Email di recupero per servizi di posta elettronica

Naviga le tue risposte
5

Il famoso Mat Honan hack mi ha fatto pensare a -mail recupero della password, e come qualsiasi link nella catena può rompere tutti i link che lo precedono. Nell'esempio di Mat, quel collegamento è risultato essere l'ultimo link e l'intera catena si è rotta.

Specificamente, Mat ha utilizzato il suo indirizzo GMail come email di recupero per tutti i suoi servizi e ha utilizzato la sua e-mail Apple come indirizzo di recupero per GMail. Pertanto, una volta che il suo account e-mail Apple è stato compromesso, GMail è stato compromesso e tutti i suoi servizi sono stati presto seguiti.

Comprendo la necessità di recupero della posta elettronica per i servizi Web in generale. Tuttavia, l'uso di un indirizzo di recupero della posta elettronica per un servizio di posta elettronica suona come l'aggiunta di un collegamento ridondante alla catena, raddoppiando i punti di vulnerabilità (ora l'utente malintenzionato può hackerare sia il tuo principale che il tuo recupero account email). Inoltre, qual è l'e-mail di recupero che utilizzi per l'e-mail di recupero? Avere una e-mail per il ripristino di recupero aggiunge ancora un altro punto di errore, e quando finalmente si interrompe la catena e non la si usa, si può scoprire che ne siete bloccati proprio quando ne avete più bisogno!

È vero che l'attaccante non può conoscere l'indirizzo della mail di recupero, ma come ha dimostrato il caso di Mat, può dedurlo (nel suo caso capendo il pattern offuscato di Google, dove nascondono alcuni dei personaggi). E se rendi difficile dedurli, stai rendendo difficile dedurlo: la maggior parte di noi usa un singolo indirizzo e-mail e se si imposta un indirizzo speciale solo a scopo di verifica è probabile che tu lo dimentichi pochi anni dopo.

Ho avuto un paio di idee:

  1. Non utilizzare affatto un'e-mail di recupero per l'e-mail principale. Attiva semplicemente l'autenticazione a 2 fattori e rendi il tuo link più strong (che dovresti comunque fare con tutti i tuoi servizi importanti).
  2. Utilizza l'indirizzo e-mail di un amico. Se hai un amico / familiare che sai che ti preoccupa per la sicurezza tanto quanto te (e quindi ha anche l'autenticazione a 2 fatti), potresti usare il suo indirizzo. Ora un utente malintenzionato deve hackerare due persone, ed è altamente improbabile che indovinasse anche quale mail ha bisogno di hackerare - ma probabilmente lo riconoscerai immediatamente (suppongo che potresti non essere più in contatto con amico dopo molti anni, quindi forse un membro della famiglia è preferibile qui). Potresti anche impostarti l'un l'altro come attivatori di mutuo ripristino.

Mi piacerebbe sentire i tuoi pensieri sulla mia analisi.

    
posta t0x1n 26.08.2014 - 23:48
fonte

3 risposte

4

Come ho detto, il punteggio massimo è stato assegnato a @JeffClayton per l'utilizzo esclusivo di un account e-mail per il recupero della password. Tuttavia, per una maggiore sicurezza:

Ogni mese, installa una nuova versione di TAILS su un'unità USB. Usa TAILS per creare l'account e TAILS per accedervi. Non appena avrai installato TAILS sul drive, esegui il boot e cambia la password (ogni mese). Quando cambi la tua password, tieni presente che la maggior parte delle password è conforme a un certo numero limitato di regole: di solito si basano su 1-3 parole, di solito parole personali per te e di solito terminano con un numero o carattere speciale. Pertanto, suggerisco di estrarre 4-5 parole casuali dal dizionario e di mettere i numeri e i caratteri speciali da qualche parte nel mezzo della stringa (forse un numero casuale a 3 cifre tra ogni parola). Quindi, anche se il server è compromesso, purché implementino un buon hashing / crittografia, dovresti sentirti al sicuro.

Ovviamente, dovresti utilizzare solo indirizzi di posta elettronica usa e getta (non associati ad altri account) per i siti in cui qualcuno potrebbe essere in grado di VEDERE il tuo indirizzo e-mail.

    
risposta data 27.08.2014 - 02:32
fonte
4

Non prenderei in considerazione l'idea di utilizzare l'e-mail di un familiare o di un amico per essere una buona idea, per motivi che menzioni tu stesso o semplicemente se cambiano una password. Vorrei creare un nuovo indirizzo email e usarlo, ma per nessun altro scopo. In questo modo non metterei a rischio anche gli altri.

2-Factor non è una cattiva idea. Più è difficile per un utente malintenzionato comprometterti, spesso aggiungendo un tocco personale, meglio è. Nulla è mai completamente sicuro in base alla determinazione e al livello di abilità di una persona o gruppo di persone decise a intervenire, ma richiedendo passaggi e ritardando i loro sforzi consente più tempo per il rilevamento di intrusioni e contromisure.

Se hai più di un account online, ad esempio un conto bancario, un account paypal e un account email principale, ad esempio (tra gli altri), potrebbe essere intelligente avere indirizzi email diversi per il recupero di ciascuno. In questo modo, se uno viene compromesso, anche gli altri non vengono compromessi.

    
risposta data 27.08.2014 - 01:55
fonte
-1

L'idea generale per il recupero della password e-mail è la diffusione del rischio, o piuttosto la diluizione del rischio attraverso la diversificazione. Per intenderci, la probabilità che qualcuno si fenda in 2 conti separati è meno che sfondare in uno solo. È un altro modo per i provider di spingere la responsabilità verso l'utente finale e altri fornitori.

    
risposta data 30.04.2015 - 04:35
fonte

Leggi altre domande sui tag

Quanto è facile per gli hacker ottenere accesso non autorizzato alle risorse su un telefono Android? In che modo il fattore di costo BCRYPT di PHP_rip_hash () si traduce in tempi di calcolo di cracking