Стоит ли для каждой новой биржи делать отдельную почту для регистрации и логин с целью безопасности?

[xoxolnaposhol]

Стоит ли для каждой новой биржи делать отдельную почту для регистрации и новый логин придумывать с целью безопасности? Ну чтобы злоумышленники не знали по почте или логину, что я нахожусь на той и на другой бирже. Ну, например, если я зарегистрируюсь на форуме под разными почтами и никами и буду писать с разных IP, то сказать, что это один или разные люди будет невозможно. Конечно, помимо всего этого надо использовать сложный пароль и двойную авторизацию, что важнее любых защит. Но всё-таки, лишнее ли то, что у каждой биржи с которой я буду работать будет создана отдельная почта и новый логин?

[bullettrain]

Все зависит от уровня твоей паранойи. Решать только тебе.

[Helber]

Ну чтобы злоумышленники не знали по почте или логину, что я нахожусь на той и на другой бирже.

Просветите, как злоумышленники могут что-либо узнать по вашей почте? Ну если они ее не взломали, конечно, но тогда у вас будут проблемы посерьезнее, чем что кто-то узнает, что вы находитесь где-то. ;)

 

Ну, например, если я зарегистрируюсь на форуме под разными почтами и никами и буду писать с разных IP, то сказать, что это один или разные люди будет невозможно.

Очень сомнительное предположение. Вот конкретно на этом форуме - еще как возможно. Некоторые уже пытались :hang3:

 

Но всё-таки, лишнее ли то, что у каждой биржи с которой я буду работать будет создана отдельная почта и новый логин?

 

Отдельную почту под каждый важный для человека сервис - вполне даже есть смысл заводить, имхо (а то ломанут одну почту, и горим сразу везде). Логин - на усмотрение вашей паранойи. Я обычно завожу)

[Dirty Bear]

неуловимый джо

Изменено 2 июн 2017, 17:35 пользователем Dirty Bear

[Oz]

Используем пароль вида:
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漢cWzWphAj6sqmTT12oEkpо7HZuaxWVjQZSKuCTy8
wFyyT0j2YVUM48BRRd/fUlw3un/ZG5DBOugipZ3JeFtp6BVxdZFSXMxSwqKngoly
Iw2PFe1NVwtsurNJvhCe16q2mnWww3IJXG+5yJ6qjOAgmPqbh+SCIetSn2y3IyFZ
pml22K3Q2r6q5THkVxvqK63mWsfNnnddGdHt/Y2JYw/No6jtnAcDwHTWzLqcPR3u
Uqex4OD7wyL593vwX0QdhbUgPMgBEoI8rQmjiD/1oE/Pdj4AHwrwn2HLHR2dkR5e
W3u6QvR2ae/YNEDPddiC6CStk6ivPXa55Y8Dhu8pAtn7qDRq8yGDa0ymMz3CxQsk
/Ip6rFZ0QtEMYgYMK3nAVHnFIXLlZzeu3jgh147PAX8lqU65BwohBpF4Y5CpcJsh
/aFBlrMVcdqrjc5Lfz8tbatfyuXAL78VXl6WCtdrQpJnY7t+aNI1h6iviYLjbfHV
fwZ1f3cnsTvvRs4MKFf4r05ApH7eTpyfhwmnw9F171SQO+t4Y5Ui7ep46syjpvm0
VZBXBDgF7abATrnGM22pfQY28/jF/8lvzX0/+4IFA3SjxJtP49KOxPGnbf70bSrm
JidF49bbOwex1iOWuuKnOOIUBwMk7WKV44iVe1K/THImBBdE2XKOke+7q6R1j9aX
5Idy0Boyi70Cw1iND9pT+9T6ZlBdojJtB3CIfGUx47QAiQEcBBABAgAGBQJZMZ4e
AAoJEKh7RmVTsLlh1T0H/3Ezt1GRWE9tg+7N2wHbHD//cRc2cookLkLJlPoOqW4d
GVl5tAkXfbLYrhyEPBGughrqxsALEj1FdYzUWgsqyq+1QHEAOrmWh8P6buR+AqIv
wZr8UKk9TbFJ3AHk+Rp80qgandmj8UGfr5uvLrxkY/QMbSg0Jr2jEXFaP/QyVe9j
d6ZBLHjcgGHatv4A0/tJTJqo98eOrxpMTKEI0KhTGmC+1UX03iRlIHhCa/F/x2cW
8cXa0cUNdb7Pk+ZXXEitP050ulFTNpkJR6avpcNwo1qKKLaYX+DTy/tITrAdMC20
PWjDwLMGwEY9o31WBohoMeLIENqXdyuHKBPi0T6hF/

На почте и каждом сайте пароль уникальный. Если подобное пробивается, то мир уже близок к краху...(либо был взломан дырявый сайт, от которого пароль меняется в дальнейшем, хоть и с потерями)

 

Впрочем, если под каждый сайт использовать уникальную почту, то безопасность увеличивается. Но тут есть но. Уязвимый почтовый сервер. Т,к защита везде одинаково сильная, то всё всегда упирается в какое-то узкое место, которым становится мастер-хост. Следовательно взлом почтового сервера приведёт к потере всех почт под каждый сайт.

 

Под каждую почту нужно создавать отдельный сервер. Эти сервера должны находится внутри виртуального пространства в kvm\jail и не иметь доступа к основной машине (к которой так же ни у кого доступа нет). И ключевой момент. Сервер под конкретную почту включается только в нужный для нас момент времени. Доступ к возможности ввода предоставляется только после передачи файла с уникальным ssh-ключом, которого у злоумышленника быть не должно.

 

В самом худшем случае, даже если всё будет сломано, что только можно сломать. Доступа к данным не будет, потому что они оффлайн.
 

двойную авторизацию, что важнее любых защит

 

Двойная авторизация слабее, нежели описанное выше. Т.к используется с крайне ненадёжными устройствами, вроде смартфона на андроиде (одна сплошная и огромная дыра) или даже ключ-устройство. Выход из строя подобного устройства и там совсем полный трэш начинается, т.к нужно его будет чинить, либо даже впаиваться под микроскопом в память и снимать данные. И это не всегда получается. Т.е двойную авторизацию лучше завязывать на что-то надёжное, вроде полноценного сервера.

 

Шансы потерять всё из-за двухфакторной авторизации достаточно высокие. Я бы её не рекомендовал. Т.к защитить одно устройство - сложно. А защитить более, чем одно устройство - намного, намного сложнее. х2 сложность.

Изменено 2 июн 2017, 17:44 пользователем OZR

[bullettrain]

 

 

Выход из строя подобного устройства и там совсем полный трэш начинается, т.к нужно его будет чинить, либо даже впаиваться под микроскопом в память и снимать данные. И это не всегда получается. Т.е двойную авторизацию лучше завязывать на что-то надёжное, вроде полноценного сервера.   Шансы потерять всё из-за двухфакторной авторизации достаточно высокие. Я бы её не рекомендовал. Т.к защитить одно устройство - сложно. А защитить более, чем одно устройство - намного, намного сложнее. х2 сложность.

А что мешает резервировать все это безобразие и хранить в сейфе/банковской ячейке/залить в бетонный пол?

[Oz]

bullettrain,

 

Тут всё сложно. IT-Безопасность - настолько поганая штука, что если её чуть-чуть перекрутить, то либо ничего не будет работать, либо будет работать чрезвычайно неудобно, из-за чего придётся серьёзно снизить уровень безопасности (причём это произойдёт уже скачком в плохую сторону)... А если чуть-чуть недокрутить, то это потенциальный взлом, со всей дальнейшей катастрофой. Баланс тут нужен как нигде.

 

При всём при этом есть одна удручающая вещь. В битве между "бронёй" и "оружием" всегда побеждает "оружие". Это только вопрос времени... Опасность приходит внезапно и неожиданно. Т,е даже вопрос резервирования этого безобразия стоит под вопросом. Надёжно ли зарезервирована резервная копия? (рекурсия).

 

Известны случаи, когда самолёты уничтожили ВТЦ в Нью-Йорке. Резервная копия находилась в соседнем здании, которое было разрушено следующим, через несколько минут. И на этом опять же всё, "жизнь закончена".

 

-----

 

Я предупреждаю и напоминаю, что примерно так может быть. К сожалению я знаю просто огромнейшее количество историй, когда люди теряют данные из-за потери 2FA безвозвратно. И на гугл сотни тысяч криков о помощи, что всё пропало. При этом везде сейчас говорится, что 2FA - хорошо. И ничего не говорится о возможных последствиях и уязвимостях на устройствах с 2FA. Предупреждён - вооружён. Дальше, те кто ещё умеет думать. Как-нибудь эту информации воспримет и какая-то польза будет. Других уже всё равно не спасти.

 

-----

 

Опять же, в зависимости от вектора атаки и потенциальной цели этой атаки. А если у нас крупная биржа криптовалют? Или крупный магазин, который принимает криптовалюты. И на этих кошельках могут быть эквиваленты миллионов или даже миллиардов долларов. И всё это работает онлайн 24/7/365 ... Такая структура будет так же завязана в итоге на какой-либо мастер-хост и уже от него дальше идёт распараллеливание и распределение ресурсов.

 

Я по этой причине и пишу, как примерно ограничивать и распределять возможные ядра системы. Чтобы они работали в нужное время, в нужном месте, обособленно друг от друга. Это хороший, надёжный и относительно простой подход. Универсальный подход. А конечную структуру уже каждый себе выстроит сам. (либо, что наиболее вероятно просто забьёт большой болт на безопасность).

 

-----

 

В случае, если у нас тот же магазин (биржа, сервис услуг), от 2FA пользы уже немного. И практически всем (за исключением взломщиков) нужно, чтобы магазин остался в живых и не был взломан. Потому что для бизнеса это означает банкротство и смерть. А для клиентов потерянные деньги. В IT в случае взлома теряют все. И часто теряют всё.

 

-----

 

Если опять же затрагивать 2FA, то ключевая проблема 2FA и есть в другом устройстве. Мир слишком сложный и непонятный, чтобы действительно знать и понимать как работает хотя бы одно устройство. Следовательно 2FA находится либо на той же архитектуре от чего проку ровным счётом ноль. Либо где-то ещё. Я противник 2FA, так как считаю его самой большой дырой в безопасности в стандартных и настроенных системах. Использовать его могу рекомендовать только в том случае, если уже есть распределённый доступ и штат безопасников минимум из 4-х человек.

 

-----

 

Но тут каждый выбирает по себе.

 

-----

 

В любом случае здесь дальше появятся сообщения вида: "Меня взломали. Денег нет. Помогите". Или какую-то биржу взломали. Все деньги там. Помогите... Или потерял телефон (ключ, кошелёк, мозги) - помогите... Так что всё сложно. Тут больше, как в анекдоте.

 

А мне и не надо бежать быстрее медведя. Мне надо бежать быстрее тебя!

 

Пока есть добычи легче и вкуснее. А цена взлома значительно превышает сам профит от взлома. Можно считать себя в относительной безопасности.

[bezumniy_trader]

Используем пароль вида:

lQOsBFkxnh4BCACfBEKntJKMsfK0V79QeCcs8j+eMcnsBYiqan08M4cqBfaiuZzJ

fI+Wl83rI71+Vz/gstnysTCwyZds/g/f2tuLWULhXHc8+SYViCedMJyEOCoy6LdK

aseXgU6V/O/BhCFvH79XzxILgQ9rLLW5LQS4MGCkJzwcFgft3r8rPkgE+3Ghtk10

+CefPlCuV8m+m0Hxdx2eDDSqOB438aj4PjhpLr1qkCgNDulFRpNDNbmurAmMLUSe

yylLYsODNZmRYlWuLkj7+z3gBjQ01/70gOos4Smk2j2F8HWXncr74o5GluqTX3z6

cVaAzhml8Ws2GuFApYHHYp1boTUYMuQg2/VpABEBAAH/AwMCCKNEXOufedNgT5Ln

W5SeIl9hFpfuP+erDjIwwLgPG9N/IODi5EhFfHo+eI7wQx+h6O+ORAVFa2OrAUo+

jx5BQ2u0XiZaeYzICRcsVOIc1xXwYU9fDiHTtOuNZ0VYSWnJLLYMDCTQPXEwZpRA

TvwKgTLe8nSH9dtzv23KfDAN漢cWzWphAj6sqmTT12oEkpо7HZuaxWVjQZSKuCTy8

wFyyT0j2YVUM48BRRd/fUlw3un/ZG5DBOugipZ3JeFtp6BVxdZFSXMxSwqKngoly

Iw2PFe1NVwtsurNJvhCe16q2mnWww3IJXG+5yJ6qjOAgmPqbh+SCIetSn2y3IyFZ

pml22K3Q2r6q5THkVxvqK63mWsfNnnddGdHt/Y2JYw/No6jtnAcDwHTWzLqcPR3u

Uqex4OD7wyL593vwX0QdhbUgPMgBEoI8rQmjiD/1oE/Pdj4AHwrwn2HLHR2dkR5e

W3u6QvR2ae/YNEDPddiC6CStk6ivPXa55Y8Dhu8pAtn7qDRq8yGDa0ymMz3CxQsk

/Ip6rFZ0QtEMYgYMK3nAVHnFIXLlZzeu3jgh147PAX8lqU65BwohBpF4Y5CpcJsh

/aFBlrMVcdqrjc5Lfz8tbatfyuXAL78VXl6WCtdrQpJnY7t+aNI1h6iviYLjbfHV

fwZ1f3cnsTvvRs4MKFf4r05ApH7eTpyfhwmnw9F171SQO+t4Y5Ui7ep46syjpvm0

VZBXBDgF7abATrnGM22pfQY28/jF/8lvzX0/+4IFA3SjxJtP49KOxPGnbf70bSrm

JidF49bbOwex1iOWuuKnOOIUBwMk7WKV44iVe1K/THImBBdE2XKOke+7q6R1j9aX

5Idy0Boyi70Cw1iND9pT+9T6ZlBdojJtB3CIfGUx47QAiQEcBBABAgAGBQJZMZ4e

AAoJEKh7RmVTsLlh1T0H/3Ezt1GRWE9tg+7N2wHbHD//cRc2cookLkLJlPoOqW4d

GVl5tAkXfbLYrhyEPBGughrqxsALEj1FdYzUWgsqyq+1QHEAOrmWh8P6buR+AqIv

wZr8UKk9TbFJ3AHk+Rp80qgandmj8UGfr5uvLrxkY/QMbSg0Jr2jEXFaP/QyVe9j

d6ZBLHjcgGHatv4A0/tJTJqo98eOrxpMTKEI0KhTGmC+1UX03iRlIHhCa/F/x2cW

8cXa0cUNdb7Pk+ZXXEitP050ulFTNpkJR6avpcNwo1qKKLaYX+DTy/tITrAdMC20

PWjDwLMGwEY9o31WBohoMeLIENqXdyuHKBPi0T6hF/

 

На почте и каждом сайте пароль уникальный. Если подобное пробивается, то мир уже близок к краху...(либо был взломан дырявый сайт, от которого пароль меняется в дальнейшем, хоть и с потерями)

 

Впрочем, если под каждый сайт использовать уникальную почту, то безопасность увеличивается. Но тут есть но. Уязвимый почтовый сервер. Т,к защита везде одинаково сильная, то всё всегда упирается в какое-то узкое место, которым становится мастер-хост. Следовательно взлом почтового сервера приведёт к потере всех почт под каждый сайт.

 

Под каждую почту нужно создавать отдельный сервер. Эти сервера должны находится внутри виртуального пространства в kvm\jail и не иметь доступа к основной машине (к которой так же ни у кого доступа нет). И ключевой момент. Сервер под конкретную почту включается только в нужный для нас момент времени. Доступ к возможности ввода предоставляется только после передачи файла с уникальным ssh-ключом, которого у злоумышленника быть не должно.

 

В самом худшем случае, даже если всё будет сломано, что только можно сломать. Доступа к данным не будет, потому что они оффлайн.

 

 

Двойная авторизация слабее, нежели описанное выше. Т.к используется с крайне ненадёжными устройствами, вроде смартфона на андроиде (одна сплошная и огромная дыра) или даже ключ-устройство. Выход из строя подобного устройства и там совсем полный трэш начинается, т.к нужно его будет чинить, либо даже впаиваться под микроскопом в память и снимать данные. И это не всегда получается. Т.е двойную авторизацию лучше завязывать на что-то надёжное, вроде полноценного сервера.

 

Шансы потерять всё из-за двухфакторной авторизации достаточно высокие. Я бы её не рекомендовал. Т.к защитить одно устройство - сложно. А защитить более, чем одно устройство - намного, намного сложнее. х2 сложность.

Охохохохох)) Я думал это я параноик))) В мемориз

 

Кстати, такой пароль примут не все сервисы. Мало того, что у многих ограничение на максимальное количество символов, ещё известны случаи когда сервис успешно принимает такой пароль при регистрации, но попасть в него потом не возможно, сервис просто не правильно интерпретирует этот пароль.

 

Так что паранои должно быть в достаточном количестве

Изменено 5 июн 2017, 03:44 пользователем bezumniy_trader

[Oz]

Кстати, такой пароль примут не все сервисы. Мало того, что у многих ограничение на максимальное количество символов, ещё известны случаи когда сервис успешно принимает такой пароль при регистрации, но попасть в него потом не возможно, сервис просто не правильно интерпретирует этот пароль.

 

На многих ресурсах уже не могу пройти регистрацию. По этому поводу меня серьёзно бомбило в этом посте - https://forum.bits.media/index.php?/topic/32144-monitoring-raboty-fermy/?p=585439 (и до сих пор бомбит на каждый подобный случай). К сожалению, уже привык, что большинство ресурсов, проектов, программ и ещё всевозможное _интересное_ и не очень для меня закрыто и полностью недоступно по той или иной причине. :)

 

А это ещё "лёгкая" паранойя :) Основы безопасности ))) Всё гораздо хуже ))) Я и выключенным компьютерам не всегда доверяю, особенно с учётом того что их можно удалённо включить ))))

[Алексей Разумовский]

у меня нетбук на линуксе,пользую только для входа на биржу. пока проблемм не было,больше мыло нигде не светится кроме нетбука.

[SovKolxoz]

bullettrain,

 

Тут всё сложно. IT-Безопасность....

Опять же, в зависимости от вектора атаки и потенциальной цели этой атаки. А если у нас крупная биржа криптовалют? Или крупный магазин, который принимает криптовалюты. И на этих кошельках могут быть эквиваленты миллионов или даже миллиардов долларов. 

.....А конечную структуру уже каждый себе выстроит сам. (либо, что наиболее вероятно просто забьёт большой болт на безопасность).

..............

Пока есть добычи легче и вкуснее. А цена взлома значительно превышает сам профит от взлома. Можно считать себя в относительной безопасности.

Очень интересно почитать - снимаю шляпу...  

...но читая, в голове постоянно возникало слово - паранойя...  :secret:

Есть хорошая пословица - будьте проще и народ к вам потянется. К чему это я? А к тому что - ну не будут этот форум читать те, у кого "эквиваленты"... 

Народ, которые здесь - главная теза - КАК ЗАРАБОТАТЬ и как НЕ НАХОМУТАТЬ. Посему - будьте проще... 

[Арчи]

 

На многих ресурсах уже не могу пройти регистрацию. По этому поводу меня серьёзно бомбило в этом посте - https://forum.bits.media/index.php?/topic/32144-monitoring-raboty-fermy/?p=585439 (и до сих пор бомбит на каждый подобный случай). К сожалению, уже привык, что большинство ресурсов, проектов, программ и ещё всевозможное _интересное_ и не очень для меня закрыто и полностью недоступно по той или иной причине. :)

 

А это ещё "лёгкая" паранойя :) Основы безопасности ))) Всё гораздо хуже ))) Я и выключенным компьютерам не всегда доверяю, особенно с учётом того что их можно удалённо включить ))))

У меня из мобилы батарейка не высовывается - постоянно за мной следят как и за каждым ....    

[mtex]

Стоит ли для каждой новой биржи делать отдельную почту для регистрации и новый логин придумывать с целью безопасности? Ну чтобы злоумышленники не знали по почте или логину, что я нахожусь на той и на другой бирже. Ну, например, если я зарегистрируюсь на форуме под разными почтами и никами и буду писать с разных IP, то сказать, что это один или разные люди будет невозможно. Конечно, помимо всего этого надо использовать сложный пароль и двойную авторизацию, что важнее любых защит. Но всё-таки, лишнее ли то, что у каждой биржи с которой я буду работать будет создана отдельная почта и новый логин?

Чувак, ОДИН раз регистрируешься на mail.ru - и создаешь неограниченное количество алиасов на каждую биржу (но не более 10 одновременных, что-то придется удалить). Алиас взломать невозможно - так как пароля к нему не существует

Изменено 20 авг 2017, 09:31 пользователем mtex

[kursexpert]

 

 

Чувак, ОДИН раз регистрируешься на mail.ru - и создаешь неограниченное количество алиасов на каждую биржу (но не более 10 одновременных, что-то придется удалить). Алиас взломать невозможно - так как пароля к нему не существует

Хм. Прикольно. Только меня mail.ru несколько смущает да и могут взломать основную почту, а там (я так полагаю) и все алиасы будут видны. На gmail не видел подобного.

[mtex]

Хм. Прикольно. Только меня mail.ru несколько смущает да и могут взломать основную почту, а там (я так полагаю) и все алиасы будут видны. На gmail не видел подобного.

Не сцы. В mail.ru поддерживается двухфакторная авторизация. Куда там дырявому Gmail - со своими точками вместо алиасов. А если аллергия на mail.ru - есть глючный Yahoo (там правда ограничение в 500 одновременных алиасов)

Изменено 20 авг 2017, 09:57 пользователем mtex