オンラインサインアップに一意のメールアドレスを使用していますか？

Question

ユーザーのTwitterハンドルの最近ソーシャルエンジニアリングを読んだ後、自分のオンラインセキュリティを改善する方法について考え始めました。

結局のところ、私たちを保護するために使用するサービスを提供する企業を信頼する必要があるため、私たちは自分自身を保護することができます。

それでも、各オンラインサービスに一意の電子メールアドレスを使用すると、ソーシャルエンジニアリング攻撃の難易度を高めるセキュリティの層が追加されるのかどうか、興味があります。

たとえば、同じメールアドレスを使用する代わりに、 joshu@mydomain.com github_a4f3@mydomain.comまたはgithub_cliche@mydomain.comなどを使用します。 _ a4f電子メールアドレスの一部はランダムであり、特定の意味がなく、単にgithub@mydomain.comを使用するよりも推測が困難になります。

または、ランダム文字列の代わりに、dicewareを使用して実際のWordを追加します。

これを行うことに価値はありますか？

user10211 · Answer

あなたが考えていることすべきすべてに対して単一のメールアドレスを使用するよりも優れたセキュリティを提供します。ただし、それを管理することは大きな痛みです。あなたがwillは最終的に故障し、システムのフォローを停止するため、重大な不便は優れたセキュリティの最悪の敵です。

あなたがすることすべきすることはあなたのアイデンティティを分離することです。たとえば、FacebookまたはTwitterアカウントと銀行口座の両方に同じメールアドレスを使用しても意味がありません。さらに悪いことに、個人的な通信やビジネスの問題に同じメールアドレスを使用するのは意味がありません。たとえば、 this guy は、個人のAmazonアカウントとスタートアップのAWSアカウントの両方に同じメールアドレスを使用していました。この目的のために、個別のIDを保持することは、一般的に良い考えです。

Amy S · Answer

確かに、それは間違いなく別のセキュリティ層を提供します。

しかし、現実的には、特定のアカウントごとに1つずつ、膨大な数の異なるメールアドレスを持つことは、通常、困難です。特定のカテゴリ（個人、請求書など）に使用する5〜10のほうが好きです。

これはアイデアを非常にうまくまとめたブログ投稿です： https://securosis.com/blog/consumer-security-tip-use-multiple-email-accounts-to-reduce-fraud-and-spam =

Jari Huttunen · Answer

Gmailでは、メールアドレスの前にプラス文字を追加する限り、メールアドレスの後に何でも追加できます。たとえば、firstname.lastname + anythingyoulike @ gmail.comは常に実際のアカウントfirstname.lastname@gmail.comにメールを配信します。ただし、ヘッダーから、電子メールが最初に送信されたアドレスを確認できます。サイト名またはランダムな文字列を追加して、問題のサイトに固有にすることができます。

実際、firstname.lastname @ gmail.comはfirstnamelastname@gmail.comと同じで、firstname.lastname + anythingyoulike @ gmail.comと同じです。 GMailは、ドットと+文字の後のすべてを無視します。したがって、新しいアドレスを登録する必要はありません。これらのルールを適用すると、単一のGMailアドレスを使用できます。

SPRBRN · Answer

私はこの目的のために1つのドメイン名を登録しました。私のドメイン名ではなく、意味のないドメイン名です。サブドメインにはキャッチオールを使用しています。キャッチオールはスパムに問題がある可能性があります（システムに送信されると、ドメイン内の任意のアドレスに送信される可能性があるため）。しかし、今までは何も届きません。メインドメインはメールを受け付けません。

例としてドメインxyzmail.infoを取り上げます。 qwe.xyzmail.infoのMXレコードを作成し、キャッチオールを設定して使用しました。 nyt@qwe.xyzamil.infoやTwitter@qwe.xyzamil.infoなどのアドレスを使用できるようになりました。lolcatforum@ qwe.xyzamil.infoがハッキングされ、私のメールアドレスが盗まれた場合、このアドレスにスパムが届くと思いますいくつかのポイント。次に、このエイリアスをdev/nullにリダイレクトするか、ルールを設定してそれを破棄します。サブドメインがスパムリストに表示された場合、それを削除して別のドメインに切り替えることができます。

キャッチオールを無効にして、新しいニュースレターごとにエイリアスを作成できます。（安全な）ワンクリックアクションで新しいエイリアスを追加できない限り、これは実際には使用できません。

使用しても動作しますか？私はこれを約20のニュースレターに使用しました。私は一度、私の住所を尋ねる店でこれを使用したことがあり、これは多くの混乱を引き起こしました。私はそれを10回綴る必要があり、そして彼らの名前が住所にあった理由を説明しなければなりませんでした。そこで、それらの機会のために、別のアドレスを使用することにしました。すべてのログインを追跡するには、Lastpassを使用します。

振り返ってみると、ポイントはもうわかりません。将来、ISPからエイリアスに切り替える予定です。 Gmailはオプションです。 Gmailでユーザー名の後に+を付けるのも良い方法ですが、スパマーもこれを知っており、自動的に削除するスクリプトを作成している可能性があります。 Gmailのスパム対策は適切に機能するため、実際の問題ではありません。

メールを分割します。プライベートとビジネスは別です。ニュースレターは私用のメールには送られません。別の住所でのショッピング。 Paypal、Apple、Amazonなどの非常に有名な会社では、プライベートGmailを使用しています。

KennyC · Answer

この方法は私がテストしていませんが、提案は次のとおりです。GoogleAppsやドメインレジストラーなどの「コア」サービスを別の個人情報のセットで維持するようにしてください。ソーシャルネットワークで公開されることのない、ごく少数の人しか知らない予備の自宅住所、予備の電話番号などを使用している可能性があります。もちろん、これらのサービスにもクレジットカード番号を保存しないでください。そのため、攻撃者はあなたの二次的な詳細を知る必要があります。これは、取得するのがはるかに困難です。