10 сент. 2008 г.

Мне повезёт!

Сегодня я расскажу про одну свою IT-мечту, которую, возможно, кто-то уже реализовал. И ещё поделюсь одним интересным решением старой проблемы с навязчивой регистрацией на различных форумах и сервисах.

Мне повезёт!Вроде бы почти всем хороша почта GMail, но не хватает одной важной вещи - возможности спокойно путешествовать.

Содержательная суть: в непонятных интернет-кафе вводить пароль от почты не хочется, потому что там запросто могут быть вирусы, запоминающие все набираемые на клавиатуре символы (keyloggers). И это может быть не злым умыслом владельца заведения, а низкой защищённостью компьютеров (любой пользователь мог случайно принести с собой вирус на флешке). И получается, что ввод своих паролей в таких местах - это прямой способ потерять свой почтовый ящик (а часто бывает так, что по нему можно восстановить другие важные пароли, ведь почти все сервисы имеют кнопку «забыли пароль?», приводящую к отправке пароля на указанный почтовый адрес). И выходит, что лозунг «Мне повезёт!» относится не только к поиску, но и к почте.

Чего хочется? Хочется перед поездкой нажать на кнопку почтового сервиса «сгенерировать временные пароли», чтобы сформировалась таблица из 50-ти (100, 200...) пронумерованных строк, которую легко распечатать. Теперь в свой почтовый ящик можно попасть, введя своё обычное имя и первый пароль из этого списка (вместо своего привычного пароля). Как только пользователь нажал «выйти», первый пароль навсегда вычёркивается (по нему уже никогда не пустят в почту). Потому что теперь активным считается второй пароль. Прочитав почту и ответив на нужные письма, мы опять нажимаем «выйти». Теперь активным считается третий пароль, а про второй можно забыть. И так далее.

В поездке было бы легко носить с собой такой список (ведь и так приходится хранить много документов: паспорта, визы, билеты и т.д.). А главное - была бы гораздо большая уверенность, что эта работа со своим почтовым ящиком безопасна. Сейчас же приходится заводить какой-то временный ящик, который не жалко, чтобы с него отправлять только самые важные письма. А всю входящую корреспонденцию читать уже по возвращении домой.

Один хороший знакомый, работавший в Google, сказал, что если я хочу, чтобы это было сделано для GMail, то мне надо устроиться на работу в Google, постепенно перейти в отдел, занимающийся почтой, чтобы вовремя предложить эту идею (и, скорее всего, самому её реализовать). Для меня это слишком длинный путь - я раньше подниму свой собственный почтовый сервер, в котором будет такая возможность. Но терзает сомнение, что есть более ловкий способ.

Поэтому вопрос: знаете ли вы почтовый сервис, позволяющий что-то подобное? Я поискал в сети, но не смог обнаружить ничего путного. С другой стороны, сеть большая, в ней много интересного есть.

Например, есть в сети специальные сервисы, облегчающие обязательную (формально), но совершенно ненужную (реально) регистрацию на различных ресурсах. Процедура очень простая:
1) Регистрируясь на форуме (или где нам надо), указываем адрес ЧТО_УГОДНО@mailinator.com (это чтобы не давать свои почтовые адреса, которые вы регулярно проверяете - так защищаемся от спама).
2) Заходим на страницу mailinator.com, вводим в единственное поле свой (только что придуманный) адрес «ЧТО_УГОДНО» (естественно, адрес должен состоять из английских символов),
3) Оказываемся на странице со списком всех писем, пришедших на этот адрес (там, скорее всего, будет только письмо с ресурса, на котором вы сейчас регистрируетесь).
4) Переходим по ссылке из этого письма, чтобы подтвердить регистрацию.
5) Всё, теперь можно пользоваться этим форумом, не задумываясь о том, что с него каждый день будет приходить перечень самых интересных тем, один-два раза в неделю будет приходить нужная вам реклама, а этот ваш почтовый ящик постепенно попадёт в базы всех спамеров.

Пояснение: часто бывает, что нужная информация лежит в теме на каком-то форуме (мы это знаем, потому что видим в том месте, где обсуждали важный нам вопрос, ссылку на одну из тем именно этого форума). И вот приходим мы в эту тему, но видим, что создатели форума постарались сделать работу с их ресурсом предельно удобной - чтобы увидеть текст сообщения, необходимо зарегистрироваться. И делать это совершенно не хочется, но необходимо, потому что информация дороже. Вот и приходится быстро-быстро где-то заводить временный электронный адрес. Теперь с этим будет проще :)

21 комментарий:

  1. идея с полусотней одноразовых паролей хороша, но о такой реализации слышать не приходилось.

    насчет одноразовых регистраций: слышал что есть некое сообщество, члены которого при одноразовой регистрации на разных ресурсах используют заранее оговоренные логин и пароль. т.е. перед регистрацией ты можешь проверить наличие "универсального" аккаунта, а если его нет - то зарегистрировать его.

    или вот тут способ одноразового мыла реализован: http://research.sputtv.com/news/720.html

    ОтветитьУдалить
  2. Анонимный10.09.2008, 11:48

    Сервис, дающий нужную возможность - webmoney. У них есть своя почта.
    Регистриться на keeper lite с авторизацией через enum.ru и радоваться жизни.

    Принцип: на покет или телефон ставится прога. При заходе на сайт он выдает число. Это число вбивается в прогу, а ответ проги - обратно на сайт. Кейлоггеры нервно курят в углу.

    Это раз. А два - во всех *nix сейчас есть OTP (one-time password. Читать man opiekey). Та самая функциональность, о которой шла речь (сгенерить список одноразовых паролей и логиниться по ним). Соответственно, можно попробовать как-то воспользоваться этим.

    ОтветитьУдалить
  3. Анонимный10.09.2008, 12:08

    О, сам такую мыслю давно думаю. Присоединяюсь к посыланию злобного луча в гугл.

    ОтветитьУдалить
  4. Идея давно реализована в большинстве онлайн-банков. Там есть и одноразовые пароли (TAN), и отправка их же смс-кой на мобильный, и хитрые способы ввода пароля (типа, "введите 4 и 10 символ"). Просто почтовикам это пока не надо. Кому будет первому надо - будет большой плюс.

    ОтветитьУдалить
  5. Анонимный11.09.2008, 03:51

    Yahoo предоставляет сервис AddressGuard - одноразовые мыльные адреса, привязанные к существующему эккаунту. Почта валится либо в специальную папку. либо в общую (выбор при создании адреса).

    ОтветитьУдалить
  6. Анонимный11.09.2008, 07:05

    А если просто пароль не вводить а копировать из файла на флешке?

    ОтветитьУдалить
  7. Анонимный11.09.2008, 11:31

    2 kmmbvnr: Современные кейлоггеры заодно сохраняют и любой текст, попадающий в clipboard (это не сложнее, чем перехватывать ввод с клавиатуры).

    Так что идею кейлоггера надо давить на корню - не должен дважды использоваться один и тот же пароль. По счастью, это уже сделано (opie в *nix, enum у вебмани).

    ОтветитьУдалить
  8. Спасибо за дельные мысли по поводу безопасности почты! Enum выглядит очень похожим на то, что требуется.

    И про случайное совпадение названий - если ещё не видели рассказа Каганова Мне повезёт!, то прочитайте. Он короткий, юморной и содержательный.

    ОтветитьУдалить
  9. Жаль, что на многие форумы нельзя заходить по openID. Тогда не нужно было бы регистрироваться в куче мест или использовать "ЧТО_УГОДНО@mailinator.com".

    ОтветитьУдалить
  10. Анонимный24.09.2008, 07:34

    А я и вовсе построил у себя дома протатип международной космической станции. Теперь круглыми сутками провожу на нём свои опыты. Сделал уже очень много открытий. И самое интересное еще, конечно, впереди. Этого бы ничего не случилось, если бы не кнопка "Мне повезет" в поисковике гугл. Нажав на неё я понял смысл. Кто то обогащает уран, а я изучаю космос.

    ОтветитьУдалить
  11. По-поводу одноразовых регистраций есть еще полезный сайт bugmenot.com - наполняемая юзерами база логинов и паролей ко всяким сайтам, форумам и пр.

    ОтветитьУдалить
  12. Анонимный06.10.2008, 18:06

    Насчет перехвата клавиатуры и буфера обмена. Современные программы хранения паролей, насколько я знаю, умеют их "вводить" в обход и того и другого. Например, через drag-n-drop.
    Посмотрите, например, KeePass (http://keepass.info/)

    ОтветитьУдалить
  13. Спасибо за информацию о bugmenot.com и keepass.info!

    ОтветитьУдалить
  14. Анонимный07.10.2008, 19:46

    Еще подумалось вот что: не обязательно ведь требовать именно последовательного применения паролей - главное, чтобы они все просто были одноразовыми (вдруг, строчка на сгибе листа затерлась?)

    А вот здесь есть даже какая-то реализация этой идеи: https://www.grc.com/ppp.htm
    Вот только Google пока ее не поддерживает :)

    ОтветитьУдалить
  15. Уважаемый аноним, спасибо за ссылку!
    Конечно, нет нужды применять все эти пароли последовательно - в самом деле, может быть кофе неудачно будет пролито на бумагу, что не позволит прочитать очередной пароль.

    ОтветитьУдалить
  16. Анонимный27.10.2008, 12:24

    Аналогичный отечественный сервис: http://asdasd.ru/

    ОтветитьУдалить
  17. Идея напоминает одноразовый блокнот :)

    ОтветитьУдалить
  18. Кинул ссылку на этот пост товарищу, работающему в Яндексе. Теперь у ребят идут словесные баталии на эту тему :D

    ОтветитьУдалить
  19. vpv, спасибо! Будет здорово, если почта от Яндекса расширится такой функциональностью!

    ОтветитьУдалить
  20. Анонимный09.03.2010, 01:12

    Последовательность паролей важна! Главное, чтобы не обязательно по порядку и чтобы алгоритм их формирования не был очевидным или тривиальным для компьютерного подбора...

    скажем взяли пароль №1
    а потом ..бац и №10, значит, 2-9 считаются скомпрометированными и отбрасываются...
    действительно список должен содержать не менее 50 паролей

    ОтветитьУдалить
  21. Анонимный02.07.2010, 15:40

    Наткнулся на сервис по хранению паролей lastpass.com, в котором как раз реализована именно такая функциональность, и сразу вспомнил про этот пост. Сервис - мечта любого параноика. Шифрование данных на стороне клиента, временные пароли, возможность создания профилей с ограниченным набором паролей, даже подтверждение личности по распечатываемой таблице.

    ОтветитьУдалить