El famoso hackeo de Mat Honan me hizo pensar en e -la recuperación de la contraseña del correo electrónico, y cómo cualquier enlace en la cadena puede romper todos los enlaces que la preceden. En el ejemplo de Mat, ese enlace resultó ser el último y toda la cadena se rompió.
Específicamente, Mat usó su dirección de GMail como el correo electrónico de recuperación para todos sus servicios, y usó su correo electrónico de Apple como la dirección de recuperación de GMail. Por lo tanto, una vez que se comprometió su cuenta de correo electrónico de Apple, GMail se vio comprometida, y todos sus servicios pronto siguieron.
Entiendo la necesidad de recuperación de correo electrónico para servicios web en general. Sin embargo, usar una dirección de recuperación de correo electrónico para un servicio de correo electrónico suena como agregar un enlace redundante a la cadena, duplicar sus puntos de vulnerabilidad (ahora su atacante puede piratear su principal o su recuperación). cuenta de correo electrónico). Además, ¿cuál es el correo electrónico de recuperación que utiliza para su correo de recuperación? Tener un correo electrónico de recuperación de recuperación agrega otro punto de falla, y cuando finalmente detiene la cadena y no usa uno, ¡puede descubrir que está bloqueado cuando más lo necesita!
Es cierto que el atacante puede no saber la dirección del correo de recuperación, pero como lo demostró el caso de Mat, puede deducirlo (en su caso, averiguar el patrón ofuscado de Google, donde ocultan algunos de los caracteres). Y si hace que les sea difícil deducirlos, también lo está haciendo a USTED. La mayoría de nosotros usamos una única dirección de correo electrónico, y si configura una dirección especial solo para fines de verificación, es probable que olvide unos años después.
Tuve un par de ideas:
- No utilice un correo electrónico de recuperación para su correo electrónico principal. Simplemente active la autenticación de 2 factores y conviértalo en su enlace más fuerte (que de todos modos debería hacer con todos sus servicios importantes).
- Usa la dirección de correo electrónico de un amigo. Si tiene un amigo / familiar que sepa que se preocupa por la seguridad tanto como usted (y, por lo tanto, también tiene una configuración de autenticación de 2 hechos), puede usar su dirección. Ahora un atacante tiene que piratear a dos personas, y es muy poco probable que adivine qué correo necesita piratear. Sin embargo, es probable que lo reconozcas de inmediato (supongo que podrías perder el contacto con eso Amigo después de muchos años, así que quizás un miembro de la familia sea preferible aquí. Incluso podría configurarse entre sí como habilitadores de recuperación mutua.
Me encantaría escuchar sus pensamientos sobre mi análisis.