idea per rilevare le violazioni dei dati consentendo agli utenti di creare alias email monouso con un clic

Naviga le tue risposte
0

La mia idea è per un popolare provider di posta elettronica (ad esempio Gmail) per consentire agli utenti di creare indirizzi e-mail eliminabili generati automaticamente come alias per il loro account principale, al fine di rilevare violazioni dei dati nelle aziende a cui gli utenti inviano il loro indirizzo email. (Nota: sono consapevole che questa funzione esiste su alcuni provider di posta elettronica poco usati, ma che non risolve questo problema, per le ragioni discusse di seguito).

In questo modo, quando crei un account con una società come eBay, crei un alias email usa e getta da assegnare a tale società e annoti l'alias con una nota come "Inviato a eBay il 29 giugno 2018". I messaggi verso quell'alias vengono comunque inoltrati alla tua casella di posta. Ma se ricevi mai spam inviato a quell'indirizzo, sai che il database dei membri di quella società è stato compromesso.

Ora, ottenere spam a quell'indirizzo non garantisce assolutamente che il database dei membri dell'azienda sia stato compromesso, forse qualcuno ha installato malware sul computer dell'utente che ha catturato il loro alias mentre lo stava generando. Tuttavia, se molti utenti iniziano a ricevere spam all'indirizzo dell'alias che hanno generato per eBay (ma non agli indirizzi alias che hanno generato per altri siti), e tutti iniziano a lamentarsi su di esso contemporaneamente su Facebook, quindi questo è probabile che eBay sia stato compromesso .

Ora so che ci sono opzioni là fuori che sembrano quasi-ma-non-abbastanza come questo, ma ecco perché non penso che risolvano questo problema:

  • provider di posta elettronica poco usati che ti consentono di creare alias usa e getta per il tuo indirizzo email, come sto descrivendo. Ciò consente al singolo utente di scoprire a quale servizio si è verificata la violazione, e di bloccare eventuali e-mail future a tale indirizzo. Il problema con questi servizi è che se uno di questi siti viene generalmente riconosciuto come un modo per rilevare le violazioni e se l'utente malintenzionato desidera ritardare la rilevazione della violazione, può semplicemente evitare di inviare posta agli indirizzi di quella lista, purché il dominio di posta elettronica non è ampiamente utilizzato, l'aggressore non rinuncerà molto. Quindi, questo aiuterebbe l'utente a evitare lo spam dalle violazioni dei dati, ma non li aiuterebbe a contribuire al crowdsourcing del rilevamento di tali violazioni dei dati. (Inoltre, se si tratta di una società oscura, chissà se sarà in giro per molto tempo? Se falliscono, devi passare tutti gli indirizzi e-mail di appartenenza a un nuovo dominio.) L'unico modo per evitare questo problema è se il provider di posta elettronica è un popolare fornitore di servizi come Gmail, Hotmail, ecc.

  • aggiungendo qualcosa con un segno "+" come [email protected] alla fine del tuo indirizzo email. Questo non funziona perché l'utente malintenzionato può facilmente rimuovere "+ customextension" da tutti gli indirizzi email prima di inviarli spam.

Quindi, le mie domande sono:

  1. C'è qualche ragione particolare per cui ciò non funzionerebbe e non fornirebbe un servizio pubblico prezioso per rilevare violazioni dei dati?
  2. Questa idea è stata discussa o promossa altrove? Perché non ho trovato nulla che difendesse questo approccio. (Ricorda, sto parlando specificatamente di una spinta per un importante fornitore di servizi di posta elettronica ad adottare questo come una funzione, non se questa funzione esiste su un servizio di posta elettronica poco conosciuto. sta offrendo questo servizio, che risolve il problema per l'utente , ma non risolve questo problema, che è il crowdsourcing scalabile del rilevamento delle violazioni.)
posta Bennett 29.07.2018 - 23:50
fonte

1 risposta

1

Riesco a vedere parecchi motivi per cui i grandi provider non vorrebbero farlo, sebbene non tutti lo siano dal punto di vista della sicurezza.

In primo luogo, hanno già un numero enorme di indirizzi e-mail che a un certo punto sono selezionati da un umano, e molti di questi sono terribili - hanno una lunga serie di numeri casuali alla fine e non sono memorabili nemmeno per i proprietari. Aggiungendo la possibilità per ogni utente di generare ulteriori indirizzi e-mail si ridurrebbe ulteriormente la fornitura di nomi utente e-mail accettabili, soprattutto perché si desidera che siano indistinguibili dagli indirizzi principali (altrimenti la tua obiezione all'aggiunta di + società si applica anche a questi).

In secondo luogo, forniscono già il modello di capacità di filtro (la società +), che funziona "abbastanza bene" per la maggior parte delle persone. Può essere facilmente aggirato, è vero, ma può anche essere usato per altri scopi, quindi è essenzialmente una funzione bonus (da quello che posso dire, era previsto che le aziende potessero inviare automaticamente gli invii di moduli nelle cartelle impostando l'indirizzo di invio a + feedback, + reclami, ecc.). Gli alias sono già integrati e, se sei un cliente a pagamento con il tuo dominio, puoi utilizzarli quanto vuoi.

Ciò fa emergere il terzo punto: offrono effettivamente questo per le persone che effettivamente li pagano già per il servizio. Potrebbe essere considerato un incentivo per iscriversi, piuttosto che usare semplicemente il servizio gratuito.

In questo caso non sembra che ci sia molto vantaggio per i provider di posta elettronica. Sono aziende, dopo tutto, e hanno speso un sacco di sforzi in termini di rilevamento dello spam e di nasconderlo agli utenti. Se vedi spam, non riescono a filtrare e se gli utenti non vedono lo spam, non ne parleranno.

Se volevano individuare potenziali violazioni, probabilmente hanno comunque i dati: cercare indirizzi email che ottengano messaggi da servizi specifici, riferimenti incrociati con messaggi indesiderati e effettuare una chiamata in base alla probabilità. Questo probabilmente sarebbe più affidabile rispetto all'approccio crowdsourcing, dal momento che sono disponibili più dati.

    
risposta data 30.07.2018 - 11:11
fonte

Leggi altre domande sui tag

Perché viene utilizzato PKCS? [chiuso] Cosa succede se la mia chiave privata viene rubata nella rete di fiducia?