Перейти к содержимому


Фотография

Стоит ли для каждой новой биржи делать отдельную почту для регистрации и логин с целью безопасности?


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 xoxolnaposhol

xoxolnaposhol

    Новичок

  • Пользователи
  • Pip
  • 5 сообщений

Отправлено 02 June 2017 - 09:59

Стоит ли для каждой новой биржи делать отдельную почту для регистрации и новый логин придумывать с целью безопасности? Ну чтобы злоумышленники не знали по почте или логину, что я нахожусь на той и на другой бирже. Ну, например, если я зарегистрируюсь на форуме под разными почтами и никами и буду писать с разных IP, то сказать, что это один или разные люди будет невозможно. Конечно, помимо всего этого надо использовать сложный пароль и двойную авторизацию, что важнее любых защит. Но всё-таки, лишнее ли то, что у каждой биржи с которой я буду работать будет создана отдельная почта и новый логин?


  • 0

#2 bullettrain

bullettrain

    Пользователь

  • Пользователи
  • PipPip
  • 483 сообщений

Отправлено 02 June 2017 - 12:48

Все зависит от уровня твоей паранойи. Решать только тебе.


  • 3

Moving like a speed of sound


#3 Helber

Helber

    Пользователь

  • Пользователи
  • PipPip
  • 138 сообщений
  • ГородКрасноярск

Отправлено 02 June 2017 - 20:17

Ну чтобы злоумышленники не знали по почте или логину, что я нахожусь на той и на другой бирже.

Просветите, как злоумышленники могут что-либо узнать по вашей почте? Ну если они ее не взломали, конечно, но тогда у вас будут проблемы посерьезнее, чем что кто-то узнает, что вы находитесь где-то. ;)

 

Ну, например, если я зарегистрируюсь на форуме под разными почтами и никами и буду писать с разных IP, то сказать, что это один или разные люди будет невозможно.

Очень сомнительное предположение. Вот конкретно на этом форуме - еще как возможно. Некоторые уже пытались :hang3:

 

Но всё-таки, лишнее ли то, что у каждой биржи с которой я буду работать будет создана отдельная почта и новый логин?

 

Отдельную почту под каждый важный для человека сервис - вполне даже есть смысл заводить, имхо (а то ломанут одну почту, и горим сразу везде). Логин - на усмотрение вашей паранойи. Я обычно завожу)


  • 0

Лифты не для меня, если нужно сесть вверху и соскочить внизу - хомяком себя чувствую...


#4 Dirty Bear

Dirty Bear

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 900 сообщений

Отправлено 02 June 2017 - 20:35

неуловимый джо


Сообщение отредактировал Dirty Bear: 02 June 2017 - 20:35

  • 1

#5 OZR

OZR

    Генератор букв в мысли

  • Супермодераторы
  • 1431 сообщений

Отправлено 02 June 2017 - 20:35

Используем пароль вида:
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漢cWzWphAj6sqmTT12oEkpо7HZuaxWVjQZSKuCTy8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На почте и каждом сайте пароль уникальный. Если подобное пробивается, то мир уже близок к краху...(либо был взломан дырявый сайт, от которого пароль меняется в дальнейшем, хоть и с потерями)

 

Впрочем, если под каждый сайт использовать уникальную почту, то безопасность увеличивается. Но тут есть но. Уязвимый почтовый сервер. Т,к защита везде одинаково сильная, то всё всегда упирается в какое-то узкое место, которым становится мастер-хост. Следовательно взлом почтового сервера приведёт к потере всех почт под каждый сайт.

 

Под каждую почту нужно создавать отдельный сервер. Эти сервера должны находится внутри виртуального пространства в kvm\jail и не иметь доступа к основной машине (к которой так же ни у кого доступа нет). И ключевой момент. Сервер под конкретную почту включается только в нужный для нас момент времени. Доступ к возможности ввода предоставляется только после передачи файла с уникальным ssh-ключом, которого у злоумышленника быть не должно.

 

В самом худшем случае, даже если всё будет сломано, что только можно сломать. Доступа к данным не будет, потому что они оффлайн.
 

двойную авторизацию, что важнее любых защит

 

Двойная авторизация слабее, нежели описанное выше. Т.к используется с крайне ненадёжными устройствами, вроде смартфона на андроиде (одна сплошная и огромная дыра) или даже ключ-устройство. Выход из строя подобного устройства и там совсем полный трэш начинается, т.к нужно его будет чинить, либо даже впаиваться под микроскопом в память и снимать данные. И это не всегда получается. Т.е двойную авторизацию лучше завязывать на что-то надёжное, вроде полноценного сервера.

 

Шансы потерять всё из-за двухфакторной авторизации достаточно высокие. Я бы её не рекомендовал. Т.к защитить одно устройство - сложно. А защитить более, чем одно устройство - намного, намного сложнее. х2 сложность.


Сообщение отредактировал OZR: 02 June 2017 - 20:44

  • 3

You're in my wonderland!


#6 bullettrain

bullettrain

    Пользователь

  • Пользователи
  • PipPip
  • 483 сообщений

Отправлено 05 June 2017 - 05:37

Выход из строя подобного устройства и там совсем полный трэш начинается, т.к нужно его будет чинить, либо даже впаиваться под микроскопом в память и снимать данные. И это не всегда получается. Т.е двойную авторизацию лучше завязывать на что-то надёжное, вроде полноценного сервера.   Шансы потерять всё из-за двухфакторной авторизации достаточно высокие. Я бы её не рекомендовал. Т.к защитить одно устройство - сложно. А защитить более, чем одно устройство - намного, намного сложнее. х2 сложность.

А что мешает резервировать все это безобразие и хранить в сейфе/банковской ячейке/залить в бетонный пол?


  • 1

Moving like a speed of sound


#7 OZR

OZR

    Генератор букв в мысли

  • Супермодераторы
  • 1431 сообщений

Отправлено 05 June 2017 - 06:37

bullettrain,

 

Тут всё сложно. IT-Безопасность - настолько поганая штука, что если её чуть-чуть перекрутить, то либо ничего не будет работать, либо будет работать чрезвычайно неудобно, из-за чего придётся серьёзно снизить уровень безопасности (причём это произойдёт уже скачком в плохую сторону)... А если чуть-чуть недокрутить, то это потенциальный взлом, со всей дальнейшей катастрофой. Баланс тут нужен как нигде.

 

При всём при этом есть одна удручающая вещь. В битве между "бронёй" и "оружием" всегда побеждает "оружие". Это только вопрос времени... Опасность приходит внезапно и неожиданно. Т,е даже вопрос резервирования этого безобразия стоит под вопросом. Надёжно ли зарезервирована резервная копия? (рекурсия).

 

Известны случаи, когда самолёты уничтожили ВТЦ в Нью-Йорке. Резервная копия находилась в соседнем здании, которое было разрушено следующим, через несколько минут. И на этом опять же всё, "жизнь закончена".

 

-----

 

Я предупреждаю и напоминаю, что примерно так может быть. К сожалению я знаю просто огромнейшее количество историй, когда люди теряют данные из-за потери 2FA безвозвратно. И на гугл сотни тысяч криков о помощи, что всё пропало. При этом везде сейчас говорится, что 2FA - хорошо. И ничего не говорится о возможных последствиях и уязвимостях на устройствах с 2FA. Предупреждён - вооружён. Дальше, те кто ещё умеет думать. Как-нибудь эту информации воспримет и какая-то польза будет. Других уже всё равно не спасти.

 

-----

 

Опять же, в зависимости от вектора атаки и потенциальной цели этой атаки. А если у нас крупная биржа криптовалют? Или крупный магазин, который принимает криптовалюты. И на этих кошельках могут быть эквиваленты миллионов или даже миллиардов долларов. И всё это работает онлайн 24/7/365 ... Такая структура будет так же завязана в итоге на какой-либо мастер-хост и уже от него дальше идёт распараллеливание и распределение ресурсов.

 

Я по этой причине и пишу, как примерно ограничивать и распределять возможные ядра системы. Чтобы они работали в нужное время, в нужном месте, обособленно друг от друга. Это хороший, надёжный и относительно простой подход. Универсальный подход. А конечную структуру уже каждый себе выстроит сам. (либо, что наиболее вероятно просто забьёт большой болт на безопасность).

 

-----

 

В случае, если у нас тот же магазин (биржа, сервис услуг), от 2FA пользы уже немного. И практически всем (за исключением взломщиков) нужно, чтобы магазин остался в живых и не был взломан. Потому что для бизнеса это означает банкротство и смерть. А для клиентов потерянные деньги. В IT в случае взлома теряют все. И часто теряют всё.

 

-----

 

Если опять же затрагивать 2FA, то ключевая проблема 2FA и есть в другом устройстве. Мир слишком сложный и непонятный, чтобы действительно знать и понимать как работает хотя бы одно устройство. Следовательно 2FA находится либо на той же архитектуре от чего проку ровным счётом ноль. Либо где-то ещё. Я противник 2FA, так как считаю его самой большой дырой в безопасности в стандартных и настроенных системах. Использовать его могу рекомендовать только в том случае, если уже есть распределённый доступ и штат безопасников минимум из 4-х человек.

 

-----

 

Но тут каждый выбирает по себе.

 

-----

 

В любом случае здесь дальше появятся сообщения вида: "Меня взломали. Денег нет. Помогите". Или какую-то биржу взломали. Все деньги там. Помогите... Или потерял телефон (ключ, кошелёк, мозги) - помогите... Так что всё сложно. Тут больше, как в анекдоте.

 

А мне и не надо бежать быстрее медведя. Мне надо бежать быстрее тебя!

 

Пока есть добычи легче и вкуснее. А цена взлома значительно превышает сам профит от взлома. Можно считать себя в относительной безопасности.


  • 2

You're in my wonderland!


#8 bezumniy_trader

bezumniy_trader

    Пользователь

  • Пользователи
  • PipPip
  • 121 сообщений

Отправлено 05 June 2017 - 06:42

Используем пароль вида:

lQOsBFkxnh4BCACfBEKntJKMsfK0V79QeCcs8j+eMcnsBYiqan08M4cqBfaiuZzJ
fI+Wl83rI71+Vz/gstnysTCwyZds/g/f2tuLWULhXHc8+SYViCedMJyEOCoy6LdK
aseXgU6V/O/BhCFvH79XzxILgQ9rLLW5LQS4MGCkJzwcFgft3r8rPkgE+3Ghtk10
+CefPlCuV8m+m0Hxdx2eDDSqOB438aj4PjhpLr1qkCgNDulFRpNDNbmurAmMLUSe
yylLYsODNZmRYlWuLkj7+z3gBjQ01/70gOos4Smk2j2F8HWXncr74o5GluqTX3z6
cVaAzhml8Ws2GuFApYHHYp1boTUYMuQg2/VpABEBAAH/AwMCCKNEXOufedNgT5Ln
W5SeIl9hFpfuP+erDjIwwLgPG9N/IODi5EhFfHo+eI7wQx+h6O+ORAVFa2OrAUo+
jx5BQ2u0XiZaeYzICRcsVOIc1xXwYU9fDiHTtOuNZ0VYSWnJLLYMDCTQPXEwZpRA
TvwKgTLe8nSH9dtzv23KfDAN漢cWzWphAj6sqmTT12oEkpо7HZuaxWVjQZSKuCTy8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На почте и каждом сайте пароль уникальный. Если подобное пробивается, то мир уже близок к краху...(либо был взломан дырявый сайт, от которого пароль меняется в дальнейшем, хоть и с потерями)

 

Впрочем, если под каждый сайт использовать уникальную почту, то безопасность увеличивается. Но тут есть но. Уязвимый почтовый сервер. Т,к защита везде одинаково сильная, то всё всегда упирается в какое-то узкое место, которым становится мастер-хост. Следовательно взлом почтового сервера приведёт к потере всех почт под каждый сайт.

 

Под каждую почту нужно создавать отдельный сервер. Эти сервера должны находится внутри виртуального пространства в kvm\jail и не иметь доступа к основной машине (к которой так же ни у кого доступа нет). И ключевой момент. Сервер под конкретную почту включается только в нужный для нас момент времени. Доступ к возможности ввода предоставляется только после передачи файла с уникальным ssh-ключом, которого у злоумышленника быть не должно.

 

В самом худшем случае, даже если всё будет сломано, что только можно сломать. Доступа к данным не будет, потому что они оффлайн.
 

 

Двойная авторизация слабее, нежели описанное выше. Т.к используется с крайне ненадёжными устройствами, вроде смартфона на андроиде (одна сплошная и огромная дыра) или даже ключ-устройство. Выход из строя подобного устройства и там совсем полный трэш начинается, т.к нужно его будет чинить, либо даже впаиваться под микроскопом в память и снимать данные. И это не всегда получается. Т.е двойную авторизацию лучше завязывать на что-то надёжное, вроде полноценного сервера.

 

Шансы потерять всё из-за двухфакторной авторизации достаточно высокие. Я бы её не рекомендовал. Т.к защитить одно устройство - сложно. А защитить более, чем одно устройство - намного, намного сложнее. х2 сложность.

Охохохохох)) Я думал это я параноик))) В мемориз

 

Кстати, такой пароль примут не все сервисы. Мало того, что у многих ограничение на максимальное количество символов, ещё известны случаи когда сервис успешно принимает такой пароль при регистрации, но попасть в него потом не возможно, сервис просто не правильно интерпретирует этот пароль.

 

Так что паранои должно быть в достаточном количестве


Сообщение отредактировал bezumniy_trader: 05 June 2017 - 06:44

  • 0

#9 OZR

OZR

    Генератор букв в мысли

  • Супермодераторы
  • 1431 сообщений

Отправлено 05 June 2017 - 07:34

Кстати, такой пароль примут не все сервисы. Мало того, что у многих ограничение на максимальное количество символов, ещё известны случаи когда сервис успешно принимает такой пароль при регистрации, но попасть в него потом не возможно, сервис просто не правильно интерпретирует этот пароль.

 
На многих ресурсах уже не могу пройти регистрацию. По этому поводу меня серьёзно бомбило в этом посте - https://forum.bits.m...fermy/?p=585439 (и до сих пор бомбит на каждый подобный случай). К сожалению, уже привык, что большинство ресурсов, проектов, программ и ещё всевозможное _интересное_ и не очень для меня закрыто и полностью недоступно по той или иной причине. :)

 

А это ещё "лёгкая" паранойя :) Основы безопасности ))) Всё гораздо хуже ))) Я и выключенным компьютерам не всегда доверяю, особенно с учётом того что их можно удалённо включить ))))


  • 0

You're in my wonderland!


#10 Алексей61

Алексей61

    Пользователь

  • Пользователи
  • PipPip
  • 115 сообщений

Отправлено 05 June 2017 - 08:00

у меня нетбук на линуксе,пользую только для входа на биржу. пока проблемм не было,больше мыло нигде не светится кроме нетбука.


  • 1




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных