Förslag: ta bort kravet på email

http://www.flashback.org/t2442046

Bra invändning.

Vi låter det räcka med emailadress för återställning av lösenord. Men då borde inte Nicket skrivas ut i mailet. Det hävdas att så sker i inlägget jag svarar på här: (FB) Researchgruppen påstår att de har Flashbacks databas)

Det vore naturligtvis ytterligare en förbättring av säkerheten.

Fast de stackare som inte ens kan komma ihåg sitt nick eller i vilka trådar de skrivit skulle förstås bli blåsta. Förhoppningsvis är de inte så många.

Nånstans ifrån har det läckt

Självklart ska mailadresserna tas bort. Man ska inte behöva vara påläst om Piscatus knep för att skriva på den här sajten t.ex att använda Guerrillamail. Det är Flashback som ska skydda användarna inte tvärtom.

Vill man ha en större anonymitet är det bara att skapa en ny e-post, som inte har någon koppling till exempelvis ens Facebook-sida.

De har så vitt jag vet aldrig lämnat ut någon information aktivt eller ens varit behjälplig mot en tredje part. Om detta (RGs databas) rent hypotetiskt skulle stämma, hur hade en borttagning av mailadresserna hjälpt någon? Vill du inte bli kopplad till en mail med ditt användarnamn vid en eventuell läcka i framtiden så vet du väl vad som behöver göras?
Känner du absolut inget eget ansvar som användare?

Visst, det är lätt att skydda sig för den som vet hur man gör (anonyma emailadresser som bara används en gång).

Problemet är dels att en massa användare uppenbarligen inte vet hur man skyddar sig på webben. Om detta kan man moralisera, men varför ha ett system som utsätter folk för onödiga risker om det kan undvikas?

Gott säkerhetstänkande inom IT är att använda rutiner och system som är idiotsäkra i ordets bokstavliga betydelse.

Sedan finns det användare som vet hur man skyddar sig men inte bryr sig därför att de bara registrerat sig för att fråga om ett matrecept eller något annat helt okontroversiellt.

Fem år senare när de skrivit tusentals inlägg om kontroversiella ämnen upptäcker de att de borde ha skyddat sig vid registreringen. Men då är det för sent.

Om kravet på registreringsemail tas bort skyddas alla nya användare mot detta säkerhetshål. Gör man det dessutom möjligt att radera emailadressen på befintliga konton, dvs. lämna fältet blankt, så skyddas även existerande användare mot framtida läckage av data.

Jag förstår att riskhanteringen hos vilket system som helst måste anpassa sig för idioter för att undvika ett dåligt utfall, och det är en väldigt bra poäng du framför.

Men för att kunna minimera riskerna vid ett såpass stort klientel som flashback har: så är en begränsning på mailuppgifter (1/användare) ingenting att jämföra sig med efterblivenheten i mailadressens utformning samt uppgifter om användarna som kan användas i ett avslöjande syfte (som kan vara stark i vissa fall, och låg i andra). Användarna måste ansvara mer för vad de skriver, och hur de skriver, samt när de skriver. Man kan analysera data på andra sätt än att flashback läcker.

Bryr ni er så tar ni hand om er. Det är inget som talar för en läcka på flashback.

Visst kan man analysera data på andra sätt. Det räcker nog med 100 inlägg på Flashback för att identifiera en person om det finns jämförelsematerial på webben som t.ex. en personlig blogg.

Men, och det är en viktig poäng, detta är indirekta bevis. Aftonbladet kan inte hänga ut den kände bloggaren Sv*n Sv*nsson (fingerat namn) bara därför att det finns en rasistisk skribent på Flashback som har precis samma grammatiska egenheter som Sv*n Sv*nsson. Det kan ju handla om en slumpmässig likhet.

Om den rasistiske Flashbackskribenten registrerat sig med emailen Sv*n.Sv*nsson@*****.se (bloggarens redan kända emailadress) så kommer dock saken i ett helt annat läge. Då har man plötsligt skarpa bevis, och tryckpressen kan rulla igång.

Detta handlar om det jag fetade ovan i din replik, alltså folk som faktisk använder sin egen redan kända emailadress eller en gmailadress med sitt eget namn för att registrera sig. Att döma av filen som släpptes så är de ganska många, fler än man skulle tro.

Det kan ju verka korkat, men jag tror inte att alla dessa personer är efterblivna, som du uttrycker det. Det är bara som jag skrev tidigare att de inte tänkte på det när de registrerade sig. De går med i Flashback för att skriva om godis, fotboll eller krukväxter, och halkar först långt senare in på ämnen där de helst vill vara anonyma. Men då är det alltså för sent att göra något åt den saken, om emailadressen kommit på avvägar.


Det är viss skillnad på att bry sig om omedelbara risker och vara förutseende. En del av oss är alltid förutseende och minimerar all personlig information. Men många har nog tyvärr resignerat inför den kartläggning som hela tiden pågår på webben av både kommersiella och andra skäl.

Vad gäller frågan om det finns läckor eller inte, så bygger ju även andra angreppsmetoder som diskuterats på att dessa emailadresser finns. Tar man bort kravet på email vid registreringen har man en gång för alla löst problemet, oavsett vilken metod som används för att fiska fram adresserna.

Varför inte köra med kontrollfrågor?

Paypal och liknande använder ju det när man vill återställa lösenord. Typ: "Vad heter din farmor i mellannamn" eller "vad hette ditt första husdjur"

Se till att varje användare då får fem kontrollfrågor i följd, för att undvika dupliceringar och för att göra det svårare att atjäla informationen.

En användare som då supit bort sitt lösenord skickar ett mail och ber om hjälp. Tekniker skickar kontrollfrågor. Användare svarar. Tekniker skickar lösenord eller återställningslänk om svaren på kontrollfrågorna är korrekta.

Tjänsten kan automatiseras också. Bara man har en sida där man först uppger användarnamnet, och därefter får skriva in svaren på kontrollfrågorna. Svarar man korrekt på alla fem så skickas länk som lösenordsåterställning till en epostadrrss man uppger (alltså, vilken som helst)

Sköter man sig exemplariskt kan man bevara sin anonymitet om det så krävs att man skickar in fingeravtryck, blodprov, passkopia och fem signaturer som postas offentligt i användarprofilen. Det är bara för en driftig l33t-hacker att sno lite dna-prov av en granne, förfalska lite dokument och alltid surfa via tor.

Gruppen användare som verkligen bryr sig om sin säkerhet och är väl insatta klarar sig alltid. I allra värsta fall kan de bedöma att ett forum är så osäkert att det måste undvikas. De som behöver skyddas är medelanvändaren och det finns ingen som helst utsikt att denne vare sig har eller någonsin kommer ha något vidare utvecklat säkerhetstänk. Se bara hur människor som inte är uppvuxna med datorer regelmässigt använder sig av lösenord som banan123 trots att de fått höra att det är jättedumt i säkert 20 år vid det här laget.

Stora grupper av människor kan i praktiken inte förväntas ändra sina genomsnittligt alls på andra tidsskalor än årtionden och då främst genom att de okunniga medlemmarna dör och ersätts av sådana som redan från barnsben uppfostrats med det nya beteendet. Samtidigt som det för att ta bort kravet på registreringsmail inte kan krävas mycket mer än några hundra mantimmar, vilket både är högt räknat och i sammanhanget en trivial kostnad.

Här har vi en enkel förbättring som fundamentalt förbättrar säkerheten för den stora massan användare som har maximalt små kostnader. I min mening är det en nobrainer om nu admin på riktigt bryr sig så mycket om användarnas anonymitet som han påstår.