Комментарии 236
Да, дорого, но ИМХО стоит того.
А как он защищен от утери/кражи? И не может ли злоумышленник провести там атаку, выдавая себя за вас? Ведь симкарта не менее защищена от утери/кражи, атака проводится с помощью доверенности, подложного документа удостоверяющего личность или сотрудника оператора сотовой связи.
«На какой улице Вы родились», а число улиц весьма конечное число
Почему конечно? Просто вводите такую улицу yotCybKisvisgesyudd4
А нельзя было от соседей залогиниться и отменить привязку к айпи или привязать телефон? :)
Я как-то пытался заходить в гуглопочту из инкогнито — он выдал окно с требованием привязать телефон. Оно и раньше иногда бывало, но всегда присутствовала некая кнопка «пропустить», «отмена» или что-то такое. А в тот раз — равняйсь, смирно, привязывай тебе говорят или никуда дальше ты не пройдешь.
А вот наоборот же. Самое защищённое от взлома устройство — силикатный кирпич. На своём сервере крутятся полтора сервиса самых новых версий в конфигурации по умолчанию, каждый под своей учёткой без доступа к остальным. У гугла 100500 микросервисов, за которые отвечают 100500 человек, которыми командуют 900500 менеджеров, и всё это взаимоинтегрировано самыми изощрёнными способами. Где выше вероятность ошибки?
У меня свой сервер года… С 2011, наверное. Всё отправляется-принимается без проблем на все ящики — Mail.ru, Gmail, и т.д.
И да — я ему доверяю немного больше, чем ящику на Gmail, в плане того, что моя почта всегда со мной, и никто ящик не заблокирует.
CentOS6.6/Exim4/Dovecot.
Почему не завести свой email сервер? Домен стоит 2 бакса в год. На нём можно сделать сколько угодно email-ов.
Купить домен и арендовать виртуалку для своего почтового сервера, конечно же, можно, но под каким имейлом вы зарегистрируетесь на сайте регистратора и облачного провайдера?
С недавних пор TOTP (Google Authenticator) нельзя активировать пока не добавишь и не подтвердишь номер телефона. Без номера можно активировать только ключи типа Titan, но там тоже не все так гладко: https://m.habr.com/en/company/token2/blog/452022/
Надо проверить, но я подозреваю что нельзя
А попробуйте восстановление пароля. Телефон не «запомнился» ?
Можно отвязать, тут номер тоже надо удалить https://support.google.com/accounts/answer/183723
Там обычно и почта прилагается. И через них настроить пересылку/забор почты.
У меня болтается пяток аккаунтов в разных местах. Два года — пока живые.
Или взять симку без арендной платы, и кроме одного ящика, нигоде не светить. Майл.ру даёт возможность оформить десяток псевдонимов.
Сейчас виртуальных операторов, реклама идёт. Сколько там инертного периода особо не интересовался правда. Есть сколько-то халявных минут, смс и инета. Совсем немножко.
У билайна был в одно время тариф с немножко инетом, за небольшие деньги.
Да. Находили. Здесь регулярно появляется информация о таких уязвимостях.
Вот из крайнего, например
https://habr.com/ru/post/403649/
Проблема здесь не в самом телефоне, а в том, что второй фактор должен быть секретным.
проблема именно в телефоне, уже очень много случаев было кражи денег клонированием симок.
Если у сервиса обязательна привязка к телефонному номеру, он по умолчанию уязвим.
С другой стороны, как мне кажется, при утере, аннулировании (сколько времени сейчас за пользователем сохраняется номер?), краже или замене номера телефона, его привязка к сервисам превращается в серьезную проблему для конкретного пользователя.
А лучше вообще в онлайн не ходить и ничего никуда не привязывать: «нет ножек — нет мультиков».
Но в реальности чаще всего даже те, кто хоть немного понимают насколько все это небезопасно, выбирают для себя меньшие из зол.
Тут скорее поможет использование другого email сервиса, типа Protonmail.
У меня нет ни одного онлайн банка. Гугл аккаунт привязан на «левую» почту, на которой нет ничего официального.
Для всего финансового поднята виртуалка, с которой я хожу только в онлайн банкинг и не более.
Телефон для 2FA кнопочный, без выхода в интернет в принципе. Может я не такой гик со всякими синхронизациями и интеграциями, все нужое сохраняю отдельно.
В безопасность — не верю. Ни в свою не в чужую.
Так же не держу крупные суммы на картах. С зарплатной карты стараюсь не делать ни платежи ни совать ее в банкомат. А для сохранения лучше вообще отдельный безкарточный вклад/депозит.
Всё описанное весьма малозатратно (в том числе и с точки зрения комфорта) и имеет дополнительные преимущества, например, страховку от собственных ошибок. Я вот тоже не держу крупные суммы на платёжных картах. Меня зовут не Джо, но у меня была уже пара случаев, когда это спасло от непредсказуемых списаний. В одном случае продавец попытался списать сумму кратно больше ожидаемой, в другом у меня рука дрогнула и, условно, вместо 20 тысяч чуть не перевёл 200 :)
Аналогично с синхронизацией всего в облако.
Депозиты/ вклады без карты
На самом деле можно и на карте держать, просто эта карта не должна использоваться ни для чего, помимо переводов между ней и другими своими картами, которые уже используются для платежей, и на которых никогда нет крупных сумм.
Номер телефона выяснен? -Отправляемся к оператору за «портом» сим-карты со всеми вытекающими…
Приобретите YubiKey, который вы контролируете физически и который не может быть подменён.Смартфон я тоже контролирую физически, а если его подменят — я явно это замечу. Как минимум, потому что там включено шифрование данных, экран блокировки, а также заблокированный загрузчик.
Если загрузчик заблокирован — значит там родная прошивка — значит контролируете телефон не Вы, а производитель прошивки.
А я производителю доверяю намного меньше. Потому что многие из них уже не один раз спалились на установке всякой малвари, от просто приложений крайне сомнительной полезности, до вполне традиционной малвари. А вот получить доступ к конкретно моему телефону, да ещё и на время, достаточное для установки вредоноса, да ещё и чтобы я этого не заметил — при таком уровне целевой атаки лично на меня защищаться смысла вообще мало, а точнее на это нужно на пару порядков больше ресурсов, чем я готов выделить.
Но в целом именно из-за возможности описанной Вами атаки меня и бесит отказ TWRP от реализации парольной защиты. Стоял бы на загрузчике пароль, то, хоть это и не помешало бы заменить загрузчик во время атаки, атакующие бы не смогли вернуть всё как было не зная пароля. А это значит, что обнаружив что телефон "сам" перегрузился после того, как я терял его из виду, и сейчас спрашивает пароль от /data, можно было бы перегрузиться в загрузчик, и проверить, что на нём всё ещё стоит мой пароль.
Ага. И это требует заметно больше сложности и времени, чем добавить пароль — т.е. увеличение затрат на защиту заметно меньше увеличения затрат на атаку, т.е. добавить пароль однозначно стоит.
В общем, КМК, простая просьба добавить пароль, вызывает множество проблем реализации.
Где только Вы эти проблемы находите? Пароль должен лежать на разделе с самим TWRP. Если его забыли — просто перепрошивается TWRP и пароль при этом автоматически будет сброшен. Для брутфорса пароля нужно этот файл как-то получить, а для этого нужно уже выполняться под рутом внутри основной прошивки, чтобы подмонтировать раздел recovery и спереть файл с хешем пароля — а в этих условиях взлом recovery уже никого не интересует. В общем, здесь нет проблем.
Как ни странно, я бы в вашем случае доверился яблоку.
Про Apple согласен, там о безопасности начали думать ещё тогда, когда в Android даже шифрование данных реализовывалось каждый производителем по-своему (а лучше посмотреть на работу с отпечатками пальцев… сравним, скажем, Apple, где хранение и работа с отпечатками уже тогда велась на выделенном чипе и, допустим, HTC, где отпечатки хранились в формате BMP прямо во внутренней памяти телефона с разрешениями 0666).
Вы вводите пароль шифрованного раздела каждый раз при обновлении, или он сохранен на устройстве?
Поддержка такого механизма появилась, начиная с TWRP 3.2.2
Злоумышленник сделает примерно то же самое: зайдёт в рекавери, воткнёт карту памяти с подготовленным образом /system и отдаст команду рекавери раскатать образ в нужный раздел.
Вся проблема в том, что в Android шифруются только пользовательские данные, а вот раздел с системными файлами не зашифрован никак. Аналогично себя ведут дистрибутивы Linux, если выбрать шифрование /home вместо шифрования всего системного накопителя.
модуль защиты от Bloomberg
Можно ссылку на этот модуль. Что-то не могу нагуглить по модуль защиты от Bloomberg.
Или не большую статью-заметку по нему.
Тоже интересуют аппаратные токены авторизации.
По типу аппаратного Google Authenticator
Я буду обновлять комментарии..)
Вот вам аппаратный аналог Google Authenticator-а,
Только в случае с Gmail это вряд ли изменит ситуацию: https://m.habr.com/en/company/token2/blog/436978/
Что — неужели в США в принципе нельзя заказать такую услугу? Или coinbase оно в принципе не надо?
Тут же просто сервис в Интернет, без регистрации по паспорту. Кто и как будет проверять легитимность замены сим? Задержка в сутки есть, она призвана устранить этот риск.
Нормальный человек при потере доступа к основной учётке Гугла и сим-карте уж точно бы посмотрел историю операций по ней, обнаружив смену пароля — немедленно сменил бы пароли на привязанных туда критических сервисах. А тут какое-то редкое раздолбайство.
История из жизни. Знакомая пришла в их офис и просила отключить старый номер, подключить новый. На ее беду — УСТНО. Они отрапортовали — все сделано. Только вот спустя какое-то время у нее с карты ушли 10К рублей. Увел «новый владелец старого номера». По смс-банкингу. Не отключили!
И ей никто ничего не вернул, а доблестная полиция так и не смогла расследовать чертовски сложное дело — с помощью не менее «заботливого» Сбера и сотового оператора.
Но если симку портировали с помощью Обсоса, нарушив условия конфиденциальности, то есть очень большой шанс через суд повесить на них убытки. Пример вот тут. При этом доказывать что третье лицо получило от них симку законно и с согласия абонента надо Обсосу.
Раньше (comp128v1) можно было сделать настоящую копию — подобрав Ki, потом эту дырку прикрыли, и, как я понимаю — с появлением 4G (LTE) шифрование еще усилили, и на сегодня широкоизвестных способов клонирования SIM нет.
PS: Так что бдим, и если вдруг телефон перестал регистрироваться в сети — поднимаем панику.
Знаю много таких случаев у знакомых — договоры переводили на себя с умерших людей, уехавших за рубеж, и просто с левых данных…
В Украине можно обойтись и без сообщника
Достаточно знать номер жертвы.
Карточку можно восстановить в офисе зная три последних номера на которые звонила жертва. Злоумышленнику еще и хорошего дня пожелают!
Либо через систему самообслуживания. Для этого правда нужна смс от оператоа, но тут помогает социальная инженерия. Сказки про "переключаем на другую вышку/ищем потеряное ведро зуммеров" до сих пор действую на людей и помогают мошенникам узнать заветный код.
В последнее время, кстати, случаи участились.
Примерно так:
Звонок жертве с номера-1: мужик, купи слона
Пополнение счета на $20
Звонок жертве с номера-2: все говорят "какого слона?", а ты возьми и купи слона
Поход в техподдержку оператора: здравствуйте, я тут сумку потерял, номер такой-то, на счёту было около $20, последние звонки на номер-1 и номер-2.
Это реальная схема с которой сталкивались пару лет назад. Нужен слитый номер телефона через сообщника или сайт бесплатных объявлений.
я тут же сбрасываю пароль и завершаю все сессии.
Откуда сбрасываете пароль? почта уже угнана
на предмет возможной террористической атаки и последующего глушения связи спецслужбами
Я так понимаю — это у вас там самая частая причина пропадания мобильной сети? :)
причина, которую проверить быстрее всего — в пару кликов, вместо бесед с роботом техподдержки
А кто у вас там так оперативно в твиттере отчитывается о предпринимаемых шагах — террористы или спецслужбы?
На почившей в прошлом году бирже WEX многие держали суммы, сопоставимые с потерянной автором статьи. По опросу, который я тогда делал получалось вот так:

Или в процентах от всей криптовалюты, которую хранили пользователи:

Половина хранила на соскамившейся бирже вообще всю свою криптовалюту. Не думаю, что они не знали, что у них есть большой шанс проснуться и не увидеть своих денег. Но удобство берёт своё. На бирже хранить удобнее, чем на кошельке. Привязка к телефону удобна в случае потери пароля. И т.д. Сложными двух-трёхфакторными аутентификациями всё равно будут пользоваться единицы.
Чтобы угнать мой ящик придется узнать от него пароль. А это возможно только «Терморектальным» методом :)
Или украсть его вместе с сервером, который представляет из себя Неттоп, запрятанный далеко за шкаф.
Хотя да, при переключении гдето на минуту всё отваливается, пока не обновится запись в DNS.
Ну и бесперебойник, который я думаю заменить на кое-что самопальное из старых банок 18650, коих у меня скопилось приличное количество…
В порядке паранойи можно добавить второй 3/4G модем, да солнечную батарею :)
Но как альтернатива — простенькая виртуалка + шифрование всего и вся на всякий случай ))
Не просто, конечно, но если кто-то угоняет сим карты (по сговору с оператором например), то почему кто-то не может так же угнать DNS запись?
Я не критикую Ваш метод и я не знаю всех деталей, просто пища для размышления.
Всё крутиться в Proxmox, да и ломаться там особо нечему (Эт вам не винда, где на любой чих получаем Bsod). Во всяком случае пару отключений света до установки бесперебойника этот сервачок успешно пережил.
Или украсть его вместе с сервером, который представляет из себя Неттоп, запрятанный далеко за шкаф.
У вас там диск зашифрован? Если нет, то «маски-шоу» или просто братки, сервер изымается, а дальше ну вы поняли. Если у вас лежит очень много денег в крипте, то силовой сценарий в России вполне реален, я читал о таком ни раз. Если нет и вы неуловимый Джо, то в принципе не вижу смысла так заморачиваться. В конце концов дедик на Kimsufi стоит всего-то 4 евро в месяц.
Как именно докопались до разных криптовалют и как их уводили — я не знаю. Думаю, что там должны быть какие-то пароли, ключи или что-то подобное, но их как-то или нашли или сумели обойти. Наверное. Я просто очень плохо знаком со всей этой криптотемой, поэтому не могу даже предполагать :)
esim?
У нас же такое не прокатит — левой симке нужный номер прописать.
По крайннй мере, физической.
Забрать номер — только через визит к опсосу с паспортом. Симку просто новую дадут. И да. По крайней мере, мой банк сразу блокирует все смс-ки, видя не ту симку на том же номере.
Профукать телефон вместе с симкой — это да — реально. Но тут же номер можно (и нужно) заблокировать.
Вобщем, сочуствую автору, но что-то явно не в порядке с безопасностью не только у него, ро и у опсоса, как минимум.
"На теневых форумах" и киллера заказать можно, и "приворожить", и "порчу навести"…
Но "общать" не всегда значит "жениться".
Лично я не понимаю как это можно сделать без прямого участия опсоса, не засветив сотрудника, этим занимающегося.
И да. Даже если при этом ничего не украдено, кроме самого номера, то это уголовка.
По крайней мере, мой банк сразу блокирует все смс-ки, видя не ту симку на том же номере.
А каким образом банк видит симку на номере?
Перенос в оффлайн кошель — плохо
Почему?
Вы можете вложить большие средств (например, купив три высоконадежных флешки от разных производителей и рассовав их по трем банковским ячейкам, защищенных от стихийных бедствий и т.п.), ежемесячно внося комиссию банку за хранение, тем самым приблизившись к уровню надежности биржи класса коинбейз, но для подавляющего большинства это слишком дорого. Обычный человек возьмет старый ненужный хард, перепишет все ключи и закинет на полку.
Впрочем, ваш аргумент разумен и вполне мне понятен.
Не улавливаю связи с длинным паролем
Связь проста — есть вполне безопасная методика защиты и есть сложившаяся практика, в соответствии с которой т.н. «нормальный человек», коих большинство, низведет ее до уровня очень небезопасной.
Кроме того, говоря о высоконадежных флэшках и банковских ячейках, вы упустили в рассуждениях такой простой метод как оффлайн-кошелек — распечатать ключ на бумаге, заламинировать, закопать на даче под второй яблоней в третьем ряду. И/или приклеить на заднюю стенку кухонного шкафчика. Или распечатать в виде QR-кода на наклейку и наклеить рядом с заводским QR-кодом на домашней стиральной машинке, после чего уничтожить все его электронные копии как класс (но лично я бы не уничтожал). И т.д., и т.п. Про «отлить в граните» и установить отливку в основание могильного камня любимого дедушки я уж и не говорю. :)
Что до бирж, то мы ведь можем начать вспоминать, сколько за прошедшие не так уж много лет было взломано бирж и уведено клиентских денег — несмотря на все их усилия по обеспечению безопасности, которые вы ставите неоправданно высоко, на мой взгляд.
Т.е. давайте я свою точку зрения изложу более ясно: лично я, применительно лично к себе, считаю, что оффлайн-кошель — не то что не плохо, а просто единственный способ хранения крипты. А онлайн-кошельки и биржы — не то что не хорошо, а просто вообще никак, никуда и никогда, пользоваться ими можно для небольших сумм и только в транзитном режиме.
Вашу же точку зрения я понимаю и даже принимаю — но только с оговоркой «для обычного человека».
Так что я отмолчусь. Считайте, что, может быть, в одном из перечисленных в предыдущем сообщении мест. Или в каком-то другом, но тоже оффлайн.
Но он одинаково важен как для получения доступа к облаку с зашифрованным кошельком, так и для получения доступа к аккаунту онлайн-биржи, не находите? Поэтому, если не возражаете, давайте вынесем его за рамки дискуссии.
P.S. Впрочем, если у вас есть какие-то оригинальные способы его решения, то было бы интересно услышать. Мои неоднократные размышления на эту тему ни к чему не привели.
Мои неоднократные размышления на эту тему ни к чему не привели.
Ну как не привели… Я рассматривал возможную ситуацию с потерей памяти. Т.е. травма головы, инсульт или что-то подобное. Да, и полный уход из жизни тоже. :)
Схема известна по фильмам — «если я не позвоню по указанному номеру в течение определенного времени, меня будут искать». :)
Заводим VPS у известного хостера, проплачиваем ее на несколько лет вперед. У нее единственное предназначение — с определенной периодичностью отсылать сообщение на адрес доверенного человека «со всеми явками, адресами, паролями». Хорошо, если сообщение будет зашифровано и адресат знает, как его расшифровать (PGP/etc). Если на VPS нет никаких сервисов, кроме SSH с авторизацией по ключам, то взлом ее крайне маловероятен. Тем не менее, зашифровать сообщение стОит.
От нас требуется, пока мы живы, в здравом уме и твердой памяти, не забывать регулярно отменять отсылку этого сообщения. Периодичность отсылки есть компромисс между удобством отмены и скоростью реакции на «страховой случай». 1-2 месяца, я бы сказал.
Эту схему можно дополнить и развить — отсылать на несколько адресов, отсылать с разных VPS'ок, отсылать не только на email, но и/или в мессенджер, приаттачить голосовое сообщение или видео. Но принцип тот же.
Предупреждать ли заранее адресата, что «если со мной вдруг что-нибудь случится, жди письма» — это на усмотрение.
Если не задействовать какое-либо европейское нотариальное бюро с проверенной репутацией либо смарт-контракты, а полагаться только на свои силы, то ничего лучшего я пока что не придумал.
Но тут проблема поворачивается к нам другой стороной — как потом сообразить, что вот та фраза из детства и есть искомый пароль? Или даже вообще догадаться, что она может быть паролем. Очень трудно сейчас предусмотреть все возможные варианты того, что может с нами случиться. Вполне допускаю ситуацию, когда искомый пароль чуть ли не перед глазами маячит каждый день — но я основательно и прочно это забыл.
Как развитие этой мысли — мы можем забыть не только пароль от кошелька. Мы можем забыть о самом факте существования кошелька. И если близкие не в курсе, то некому будет нам об этом напомнить.
Возможных вариантов различных ситуаций — бесчисленное множество.
Записать на болванку — где ее хранить? Во время бытового пожара болванка и телефон с большой вероятностью будут уничтожены.
В конечном итоге все зависит от сумм. Если речь идет о хранении пары десятков тыщ, то достаточно тех мер, которые вы описали. Если сумма на пару порядков выше, то я бы не рисковал.
Шифрование, очевидно, не спасает от бытового несчастного случая
Мы не рассматривали передачу средств по наследству. Безусловно, при выборе способа хранения следует принимать во внимание это соображение (если оно актуально для хранящего).
верю, что класс надежности хранилища и защиты у коинбейза выше, чем публичный S3 у амазона.
Если речь идет о хранении «открытых» данных. Но в S3 можно хранить зашифрованный бэкап 1Password, например. А уже в нем — ключ кошелька. Или зашифрованный файл, содержащий в себе ключ кошелька. Уровней вложенности может быть много.
Замечу еще, что мы не касались тезиса о том, что любые публичные финансовые сервисы по определению являются очень интересной и вкусной целью для атак — просто потому, что атакаующий знает, что там есть чем поживиться. Над любым таким сервисом (онлайн-кошельком, обменником, биржей) развевается флаг «тут много денег!»
Над S3 такого флага не развевается. Может быть (да я просто уверен, что это так!) там хранится немало денег. И не исключено, что, суммарно, там хранится гораздо больше денег в зашифрованных кошельках, чем на биржах. Но надо знать где. В случае же с биржами вопроса «где?» не стоит вообще, потому что развевающийся флаг служит прекрасным ориентиром. И сложность защиты «компенсируется» упорством и изобретательностью атакующих.
В конечном итоге все зависит от сумм.
Согласен без каких-либо оговорок.
P.S. А еще вот тут очень правильную мысль высказали:
habr.com/ru/post/453286/#comment_20199410
биржа, в совокупности, вложила больше средств в защиту
Для крипты это так не работает (т.е. аппаратный кошелек за 20 евро будет в разы надежнее любой биржи, даже если это Binance). Более того биржи частенько исчезают вместе с средствами клиентов, в случае с аппаратным кошельком ваши средства исчезнут только если вы его потеряете или он помрет.
Что касается налички: вы как будто не в России живете. Напомню что у нас самый крупный банк с более чем столетней историей уже как-то прокатывал людей со вкладами. С наличкой в матрасе такого точно не будет. Просто хранить в матрасе не так выгодно, но риск все же меньше.
Российские банки, как и китайские биржи, не внушают никакого доверия. Не следует сравнивать их с тем де coinbase.
Кто вам возместит потерю ключа? Вы остаетесь один на один со своими проблемами, это сумасшедший риск.
А если не в аппаратном ключе держать, а в полноценном дампе биткоина (в том, который сотни гигов занимает)?
К сожалению, Google Voice не всегда выручает, так некоторые службы используют для своих уведомлений email-to-SMS-шлюзы, которые плохо совместимы с номерами Google Voice. Сам с этим столкнулся: мой банк просит подтвердить вход с нового устройства одним из способов (СМС, звонок, емайл), и СМС на Google Voice всегда терялся в пути.
Что могу посоветовать:
- для важной двухфакторной авторизации (банки и т.п.) купить отдельную симку и дешевый кнопочный телефон. И, естественно, нигде не светить его номер
- Поставить virtualbox, в него установить отдельную ОС, лучше Linux, и открывать банк-клиент только там.
Если да, то почему мы не слышим такие истории каждый день?
Очевидно, беспечных владельцев реальных денег, которые хранятся на банковских счетах, со включенным онлайн банком и 2FA через SMS должно быть намного больше.
Входящие СМС от банков, как мне говорили. Не от всех. Гугл под вопросом.
По истечении срока действия паспорта, кстати, та же петрушка. И пофиг, что получить новый паспорт я могу самое раннее через неделю после окончания срока старого, всю эту неделю переводы будут недоступными.
Проблема ведь совершенно не в этом.
Пока ты тот самый Джо — ты можешь сидеть с одним паролем на почте, из 6 символов, которые имеют смысл, и с большой вероятностью даже с таким паролем ничего с твоей почтой не сделают.
Даже если ты по факту и не Джо(но про это никто не знает), и у тебя можно что-либо угнать.
А вот если ты для злоумышленника не Джо — тут в зависимости от того насколько ты не Джо, тебя не спасет ни сложный пароль на почте без 2хфакторки, ни свой домен для почты, и не важно, на хостинге он, или у тебя на компе дома.
Потому что в крайнем случае до твоих данных доберутся через паяльник, или любыми другими методами.
Суть проблемы же в том, что злоумышленник узнал что вот эта почта/номер/человек имеет счет где то то там.
Отсюда это все.
Если про вас узнают, и вы достаточно заинтересуете того кто про вас узнал — все просто зависит от того, как соотносится ваша защита, и желание/возможности злоумышленника получить то, про что он узнал.
Но если не узнает — даже с никакой защитой вы будете тихо-мирно жить, и наслаждаться благами цивилизации, пусть они и уменьшают вашу защищенность.
Забавно, что несколько лет назад словил блокировку на одном гмаил-акке при заходе с другого провайдера, так они просто попросили ввести «номер телефона», причём для того акка никакого телефона сроду отродясь установлено не было. Ввел номер сотового, который просто был под рукой (который не был никак ассоциирован с аккаунтом ранее, повторюсь), пришла смс, пустили в акк. Б — безопасность.
Порт кенсингтоновского замка, ага.
Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты