По сравнению с описанной ситуацией изменилось как минимум то, что (в последнее время?) с обменом между разными серверами особых проблем нет, по моим ощущениям.
Во-первых, Столлман неоднократно заявлял, что вообще не пользуется телефоном, поскольку сотовая сеть позволяет отслеживать местоположение by design, какими бы свободными не были прошивки.
Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software? Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.
Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю. Да, пользователей Librem (который, кстати сильно ругали на хабре, что он не соответствует заявленным свойствам свободы) и MIPS действительно мало (но вероятно, среди разработчиков GCC и glibc их больше, чем в среднем). А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше. И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.
Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.
Это довольно странное утвреждение. По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).
Ну…
Во-первых, не знаю, что провайдерский свитч подумает, увидев на другом конце одного кабеля «два устройства» (в случае именно скрутки), а во-вторых, и главное, это совершенно бесполезно, когда почта ходит по https + в большинстве случаев vpn до провайдера.
До 10 года многие сидели на винде, открытость исходников и вопросы информационной безопасности были не так популярны. На мой взгляд, сейчас уж точно более хорошее время для повторения попытки, чем до 10 года.
С этим согласен. Хотя на мой взгляд, лучше искать и использовать безтелефонные сервисы, их пока ещё можно найти.
А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.
Это гарантирует безопасность, только если ответы на эти вопросы имеют такую же энтропию и секретность, как пароль. Иначе может оказаться, что при ответах на все вопросы «не знаю» вас пошлют, а если правильно ввести, скажем, настоящий год рождения, то попросят код из sms на «отвязанный» номер, а потом пустят.
На 100% не поручусь, но оператор скорее всего по закону обязан обеспечивать тайну связи. Так что им тоже совершена ошибка, если по закону. Другое дело, что понятно, что все они, и операторы, и яндекс, руководствуются не законами, а в первую очередь борьбой с анонимами, а во вторую очередь руководствуются взятками.
периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей
Это нужно, только если стоит задача обеспечения полной анонимности. Но тогда zadarma, где требуется скан паспорта (да и платить потом, вероятно, не биткойнами, и не через терминалы оплаты сотовой связи, а даже если и через терминалы — это такое же неудобство, как проветривание симки) — явно бесполезная опция.
Я скорее комментировал предыдущие комментарии в этой ветке, где полная анонимность вроде не предполагалась, а фактически предлагалось использовать номер телефона как пароль (ещё один или единственный, в зависимости от сервиса), со всеми недостатками такого «пароля».
Это уж точно не менее надёжно, чем использовать только пароль. А иногда и более — больше шансов, что борцы с анонимностью в гугле или в других сервисах не будут уж слишком борзеть и требовать «повышения безопасности», когда авторизация и так двухфакторная с их точки зрения.
Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер: habr.com/ru/post/468909/#comment_20673717
Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.
как вы настраивали аккаунт
Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.
отдавать на сторону полный доступ к аккаунту
Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?
Сгенерировать app password в аккаунте гугла
Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.
По imap гугл пускает ещё хуже, чем через веб-интерфейс. У меня бывали ситуации, когда в веб-интерфейс пускали без телефона (это до сих пор так, к счастью), а в imap нет, говорили «войдите через браузер».
А как его использовать при входе в гугл? Я не нашёл, как это сделать в веб-версии гугла (может плохо искал, тогда прошу прощения) и как это сделать в thunderbird, поэтому мне показалось, что для этого нужно запускать приложение от гугла на андроидовском телефоне.
Вот мне тоже кажется, что если устройство свежекупленное и при первоначальной настройке что-то пошло не так, то возврат к заводским установкам — первая очевидная мысль. Особенно если (я правильно понимаю, что это так?) в гугле в итоге не «детский» аккаунт проапгрейдили, а завели абсолютно новый. То есть вы не пробовали вайпать?
Вы знаете что-нибудь о (не)корумпированности сотрудников zadarma? Да, я имею в виду именно атаку с получением через них ваших sms.
Во-первых, Столлман неоднократно заявлял, что вообще не пользуется телефоном, поскольку сотовая сеть позволяет отслеживать местоположение by design, какими бы свободными не были прошивки.
Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software? Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.
Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю. Да, пользователей Librem (который, кстати сильно ругали на хабре, что он не соответствует заявленным свойствам свободы) и MIPS действительно мало (но вероятно, среди разработчиков GCC и glibc их больше, чем в среднем). А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше. И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.
Это довольно странное утвреждение. По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).
Думаю, вы ошибаетесь. Среди сторонников СПО многие используют только телефоны типа «звонилка».
Во-первых, не знаю, что провайдерский свитч подумает, увидев на другом конце одного кабеля «два устройства» (в случае именно скрутки), а во-вторых, и главное, это совершенно бесполезно, когда почта ходит по https + в большинстве случаев vpn до провайдера.
А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.
jabber?
Это нужно, только если стоит задача обеспечения полной анонимности. Но тогда zadarma, где требуется скан паспорта (да и платить потом, вероятно, не биткойнами, и не через терминалы оплаты сотовой связи, а даже если и через терминалы — это такое же неудобство, как проветривание симки) — явно бесполезная опция.
Я скорее комментировал предыдущие комментарии в этой ветке, где полная анонимность вроде не предполагалась, а фактически предлагалось использовать номер телефона как пароль (ещё один или единственный, в зависимости от сервиса), со всеми недостатками такого «пароля».
Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер:
habr.com/ru/post/468909/#comment_20673717
Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.
Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.
Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?
Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.