ты пишешь какие-то однострочные малосвязные комменты, а потом тебя почему-то не понимают.
Я уже написал все что хотел, тут вроде не детский сад, чтобы по нескольку раз досконально разжевывать.
onion же
Так займись же исправлением сего досадного недоразумения.
ты вообще пытаешься понять что тебе пишут? я же как раз про то, что невозможность - она не принципиальная и если будет достаточно желающих, то возможность появится.
ты ничего не понял.
Я уже написал все что хотел, тут вроде не детский сад, чтобы по нескольку раз досконально разжевывать.
Напомнило:
Каменный Философ считался существом чрезвычайно разумным, а его пророчества — непогрешимыми. Например, в самый разгар Гражданской войны в США он уверенно заявил: «Эти парни своего не упустят!». Уточняющие вопросы Философ проигнорировал. Не удалось выяснить и к чему, собственно, относились его судьбоносные фразы: «Не хотел бы я оказаться на его месте», «Ничего-ничего, дальше будет хуже» и «Необходимость этого была обусловлена» <Авторы официально заявляют, что они не имеют в виду какое-либо консалтингово-аналитическое агенство.>. Тем не менее, все сказанное тщательно протоколировалось и становилось предметом бурных дискуссий, а также огромного количества докторских диссертаций.
молодец, я очень за тебя рад.
Гы.гы. А вот и увод сервиса через увод домена:
http://habrahabr.ru/post/210718/
http://habrahabr.ru/post/210718/
Гы.гы. А вот и увод сервиса через увод домена:Ну что тут скажешь. Крякеру (как всегда по ошибке названному хакером), конечно, респект. Награда однозачно заслужена.
http://habrahabr.ru/post/210718/
Регистратор, безусловно, идиот - фактически передал домен левому человеку. Последние четыре цифры карточки я могу наблюдать на билетике на автобус, например - то есть это вообще ни разу не секретная информация. Я думаю, что жертве следовало на них жаловаться в арбитраж и с наибольшей вероятностью он был бы выигран (особенно если при регистрации указывалась реальная инфа).
В остальном жертва вроде бы ничего глупого не делала. Ну разве что не стоило держать все яйца в одной корзине: как я понял, e-mail для всех регистраций был тот же, что и основной и использовался для всего, поэтому крякер легко его узнал, а к одному аккаунту у регистратора было привязано множество доменов. Тогда как минимум последствия взлома чего-нибудь одного, были бы минимальны.
Ещё он, по всей видимости, выкладывал в паблик личную инфу (как это, впрочем, сейчас делает большинство). Вряд ли бы крякеру дали 4 цифры номера или регистратор отдал домен, если бы он не знал имени жертвы.
Вообще, я всегда относился с опаской к различным системам сброса паролей через контрольные вопросы, кодовые слова и всякое такое. По мне так доступ должен предоставляться только тому, кто знает логин и пароль. Восстановление - разве что на e-mail.
P.S. Ужасный перевод, еле нашёл ссылку на оригинал.
Оставить комментарий
YUAL
Адрес почты - крайне важный ресурс в интернетах. Все учётные записи так или иначе привязываются к адресу почту. И я подозреваю, что чем дальше, тем глубже всё будет завязано на это - интернет проникает повсюду.В связи с этим возникает проблема - утеря электронной почты влечёт утрату контроля за учётными записями на других ресурсах.
Последние лет 10 я для регистраций пользуюсь почтой на яндексе. Года 3 у меня есть почта на своём домене в зоне .in, но на неё я почти ничего не регаю. Ну вот на днях меня что-то внезапно взолновал вопрос: если я такой внезапно потеряю доступ к почте на яндексе, то у меня будут некоторые проблемы. Причины потери могут быть разные: кража (самый печальный, так приведёт к тому что могут быть украдены многие другие аккаунты), блокировка учётной записи из-за нарушения каких либо правил, внезапный кирдык яндексу. С моей почтой в зоне .in тоже может что-нить случится. Например индия поменяет законодательство и захочет скан индийского паспорта. В связи с этим вопрос: как правильно выбрать адрес на который будут завязаны другие сервисы? Как решают эту проблему форумчане-параноики?