25.12.2022 15:27
GlobalSign_admin 27 4100 Источник


Парольный менеджер с генератором случайных паролей — стандартный инструмент современного пользователя. Но для максимальной рандомизации аккаунтов желательно генерировать не только пароли, но и юзернеймы.

Например, в рабочем чате и на постороннем любительском форуме лучше использовать профили с разными именами, чтобы постороннему наблюдателю было сложнее связать их в единое целое и использовать приватные детали жизни человека против него. Для безопасности каждая цифровая личность может использовать отдельный набор учётных данных — email, телефон, профили в социальных сетях, разные аккаунты в мессенджерах и др.

Зачем нужна рандомизация учётных данных? В первую очередь, для приватности.

Поиск по юзернейму на всех сайтах


Поиск по имени пользователя на разных сайтах — рутинная операция по доксингу пользователя в OSINT. Это позволяет связать воедино разные аккаунты, чтобы составить максимально полное досье, которое раскрывает множество подробностей о личной жизни человека.

Есть инструменты для автоматизации таких проверок. Например, опенсорсная утилита maigret (форк программы Sherlock), названная в честь персонажа популярной серии детективных романов, комиссара полиции Жюля Мегре.

Как и Sherlock, утилита maigret выполняет работу следователя: одной командой из консоли она проверяет наличие определённого ника (имени пользователя) на более 2500 сайтах.

Основные функции из документации:

  • Парсинг страниц профиля, извлечение личной информации, ссылок на другие профили и т.д.
  • Рекурсивный поиск по новым именам пользователей (которые найдены в результатах) и другим идентификаторам
  • Поиск по тегам (типы сайтов, страны)
  • Обнаружение капчи
  • Повторные запросы

Демонстрация использования:



Пример отчёта в PDF и HTML — всеобъемлющее досье на жертву, хотя система крайне уязвима для ложноположительных совпадений.

Итоговое досье:



Это наглядная демонстрация, почему на разных сайтах лучше использовать разные профили.

Набор цифровых профилей


У каждого человека разные потребности по части приватности и набора цифровых профилей. Например, при наличии семьи, двух работ и широкого круга друзей он может выглядеть так:

  1. Работа 1
    • настоящее имя
    • рабочий профиль в деловых социальных сетях
    • отдельный рабочий email, набор аккаунтов в мессенджерах (Telegram, Zoom и др.)

  2. Работа 2 (опционально)
    • настоящее имя
    • тот же рабочий профиль в деловых социальных сетях
    • другой email, телефонный номер и отдельный набор аккаунтов в рабочих мессенджерах

  3. Семья, родственники, друзья
    • настоящее имя
    • отдельный личный email
    • личный телефонный номер (опционально)
    • отдельный набор аккаунтов (профилей) в мессенджерах

  4. Набор анонимных аккаунтов для общения в интернете
    • псевдонимы
    • временные email
    • отдельные аккаунты в мессенджерах
    • отдельный временный телефонный номер (опционально)
    • для максимальной защиты можно каждый сеанс начинать с загрузочной флешки типа Tails, не сохраняя никаких файлов после сессии

Для рабочего и личного цифрового профиля можно завести отдельные физические устройства для доступа в интернет (ноутбуки, смартфоны), чтобы не смешивать разные куки и другие персональные данные на одном устройстве. Некоторые корпорации косвенно поддерживают такую изоляцию, выдавая сотрудникам корпоративные ноутбуки и смартфоны.

На ПК изоляцию профилей удобно выполнять через разные рабочие столы или отдельные виртуальные машины.

Telegram и другие мессенджеры тоже поддерживают быстрое переключение между разными аккаунтами.

Разумеется, в анонимном цифровом профиле для каждого сайта/сервиса желательно использовать случайный юзернейм.

Генерация случайных имён


Для генерации имён можно использовать те же инструменты, что и для генерации паролей. На КДПВ и скриншоте ниже показан опенсорсный парольный менеджер Bitwarden, где есть такая функция:



Парольный менеджер поддерживает генерацию имён по разным шаблонам:

  • случайные символы;
  • добавление случайного префикса к известному адресу;
  • случайный адрес на конкретном домене;
  • интеграция с генератором почтовых адресов (например, SimpleLogin, AnonAddy или Firefox Relay).

С парольными менеджерами довольно легко генерировать для каждого сайта уникальное имя пользователя.

Безопасность не бывает лишней.



Универсальная облачная платформа GMO GlobalSign. Управляйте всеми сертификатами из единой учетной записи

Комментарии (27)


  1. shasoftX
    25.12.2022 15:36
    #25045178
    -7

    Например, в рабочем чате и на постороннем любительском форуме лучше использовать профили с разными именами, чтобы постороннему наблюдателю было сложнее связать их в единое целое и использовать приватные детали жизни человека против него.

    Как вариант - не творить дичь и уж тем более не писать о творимой дичи в интернетах.


    1. YMA
      25.12.2022 16:42
      #25045340
      +8

      Сегодня это не дичь - пошутить с n-words, или запостить картинку с крестным ходом в грязи, или что-нибудь на тему гендеров / Винни Пуха / Илона Маска.

      А завтра - уже дичь, за которую кто-нибудь обидится и в суд подаст или попытается с помощью тусовки отмену сделать. Или Маск станет мировым диктатором и всех авторов шуток про него будет высылать выращивать картофель на Марсе. ;)

      Поэтому разные цифровые личности - вполне разумная стратегия поведения в Сети.


      1. shasoftX
        25.12.2022 18:00
        #25045484
        +1

        С таким подходом к жизни лучше вообще в интернетах ничего не писать


        1. p07a1330
          25.12.2022 18:59
          #25045630
          +3

          Справедливости ради - было множество прецендентов, когда пользователей судили за материалы, которые они условно в ЖЖшечке опубликовали 10 лет назад, а пару лет назад их признали экстремистскими
          Тривиально если я год назад опубликовал клип Тату, то сегодня я являюсь нарушителем...


          1. shasoftX
            25.12.2022 19:03
            #25045642
            -1

            А можно ссылки на такие прецеденты?


            1. p07a1330
              25.12.2022 21:02
              #25045926
              +4

              Ну например

              https://ura.news/news/1052461149


        1. YMA
          25.12.2022 19:01
          #25045636
          +5

          Ну как сказать - есть сказочный мир с зелеными драконами, где все несут ответственность за свои слова и анонимности нет. Есть другой сказочный мир с розовыми пони - где за слова не могут загнобить и считается, что каждый имеет право на выражение своего мнения.

          А есть реальный мир, где высказавшего мнение может атаковать анонимная безликая толпа, которая даже в случае ошибки, повлекшей тяжелые последствия - не понесет никакой ответственности, и где часть участников общения обеспечивает себе анонимность разными путями, при этом отказывая в анонимности другим. Поэтому благородство благородством - а если хочется обсудить злободневные темы, то делать это стоит в маске (хотя бы 255.0.0.0 ;) )


    1. Moskus
      26.12.2022 03:49
      #25046682
      +3

      Как вариант - не творить дичь

      Сколько раз обсуждали, и вот опять.

      Анонимность - инструмент, который может быть использован как для прикрытия незаконной или аморальной деятельности, так и для защиты от незаконного преследования, нарушающего гражданские свободы.

      Любой, кто выступает с подобной риторикой против анонимности - либо глуп и не понимает этого, либо намеренно выступает за тоталитарные порядки, либо пытается не очень удачно троллить этим.


      1. shasoftX
        26.12.2022 06:01
        #25046736

        Если вас незаконно преследуют или нарушают гражданские свободы - нужно обратится в органы правопорядка, а не генерировать рандомное имя пользователя на сайте.


        1. Moskus
          26.12.2022 06:56
          #25046770
          +3

          Расскажите это тем, кого незаконно преследуют с попустительства или при участии органов правопорядка.

          Вообще, звучит как очень толстый троллинг.


          1. shasoftX
            26.12.2022 08:35
            #25046896

            В любом случае эта проблема должна через официальные органы власти. По другому нё не решить.


            1. Moskus
              26.12.2022 08:50
              #25046912
              +1

              Это какая-то фантастическая ерунда.


        1. Tresimeno
          26.12.2022 13:26
          #25047786

          И в какие-такие " органы правопорядка " должен был обратиться, к примеру, ашкеназ из города Штуттгарта в 1938 году чтобы не нарушали его гражданские свободы? Вопрос к Вам ,как к любителю государства, как источника справедливости.


        1. skozharinov
          26.12.2022 13:28
          #25047794
          +2

          Если вас незаконно преследуют или нарушают гражданские свободы — нужно обратится в органы правопорядка

          Что-то я не помню массовых посадок сторонников cancel culture.


      1. dmi3mart
        26.12.2022 16:15
        #25048418

        Ну так а кто может провести чёткую грань между общественной и личной безопасностью? Вы сами говорите, что анонимность в сети может быть использована для ведения незаконной деятельности. Причём масштабы её сейчас таковы, что речь может идти о настоящей кибер-войне, а не просто о мелком мошенничестве. Обязанность государства - защищать общество от подобных угроз.

        С другой стороны этой медали - возможное нарушение личных гражданских свобод и злоупотребление технологиями со стороны властей


        1. Moskus
          26.12.2022 19:28
          #25049276

          "Настоящая кибер-война" - это грубая гипербола, которая может служить только тоталитаризму. Вот вы сейчас читаете это, чем конкретно вам и миллиарду других пользователей сети угрожает анонимность гипотетического хакера Васи, например? Или пользователя Твиттера Джона?


  1. Arhammon
    25.12.2022 15:36
    #25045180

    Рабочий аккаунт - это по моему единственный пункт, который не привлечёт внимание санитаров...


  1. funca
    25.12.2022 22:10
    #25046104
    +3

    Зависит от задач. Надо понимать, что это затрудняет склейку профилей только совсем сторонними зеваками. При этом практически ни как не защищает от агрегирования на стороне вендоров, чьими приложениями вы пользуетесь с разных аккаунтов.


  1. Exchan-ge
    25.12.2022 23:49
    #25046362

    Поиск по имени пользователя на разных сайтах — рутинная операция по доксингу пользователя в OSINT.


    Я как -то случайно обнаружил, что:
    а) мой никнейм (не этот :) используют еще несколько десятков юзеров на разных ресурсах

    б) у меня есть несколько десятков полных тезок в сети, причем у некоторых из них совпадает не только ФИО, но и полученное образование и профиль работы (вузы и города разные, но это не так бросается в глаза :)


    1. ksantd
      26.12.2022 00:04
      #25046398

      А у меня ситуация хуже. На одни из моих email, 3 или 4 тезки по фамилии, регаются на различных ресурсах - т.е. там где нет надобности в подтверждениях(оплатить штраф, нумизматический форум, что-то там про оружие было, машины...) =/


      1. Exchan-ge
        26.12.2022 00:32
        #25046450

        то-то там про оружие было, машины...) =/


        Это мелочь.
        Мне Гугл постоянно добавляет статьи и публикации тезок в мой профиль Гугл Академии, а это уже чревато — могут реально обвинить в приписывании себе чужих заслуг (или не заслуг :)


  1. savostin
    26.12.2022 00:35
    #25046456

    А как теперь всех этих личностей завести в браузере? Насколько я понимаю, только Chrome позволяет нормально работать с профайлами пользователей. Да и то бывают затруднения. Например, открыто 2 окна с разными профайлами. Клик на ссылке в Телеграм рабочего аккаунта может легко привести к открытию ссылки в личном аккаунте браузера и наоборот. Понимаю, что виртуалка "наше всё", но всё же...


    1. Moskus
      26.12.2022 03:53
      #25046684

      Не только Хром. https://support.mozilla.org/en-US/kb/containers

      Проблема тут в другом - многие сайты принципиально используют email, как имя пользователя, а необходимость создавать реальный уникальный почтовый адрес для каждого случая - так себе удовольствие. Псевдонимы с символом + не очень работают, потому что все равно включают в себя подстроку из исходного имени аккаунта.


      1. savostin
        26.12.2022 13:32
        #25047804
        +1

        Свой домен + Cloudflare Email = ∞ ящиков


        1. Moskus
          26.12.2022 19:31
          #25049284
          +1

          Это решение несколько иного технического уровня, не совсем для рядового индивидуума.


  1. iingvaar
    26.12.2022 11:34
    #25047372

    От просто генерации уникальных псевдонимов нет никакой пользы. Потому что к каждому псевдониму нужно зарегистрировать новый email. А к каждому новому email-у нужно привязать новый телефон. А каждый новый телефон можно купить только по паспорту.


    1. skozharinov
      26.12.2022 13:25
      #25047782

      Это же не от тов. майора защита, а от любителей доксинга. Email в таком случае (если он не публичный) можно использовать через + или настроить catch-all, если есть домен. Да и не во всех странах симку можно купить только с паспортом.