Come posso verificare l'identità di qualcuno se l'unico metodo di contatto è il loro indirizzo email?

Naviga le tue risposte
5

Gli indirizzi email possono essere violati o forse anche falsificati. Ho bisogno di pagare le persone tramite paypal e temo che col tempo la posta elettronica delle persone cambierà o si comprometterà. Come posso assicurarmi di pagare l'individuo giusto?

Se chiedo loro di darmi una password personale e in cambio do loro una chiave pubblica univoca, basterà verificare la loro identità supponendo che abbiano preso le precauzioni per rimuovere l'e-mail con la chiave pubblica e inserire la chiave un luogo sicuro?

Il pubblico di destinazione sarà probabilmente la gente che non ha idea di cosa sia il gpg. E alcuni vorrebbero rimanere anonimi. E altri non vorrebbero dare il loro numero di cellulare.

In alternativa, c'è un sito Web in grado di gestire tutto questo?

Un altro punto sull'importanza della domanda: un ladro è una cosa, mi infastidirà e forse danneggerà anche i miei sentimenti e deruberà l'individuo desiderato. Ma c'è una minaccia più seria. Se hai prestato attenzione alle notizie negli ultimi anni, alcuni " persone " si sono concentrati su " causare terrore ". Se cadesse nelle loro mani metterebbe a rischio la vita. Certamente non voglio far festa per questo.

    
posta user2270773 19.07.2015 - 20:35
fonte

4 risposte

13

"Rimanente anonimo" e "verificando l'identità" sono contraddittori, non è vero? Direi che se vuoi pagare qualcuno e garantire che ottengono i soldi, non possono rimanere anonimi.

If I ask them to give me a personal password and in return I give them each a unique public key, will that be enough to verify their identity assuming they took precautions to remove the email with the public key and place the key in a secure place?

Vedo alcuni problemi che potrebbero sorgere:

  1. come ti darebbero la password personale se non per email? Immagino che dovresti descrivere meglio da dove stavi partendo.

  2. l'eliminazione immediata dell'email non garantisce la sicurezza. È possibile impostare account email compromessi per inoltrare le email ad altri conti.

Di solito ciò che si vuole ottenere viene fatto comunicando la "chiave" in un metodo fuori banda come SMS. Coloro che non vogliono divulgare il loro numero dovranno solo rischiare di perdere i loro soldi, immagino.

If it fell into their hands it would put lives at risk.

Che si è intensificato rapidamente ... dovrai spiegare più la minaccia che stai davvero proteggendo se vuoi una risposta più utile!

    
risposta data 19.07.2015 - 21:22
fonte
2

Puoi dimostrare che qualcuno possiede un indirizzo email abbastanza facilmente. Inviate loro un'e-mail contenente un codice casuale e chiedete all'utente di inserire il codice per confermare il loro indirizzo e-mail. Questa è una tecnica molto comune per le iscrizioni online e il codice segreto di solito è nascosto all'interno di un link, che l'utente deve fare clic per confermare.

Come hai identificato, ci sono limitazioni a questa tecnica. Ad esempio, se la loro e-mail è stata compromessa, l'hacker può confermare l'e-mail. La maggior parte dei siti Web non fa nulla per attenuarlo; semplicemente richiedono agli utenti di mantenere i loro indirizzi e-mail sicuri. A proposito, lo spoofing delle e-mail di solito non è un problema in questo contesto, poiché l'indirizzo e-mail viene utilizzato per l'invio di e-mail.

Se hai bisogno di più sicurezza di questa, devi usare canali diversi dalla posta elettronica. Potresti chiedere un numero di telefono e inviare un SMS con un codice casuale. Molti importanti fornitori di servizi webmail (ad esempio, gmail) lo fanno. Oppure chiedere un indirizzo postale e inviare una lettera fisica con un codice casuale. Le verifiche postali tendono a essere fatte solo da organizzazioni finanziarie. Potresti anche andare fino in fondo e dire agli utenti di entrare in uno dei tuoi uffici con un documento d'identità rilasciato dal governo e verificarli di persona. Puoi anche verificare un indirizzo Paypal chiedendo il loro indirizzo postale e verificarlo utilizzando una API che offre Paypal. Tutte queste opzioni offrono diversi livelli di sicurezza e hanno costi diversi. Devi selezionare un compromesso appropriato in base alla sensibilità della tua applicazione.

Non capisco il tuo commento finale sul mettere le vite a rischio. Potresti spiegare un po 'di più su come il tuo sito web rischia di mettere a rischio la vita? Se è davvero così importante, è necessario prendere una consulenza di esperti al di là di ciò che Security Stack Exchange può offrire.

    
risposta data 19.07.2015 - 21:19
fonte
0

Tutto si riduce alla fiducia e alla competenza delle parti coinvolte. Se si invia loro una password (cioè un segreto condiviso) e i destinatari dimenticano di eliminarlo e rimangono nella casella di posta, qualsiasi utente malintenzionato con accesso a tale account può rivendicare di essere il destinatario rientrato e sarà anche in grado di eseguire transazioni valide.

Potresti utilizzare un impegno servizio per una maggiore sicurezza.

    
risposta data 19.07.2015 - 20:54
fonte
0

A volte apprendere in anticipo è la soluzione migliore. Decidi i limiti in cui i tuoi avversari sono piazzati, quindi cerca di usare metodi sicuri che superino i limiti che si trovano sui tuoi avversari. Ad un certo punto in possesso di un segreto scambiato è ciò su cui si basa un trasferimento paypal. Puoi trasferire volontariamente fondi dal tuo conto al loro o inviarti una richiesta di fondi via email. Ora il problema sorge se un utente malintenzionato ottiene l'accesso all'account paypal o all'indirizzo email o entrambi. Paypal ha implementato l'identificazione di due fattori rendendo molto più difficile l'attacco. Diversi provider di posta elettronica hanno anche. Al di fuori di imparare a usare GPG quelle sono le tue migliori opzioni.

    
risposta data 06.11.2015 - 17:47
fonte

Leggi altre domande sui tag

Sto ricevendo e-mail di spam ... da me stesso? L'exploit di overflow del buffer funziona con gdb ma non senza