О безопасности аккаунтов / Godaddy & Paypal

вот она, постиндустриальная экономика, в смысле какая экономика, такие и преступления,
ps еще в играх прокачанные аватары тырят пачками...или как они их там называют...

 

перевод http://m.habrahabr.ru/post/210718/

 

Заказняк для " however if you’d like me to
recommend a more secure registrar i recommend: NameCheap or eNom (not network solutions but enom.com)"?

 

Вот именно поэтому всё, что только можно я держу на своих собственных серверах. Trust no one!

 

Стас, мы знаем, что ты очень продвинутый в этом плане
Ну а что делать простым смертным без своих серверов? Посоветуешь с высоты опыта?

--- Сообщения объединены, 30 янв 2014, дата первого сообщения: 30 янв 2014 ---

во всей это не такой уж оригинальной истории у меня вызывает детский восторг у искреннее удивление вот это:

во все верю.. а в это, ну ни как поверить не могу...

 

Да запросто! Очень много проверок заканчиваются успешно при правильном спеллинге фамилии и правильной дате рождения. Узнать и то, и другое обычно труда не составляет.

--- Сообщения объединены, 30 янв 2014, дата первого сообщения: 30 янв 2014 ---

... неподключенных к интернету или другим общим сетям. Хотя, это следующий уровень дзена

 

ДавайПапочка отреагировал на дыру в безопасности - теперь требуют 8 цифер и дают три попытки для "угадать".
что слышно от ПлатежногоПриятеля? и это... кто скажет мне мои циферки? а?

 

Миша, напугать меня тебе удалось, а вот инструкций к действию во всей вашей суперзаумной дискуссии не увидела.
Своих серверов нет (или есть?), во всяких наворотах полный чайник. предпочитаю самый простой, стандартный, предлагаемый самим сервисом вариант.
Не совсем поняла про вход на ФБ со своей почты... это опасно? а что делать?

 

Ну, начнем с того, что я поняла менее половины из статьи, несмотря на то, что есть перевод.
Так то, что для тебя "четкие инструкции" для простого обывателя - "непонятно с какой стороны подойти, долго разбираться, ладно пусть так и остается"
Поэтому считаю статью полезной только для пользователей с углубленным знанием.

 

вот! теперь вы понимаете меня! для меня все эти финансовые словечки тоже полнейшая абракадабра, которой можно вызвать сатану!

поможем друг другу? хотя я не спец по безопасности... но уверен, что наши спецы меня поправят, если я оступлюсь...

1. авторизацию для входа в свою электрическую почту на жмыле надо сделать двухфакторной (двух шаговой?). то есть, пароль - первый шаг и смс на телефон - второй шаг. просто и очень эффективно! всем советую.

2. чтобы объяснить суть второй рекомендации, надо рассказать в общих чертах про основы...
если у вас есть свой сайт, то этот сайт ... ну.. грубо говоря... состоит из имени (ввв.мойсайт.ком) и хостинга (места, где физически сайт находится - хостер). имя сайта зарегистрированно где-то (регистр). и где-то прописано, что имя сайтя соответствует физическому месту (сервер имен. там буквально таблица, в которой связываются "ввв.мойсайт.ком находится на хостере"). так же, есть опять же электрическая почта. и принято, чтобы почта была красивой, типа "админ@мойсайт.ком". вот основные действующие лица предстоящей трагедии. пока понятно? в подавляющем большинстве случаев все три героя - хостер, регистр и сервер имен - это одно лицо. чтобы войти на сайт хостера и получить контроль над сайтом надо "залогиниться". так вот... не используйте в качестве логина почту, которую вы завели для этого же сайта! то есть, чтобы зайти на сайте хостера в администритивную панель сайта "ввв.мойсайт.ком" не используйте почту "админ@мойсайт.ком". лучше повесте свой сайт на жмыловский адрес. иначе, злодей, вскрыв хостера, получит к сайту бонусом и вашу почту.

3. старайтесь не оставлять свои платежные данные в сети у непроверенных товарищей. это самая бестолковая рекомендация (To avoid their imprudence from destroying your digital life, don’t let companies such as PayPal and GoDaddy store your credit card information.)

и вообще... пэйпэл отрицает возможность утечки последних цифер. как по мне, так чернуха это...

 

Чувак в при регистрации в твиттере указал свое имя admin@site.com
Взломав site.com, получили доступ к почте. Далее в твиттере нажали на "забыл пароль", и пароль отправился прямиком им в руки. Какой был емейл указан на домене - не важно, важно, какой был в твиттере указан.

Чтобы такого не допустить, в статье рекомендуют на всяких сайтах указывать свой @gmail.com адрес, т.к. взломать гугл сложнее, чем личный домен.

 

эээ... что не так?
вот

чувак хотел добраться до твитера. на твитере "забыл пороль" оказлся слишком сложным..

тогда хацкер пошел в обход... через пэйпэл. оттуда на гоу-дадди... и тогда уже мыл. и прочие ништяки. и потом шантажом вынудил дать доступ к твитеру.

хацкер хотел твитер. твитер взять не получилось... я так понял, что мыл регистрации на твитере был как раз не админ@мойсайт.ком
хотя бестолково написано.. я не пойму, автор поменял мыл твитера

но когда он это сделал? до или после?
так как

то хацкер через хостера добрался до почты, попросил сбросить пароль, но пока суть да дело (MX record) хитрый японец поменял почту на недоступную....

 

Да, именно. Повезло. Но изначально он в твиттере указал почту на своих доменах.

Вот он про это пишет:

--- Сообщения объединены, 5 фев 2014, дата первого сообщения: 5 фев 2014 ---

Чтение его поста нужно перемежать с соцерцанием фотографии цветущей сакуры

 

ага... но тогда на что возражения? я же сказал, что вешать надо на gmail ))))

 

Это значит надо по жизни ходить с телефоном или какой-то там распечаткой с кодами. Каздый раз запарно. A у кого-то телефона и вовсе нет
Я бы завел одно секретное мыло, на котором бы висели только финансовые инструменты, туда не так часто надо ходить.

 

Это ведь конкретно про админку сайта, так? А я про более глобальное.

--- Сообщения объединены, 5 фев 2014, дата первого сообщения: 5 фев 2014 ---

Я тоже боялся. По факту, можно поставить галочку "запомнить меня", и в этом браузере больше спрашивать не будет.
Но при заходе с неизвестного браузера спросит код обязательно.
И да, можно без СМС - через приложение Google Authenticator.