В этой главе курса мы рассказывали вам о создании надежного пароля, в этой – как его безопасно хранить, а в этой – как его безопасно вводить, но мы ни слова не сказали о логине. И сейчас у нас есть кое-что важное для вас.

Большая ошибка многих пользователей – использование одного email на всех сайтах в качестве логина. Хорошо еще, если это отдельный email, так ведь некоторые используют для этого свой личный или рабочий электронный почтовый адрес. 

Другая крайность – использование для каждого сайта уникального email. Это хорошо с точки зрения безопасности, но требует огромных затрат времени. Нельзя заставлять выполнить невозможное, потому мы не просим читателей курса поступать так.

Если вы используете менеджер паролей, вам не нужно запоминать логин и вы смело можете использовать в качестве логина рандомный набор букв и цифр. Но это в теории, на практике многие сайты требуют использовать email или, по крайней мере, оставляют возможность восстановления доступа при помощи email.

В этом случае злоумышленник, получив доступ к почтовому аккаунту, будет иметь возможность восстановить доступ к другим вашим аккаунтам, где данная почта использовалась в качестве логина. Это необязательно должно быть следствием вашей ошибки, может иметь место проблема у почтового сервиса, как было в случае с Yahoo.

Учитывая эту угрозу, мы готовы предложить вам простое и эффективное решение. Первым делом вы создаете отдельный электронный почтовый ящик для регистрации аккаунтов. Мы рекомендуем завести его в сервисе Protonmail. Затем мы воспользуемся такой замечательной возможностью электронной почты, как наличие игнорируемой части. 

Давайте я на примере поясню, как это работает. Перед вами два адреса электронной почты: [email protected] и [email protected]. Как вы думаете, если я отправлю на первый электронный адрес письмо, сможет ли владелец второго электронного адреса его прочесть?

На самом деле, на какой бы адрес я ни отправил, получателем будет [email protected]. Google, Яндекс, как и рекомендуемый нами Protonmail, игнорируют все символы, размещенные после знака "+" и до знака @, а так же сам знак "+". Но если вы укажете эти адреса на сайтах в качестве логина, для абсолютного большинства сайтов это будут разные электронные адреса.

Приведу практический пример использования данного секрета. Предположим, вы регистрируетесь на сайте example.com и решили использовать для создания логинов первые 4 символа сайта. При регистрации вы указываете электронный адрес [email protected]. Письмо приходит вам на [email protected], вы его, разумеется, сразу удаляете, так как в нем может содержаться подлинный логин, и не стоит его хранить.

Если хакер, взломав ваш email, попытается ввести [email protected] как логин на сайте example.com, то получит сообщение, что аккаунт с таким email не зарегистрирован. Даже имея доступ к email для восстановления пароля, хакеру необходимо указать логин, который вы использовали при регистрации на сайте. А вы, зная алгоритм формирования, легко укажете верный логин, даже если он у вас нигде не записан. Вот и весь секрет.

Рекомендуем произвести смену электронных адресов (логинов) на всех используемых вами сайтах с учетом полученных в этой главе знаний.