CyberYozh.com Курс по анонимности и безопасности в сети EN

Секрет безопасного логина

В этой главе курса мы рассказывали вам о создании надежного пароля, в этой – как его безопасно хранить, а в этой – как его безопасно вводить, но мы ни слова не сказали о логине. И сейчас у нас есть кое-что важное для вас. 

Большая ошибка многих пользователей – использование одного email на всех сайтах в качестве логина. Хорошо еще, если это отдельный email, так ведь некоторые используют для этого свой личный или рабочий электронный почтовый адрес. 

 

Важно

Не надо использовать один email в качестве логина на разных сайтах и ни в коем случае не стоит использовать для этого личный или рабочий email.

  

Другая крайность – использование для каждого сайта уникального email. Это хорошо с точки зрения безопасности, но требует огромных затрат времени. Нельзя заставлять выполнить невозможное, потому мы не просим читателей курса поступать так.

Если вы используете менеджер паролей, вам не нужно запоминать логин и вы смело можете использовать в качестве логина рандомный набор букв и цифр. Но это в теории, на практике многие сайты требуют использовать email или, по крайней мере, оставляют возможность восстановления доступа при помощи email.

В этом случае злоумышленник, получив доступ к почтовому аккаунту, будет иметь возможность восстановить доступ к другим вашим аккаунтам, где данная почта использовалась в качестве логина. Это необязательно должно быть следствием вашей ошибки, может иметь место проблема у почтового сервиса, как было в случае с Yahoo.

Учитывая эту угрозу, мы готовы предложить вам простое и эффективное решение. Первым делом вы создаете отдельный электронный почтовый ящик для регистрации аккаунтов. Мы рекомендуем завести его в сервисе Protonmail. Затем мы воспользуемся такой замечательной возможностью электронной почты, как наличие игнорируемой части. 

 

Совет

Для регистрации аккаунтов заведите отдельный электронный почтовый ящик.

 

Давайте я на примере поясню, как это работает. Перед вами два адреса электронной почты: test+ivan@protonmail.com и test+petr@protonmail.com. Как вы думаете, если я отправлю на первый электронный адрес письмо, сможет ли владелец второго электронного адреса его прочесть?

На самом деле, на какой бы адрес я ни отправил, получателем будет test@protonmail.com. Google, Яндекс, как и рекомендуемый нами Protonmail, игнорируют все символы, размещенные после знака + и до знака @. Но если вы укажете эти адреса на сайтах в качестве логина, для абсолютного большинства сайтов это будут разные электронные адреса.

Приведу практический пример использования данного секрета. Предположим, вы регистрируетесь на сайте example.com и решили использовать для создания логинов первые 4 символа сайта. При регистрации вы указываете электронный адрес test+exam@protonmail.com. Письмо приходит вам на test@protonmail.com, вы его, разумеется, сразу удаляете, так как в нем может содержаться подлинный логин, и не стоит его хранить.

Если хакер, взломав ваш email, попытается ввести test@protonmail.com как логин на сайте example.com, то получит сообщение, что аккаунт с таким email не зарегистрирован. Даже имея доступ к email для восстановления пароля, хакеру необходимо указать логин, который вы использовали при регистрации на сайте. А вы, зная алгоритм формирования, легко укажете верный логин, даже если он у вас нигде не записан. Вот и весь секрет.

 

Совет

Используйте знак «+» для создания уникальных логинов на сайтах.

 

Рекомендуем произвести смену электронных адресов (логинов) на всех используемых вами сайтах с учетом полученных в этой главе знаний.

Panic Button email

 

 

Interview widget: А вы знали о такой возможности знака «+»?
 
Экстренное уничтожение данных

Присоединяйтесь к анонимному сообществу белых хакеров и
любителей анонимной и безопасной работы в сети.

Присоедениться

© 2018. WebGears Services Ltd. All rights reserved