Galera, alguém me ajuda pra ver se eu não estou louco:
Habilitar 2FA com um autenticador em um e-mail Proton limpo de KYC (i.e: criado sem verificação e acessado via TOR), "contamina" a conta com KYC, já que a conta vai estar vinculada com o app autenticador que, de alguma forma, possui KYC.
Estou correto?
Você pode usar um autenticar sem vincular seu número de celular KYC. Tem o andOTP, por exemplo. Porém mesmo se você usar um com KYC, isso não comprometerá a sua privacidade, pois você pode colocar qualquer coisa no nome.
Em vez de identificar o código temporário como Proton, você pode colocar que ele é qualquer outro nome, faço isso sempre.
Dúvidas:
Imagine que o Governo, em uma situação distópica, queira me identificar. Ele encaminha uma carta rogatória à Suiça, que acata e exige da Proton os dados da minha conta. Nesse contexto:
1) Usar esse autenticador, o andOTP, não expõe de certa forma o IP ou alguma forma de identificar o meu aparelho e, consequentemente, quem eu sou? Teoricamente, de posse do IP, o meu ISP, sob a jurisdição brasileiro, concederá de pronto os meus dados.
2) O mesmo não aconteceria com um 2FA convencional, com KYC, de forma ainda mais fácil -- pois eu liguei a minha conta do Proton à uma conta do Google, da Microsoft, da Oracle, etc? Teoricamente, o governo pode solicitar os meus dados ao proprietário do autenticador.
O andOPT você pode rodá-lo offline se quiser, ele não precisa ficar conectado na internet, então se quiser ser hardcore e minimizar os riscos, imaginando que você é um grande alvo, acho que pode baixar o app e rodar ele offline. Mas eu não teria essa preocupação se usasse um 2FA FOSS, só me preocuparia se estivesse usando o Authy ou outro centralizado como Google Autenticador, etc.
Se o governo conseguir com que a Protonmail entregue seus dados, você ainda sim, pode estar a salvo se tiver usado para acesso pelo TOR.
Quanto à questão 2, não necessariamente, pois o PROTON Mail gera um código para o autenticador, mas o autenticador não tem como saber qual serviço ele é, ele só fica sabendo, pois você digita ou então o nome vem no QR CODE de cadastro. Você poderia pegar a chave de cadastro do OTP do PM e colocar um nome qualquer que não identifique que é do PROTONMAIL, por exemplo. Eu sempre faço isso, nunca nomeio meus 2FAs com o nome certo para dificultar ainda mais.
Se preocupar com o OTP é o menor dos problemas, por ser muito difícil o governo chegar nele. É mais fácil a PM desativar o seu segundo fator de autenticação a mando da máfia, do que o governo tentar chegar no seu 2FA. Só se você for um alvo muito grande do serviço de inteligência e eles tentem te hackear sem o auxílio da Proton, por exemplo.
Você pode usar o app da Yubikey para gerar os códigos usando a autenticação pelo dispositivo físico + senha no app, isso aumenta a segurança, pois seriam muitas barreiras para se quebrar.
___
O que eu faria se fosse você:
1 – Criaria uma conta no Protonmail usando o TOR;
2 - Não vincularia nenhum celular na conta;
3 - Usaria uma Yubikey ou app de OTP FOSS;
4 - Só acessaria esse e-mail pela rede TOR, jamais fora dela;
5 - Usaria só e-mails temporários para não deixar rastro (por mais que seja criptografado), pois isso diminuiria meu risco caso alguma agência de inteligência descobrisse minha senha e OTP, nunca se sabe;
Dependendo do que for fazer, se for muito secreto, pode também criptografar o texto dos e-mails em serviços externos que só você e a outra parte que se comunica tem a chave para descriptografar.
Muita coisa a gente acaba guardando desnecessariamente, o que aumenta nossa exposição ao risco. Se me permite, gostaria de indicar um ótimo vídeo da Naomi que fala dessa questão de usar mensagens e e-mails que desaparecem, o canal dela é muito bom: https://odysee.com/@NaomiBrockwell:4/disappearing-messages:5
Obrigado pela indicação de vídeo, Tom. Vou assistí-lo agora mesmo!
Mas, percebendo que tu lidas com e-mails de forma mais avançada do que o paradigma Web 2.0 torna conveniente, imagino que talvez possas me ajudar, indicando algum direcionamento, em uma dúvida antiga que tenho e que continua ainda sem resposta. Fiz uma nota há um tempo aqui, mas ninguém respondeu. Se puderes/quiseres contribuir lá, seria ótimo, a nota está abaixo:
nostr:note1cywfgawmj4zy0kpskkr80e22ken250fap9kyxzlm34t9swq03s3smvlm2d
Pode usar também uma Yubikey se quiser ainda mais segurança.
