image

"E-mailadressen geen goede permanente identifier voor accounts"

dinsdag 2 januari 2024, 11:11 door Redactie, 11 reacties

E-mailadressen zijn geen goede permanente identifiers voor accounts, zo stelt Chris Siebenmann van de Universiteit van Toronto. Veel organisaties maken gebruik van e-mailadressen als interne identificatie voor accounts. Volgens Siebenmann zijn er twee problemen met deze aanpak. E-mailadressen van personen kunnen veranderen, zelfs binnen een organisatie. Daarnaast bestaat er de mogelijkheid dat organisaties e-mailadressen hergebruiken.

"Soms heb je geen keus, omdat account recovery via het bekende e-mailadres moet gaan, maar in andere gevallen heb je een vorm van interne ID die uniek en permanent zou moeten zijn, en die moet je gebruiken", aldus Siebenmann. Zelfs wanneer e-mailadressen voor accountherstel worden gebruikt, zou de interne identifier die de organisatie voor accounts gebruikt betekenisloos moeten zijn. "Dit maakt je leven op de lange termijn een stuk eenvoudiger, zelfs als het nooit aan mensen wordt getoond."

Het pleidooi van Siebenmann zorgde voor honderden reacties op Hacker News. In één van de reacties wordt gesteld dat er geen goede identiteit is. "E-mailadressen veranderen, mensen verliezen toegang tot oude e-mailadressen. Mensen houden niet van gebruikersnamen, ze willen niet-unieke gebruikersnamen kunnen kiezen in plaats van iets als user53267 te gebruiken. Mensen verliezen toegang tot apparaten, alleen het opslaan van een geheim UUID in hun cookie, of het gebruik van een passkey van hun apparaat gaat niet werken. Er is geen ideale oplossing, behalve het combineren van verschillende dingen."

Reacties (11)
02-01-2024, 11:15 door Anoniem
Werkt hier overigens prima. Elk account heeft hier zijn eigen e-mail adres en ik kan prima zien bij wie ik het account heb aangemaakt. ;-)
02-01-2024, 13:52 door Anoniem
Waarom willen mensen altijd het wiel opnieuw uitvinden.

Het heet plus adressing het is er voor gemaakt. Je behoudt 1 mail domein en je maakt voor alle services waar mogelijk een nieuwe alias aan en uniek wachtwoord. Alles komt binnen op hoofd domein is er een compromised dan verander je de alias en blokkeer je verkeer van dat specifieke adres. Je kunt vaak ook er aan herkennen wie je data heeft gelekt gezien het unieke mail adres maar bij 1 partij bekend hoort te zijn. Je kan dood eenvoudig een ruleset aan maken dat als mailing niet vanaf zeflde domein komt je het flagged voor review. En de alias zelf kan willekeurig zijn zolang je de werkelijke dienst naam maar ergens anders noteert zoals in de keymanager of andere database.

Je weet dan ook in 1 oog opslag waar je datacontrollers zich bevinden en bij een data cleanup kun je gauw beslissen met welke partijen je contract wilt verbreken. Ik heb bij elke alias erachter in mijn keymanager de link staan naar de wachtwoord reset functie en dpo contact adres zodat ingeval van issue ik niet achteraf nog moet gaan zoeken.

Het enige realistische gevaar is dan dat het werkelijke maildomein inlog gehacked wordt. Maar als je daar een MFA en extreem lang wachtwoord op zet met een keymanager is dat gevaar ook minimaal zolang je je provider vertrouwd met de data gezien je niet inlogt met de zelfde mail adres en wachtwoord op externe diensten.

Naast dat je gespammed kan worden op het hoofddomein maar uit ervaring weet ik dat meeste mail bots plus adressing gebruiker vermijden omdat het een veel gebruikte honeypot is door cybersecurity bedrjiven en de verstuurder dan liever 1 potentieel target verliest dan risico lopen dat hun werkwijze wordt opgemerkt. Ik krijg misschien 1 spam bericht in de maand binnen op het hoofddomein als ik geluk heb terwijl ik weet dat ik op atleast 4 afzonderlijke datalek lijsten sta sinds 2015.

Ik zelf heb vor extra veiligheid er nog een secret token en IP allow list opzitten voor inlog op mail interface omdat ik een statisch IP lease voor zakelijk gebruik heb naast een consumenten IP lease voor regulier gebruik. Wil je nog een stap verder dan forward je de mail van alle aliassen naar een compleet ander maill domein waar je de mail werkelijk op afhandeld en log je dus nooit in op het alias hoofddomein. Al is dat naar mijn mening overkill in meeste gevallen. Bovenstaande is voor meeste personen al uberhaubt ovekill laten we eerlijk zijn.


De logische opvolger van dit alles is zero trust architecture (ZTA) maar dat is nog redelijk in kinderschoenen qua implementatie en meeste diensten bieden nog niet eens MFA of OTP aan dus zal nog wel jaren duren voor het vlucht neemt.
02-01-2024, 14:05 door Anoniem
Was dit voor een afstudeeropdracht?

Ik bedoel echt zucht. Het email protocol is al meer dan een halve eeuw oud. Het had bijna nog de oorlog meegemaakt kunnen hebben. En dan heb je nòg steeds briljante piechums die doen alsof ze het gisteren zelf uitgevonden hebben. En er dan ook nog wijze leefregels aan koppelen. Zo een kind wat je evenwel een Fanta gunt.

Voor unieke identificatie bestaat geen panacee. Althans technisch. Dat heeft ook nooit bestaan. En dat gaat er ook nooit komen. Al bedenk je een 300FA. Wat van belang is is menselijk contact. Waarin meer dan aannemelijk is dat je het echt zelf bent en je niet meer bij je account kunt. Dat menselijk contact zijn we de afgelopen decennia steeds meer en meer aan het buitensluiten. Met als volkomen logisch gevolg dat we daar op een gegeven moment allemaal een keer de lul mee gaan zijn.

Er zijn hier lezers die je ook beter een Fanta gunt. Maar ook talenten die er echt betere oplossingen voor weten te bedenken. Zolang je ze niet teveel Fanta geeft.
02-01-2024, 14:41 door Anoniem
Door Anoniem:
Het heet plus adressing het is er voor gemaakt.
Ik denk dat je aliasing bedoelt.

Want met plus-addressing word dit bedoelt: "mijnemail+mijnservice@provider.nl"
Alle mail komt gewoon binnen op de inbox van "mijnemail@provider.nl", maar wel gericht aan "mijnemail+mijnservice".

Maar sommige diensten strippen alles achter de + weg, of staan het gebruik ervan niet eens toe.
En een beetje spamlijst filtert de "+mijnservice" weg, zodat je nog steeds niet weet waar het vandaan komt.
Dus als je de keuze hebt, mijn advies is verkies aliasing boven plus addressing.
02-01-2024, 16:38 door Anoniem
Door Anoniem:
Door Anoniem:
Het heet plus adressing het is er voor gemaakt.
Ik denk dat je aliasing bedoelt.

Want met plus-addressing word dit bedoelt: "mijnemail+mijnservice@provider.nl"
Alle mail komt gewoon binnen op de inbox van "mijnemail@provider.nl", maar wel gericht aan "mijnemail+mijnservice".

Maar sommige diensten strippen alles achter de + weg, of staan het gebruik ervan niet eens toe.
En een beetje spamlijst filtert de "+mijnservice" weg, zodat je nog steeds niet weet waar het vandaan komt.
Dus als je de keuze hebt, mijn advies is verkies aliasing boven plus addressing.
Dat is exact het zelfde andere benaming net als dat het soms subadressing wordt genoemd.

Je kan ook een ruleset schrijven dat alles dat niet vanaf een specifiek plus of sub adres komt wordt verwijderd. Ik filter het naar een subfolder die ik eens per week bekijk en die is nagenoeg bijna altijd leeg. Wat wel voorkomt dat je in begin soms nog niet weet welke verwerkter je partij gebruik van maakt en je dan je ruleset moet bijstellen.

En ja het werkt helaas niet bij alles maar dan kun je ook kiezen gewoon de partij niet te gebruiken.
Een dienst dat mijn veiligheid niet respecteer hoef ik geen zaken mee te doen.

Maar uit ervaring weet ik dat plus adressing wordt vermeden door meeste bots. Hoe weet ik dat omdat ik een dummy domein heb waar ik ook altijd op registreer naast reguliere dienst en ik daar sinds dat ik mail gebruik wel veel shit op krijg terwijl de afnemers gelijk zijn en dus ook de datalekken. Dat maakt het redelijk makkelijk als betrouwbare methode om volume verschil te meten qua spam. zeker omdat ik zelf alle mail servers bezit en dus de werkelijke verwerking en bounce logs heb en niet simpelweg een consumenten niveau spamfilter waarbij de meeste sht al door de provider wordt gefilterd zonder dat de eindgebruiker het doorheeft.
02-01-2024, 17:58 door Anoniem
"Een thuis adres is niet goed, er kan immers iemand anders gaan wonen."
02-01-2024, 19:19 door Anoniem
Door Anoniem: Was dit voor een afstudeeropdracht?

Ik bedoel echt zucht. Het email protocol is al meer dan een halve eeuw oud. Het had bijna nog de oorlog meegemaakt kunnen hebben. En dan heb je nòg steeds briljante piechums die doen alsof ze het gisteren zelf uitgevonden hebben. En er dan ook nog wijze leefregels aan koppelen. Zo een kind wat je evenwel een Fanta gunt.

Voor unieke identificatie bestaat geen panacee. Althans technisch. Dat heeft ook nooit bestaan. En dat gaat er ook nooit komen. Al bedenk je een 300FA. Wat van belang is is menselijk contact. Waarin meer dan aannemelijk is dat je het echt zelf bent en je niet meer bij je account kunt. Dat menselijk contact zijn we de afgelopen decennia steeds meer en meer aan het buitensluiten. Met als volkomen logisch gevolg dat we daar op een gegeven moment allemaal een keer de lul mee gaan zijn.

Er zijn hier lezers die je ook beter een Fanta gunt. Maar ook talenten die er echt betere oplossingen voor weten te bedenken. Zolang je ze niet teveel Fanta geeft.
Een hele diepe zucht.
Goede voornemens voor dit nieuwe jaar, reageerders in hun waarde laten.
02-01-2024, 21:23 door Anoniem
Door Anoniem:
Het heet plus adressing het is er voor gemaakt.

Absoluut niet. Als jij Jan.Janssen@example.com hebt, en je wijzigt je naam, bijv. trouwen, scheiden etc. dan klopt je e-mail adres niet meer. Als je bedrijft fuseert met dat van een ander - hetzelfde probleem. Een UPN hoort een onwijzigbaar iets te zijn, waar een e-mail adres dat absoluut niet iets, daarvoor heb je alias.

En als jij denkt dat een UPN wijzigbaar kan zijn, lees je eens in op FIDO keys en hoe die omgaan met usernames. Smartcards idem dito al is dat wat ouder in techniek. Wat te denken van B2B waarbij de remote omgeving niet automatisch update obv jou bron.

Plus addressing voor UPN is volstrekt waardeloos, ongeveer net zo’n briljant idee als het gebruiken van UPN=Mail
02-01-2024, 22:28 door cyberpunk
Door Anoniem: Werkt hier overigens prima. Elk account heeft hier zijn eigen e-mail adres en ik kan prima zien bij wie ik het account heb aangemaakt. ;-)

Een eigen domeinnaam registreren met mailhosting en dan via een catchall unieke adressen aanmaken voor elke account. Zo werk ik ook al jaren. Krijg ik spam, dan weet ik vanwaar het komt.en kan ik het adres makkelijk blokkeren en vervangen.
03-01-2024, 10:12 door Anoniem
Door Anoniem: "Een thuis adres is niet goed, er kan immers iemand anders gaan wonen."

Dat is ook niet geschikt , onder andere om die reden .

Daarom hebben alle overheden BSN (NL) SSN (US) etc bedacht als primaire key .
03-01-2024, 12:24 door Anoniem
Het zou handig zijn als er een universele internationale oplossing kwam voor het ophalen van berichten, en dan het liefst gebaseerd op een makkelijk toegankelijke web-based service zodat iedereen er terecht kan.
Een alternatief op het verouderde E-Mail, maar dan met beveiliging in gedachten en de mogelijkheid voor TOR-relays, etc.
Een alias-functie zoals nu op E-Mail beschikbaar is, maar dan nog makkelijker in te stellen zou daarnaast ook niet slecht zijn.
Misschien is deze optie er al, wie weet?
SMS zou ook uitgefaseerd moeten worden, dat is al helemaal niet veilig, iedere provider kan meelezen met de onversleutelde berichten en bewaren dit, en iedere Jan kan daar zijn phishingacties kwijt, evenals statelijke actoren met tools zoals Pegasus.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.