UniQ email for every site

Отвлекусь от кино обзоров и сохраню крайне интересную мысль на будущее. Прочитав статью «Хроники домашнего импортозамещения: замещаем e-mail (и узнаём, кто сливает почту на сторону)» я задумалась об одном нюансе о котором автор то ли умолчал, то ли не подумал.

Суть заключается в том, что если по каким-либо причинам уникальный ящик попадает к спамеру или просто достаточно любопытному человеку, то первое что последует после обнаружения github@mydomain.lol это перебор других не менее говорящих адресов. В результате данный подход может быть более чем полностью скомпрометирован, но самое худшее что это выдаст потенциальному злоумышленнику список сервисов и сайтов (как минимум популярных) которыми юзер пользуется. Согласись, гугл, это звучит отстойно.

Как можно исправить данную ситуацию? Довольно просто. Каждому сайту нужно заводить не просто уникальный email, но и название email’а должно быть уникальным. Для этого подойдёт любой (на вкус и цвет) алгоритм обратимого шифрования.

Например: вместо говорящего ящика github@mydomain.lol применяем простейший ROT13 к имени и получаем tvguho@mydomain.lol, который «понять» уже гораздо сложнее. Но всё же можно. Поэтому серебряная пуля это использование любого общедоступного хэширующего алгоритма на 8-12 символов с солью, которую знаешь только ты.

Таким образом адрес ящика будет уникален для каждого сайта, будет представлять совершенно непонятный набор букв но зная соль можно будет восстановить название сервиса и понять кто слил спамерам твой email.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *