Replying to Avatar Tom M ⚡️

O andOPT você pode rodá-lo offline se quiser, ele não precisa ficar conectado na internet, então se quiser ser hardcore e minimizar os riscos, imaginando que você é um grande alvo, acho que pode baixar o app e rodar ele offline. Mas eu não teria essa preocupação se usasse um 2FA FOSS, só me preocuparia se estivesse usando o Authy ou outro centralizado como Google Autenticador, etc.

Se o governo conseguir com que a Protonmail entregue seus dados, você ainda sim, pode estar a salvo se tiver usado para acesso pelo TOR.

Quanto à questão 2, não necessariamente, pois o PROTON Mail gera um código para o autenticador, mas o autenticador não tem como saber qual serviço ele é, ele só fica sabendo, pois você digita ou então o nome vem no QR CODE de cadastro. Você poderia pegar a chave de cadastro do OTP do PM e colocar um nome qualquer que não identifique que é do PROTONMAIL, por exemplo. Eu sempre faço isso, nunca nomeio meus 2FAs com o nome certo para dificultar ainda mais.

Se preocupar com o OTP é o menor dos problemas, por ser muito difícil o governo chegar nele. É mais fácil a PM desativar o seu segundo fator de autenticação a mando da máfia, do que o governo tentar chegar no seu 2FA. Só se você for um alvo muito grande do serviço de inteligência e eles tentem te hackear sem o auxílio da Proton, por exemplo.

Você pode usar o app da Yubikey para gerar os códigos usando a autenticação pelo dispositivo físico + senha no app, isso aumenta a segurança, pois seriam muitas barreiras para se quebrar.

___

O que eu faria se fosse você:

1 – Criaria uma conta no Protonmail usando o TOR;

2 - Não vincularia nenhum celular na conta;

3 - Usaria uma Yubikey ou app de OTP FOSS;

4 - Só acessaria esse e-mail pela rede TOR, jamais fora dela;

5 - Usaria só e-mails temporários para não deixar rastro (por mais que seja criptografado), pois isso diminuiria meu risco caso alguma agência de inteligência descobrisse minha senha e OTP, nunca se sabe;

Dependendo do que for fazer, se for muito secreto, pode também criptografar o texto dos e-mails em serviços externos que só você e a outra parte que se comunica tem a chave para descriptografar.

Muita coisa a gente acaba guardando desnecessariamente, o que aumenta nossa exposição ao risco. Se me permite, gostaria de indicar um ótimo vídeo da Naomi que fala dessa questão de usar mensagens e e-mails que desaparecem, o canal dela é muito bom: https://odysee.com/@NaomiBrockwell:4/disappearing-messages:5

Avatar
Jeferson Quadros 1y ago

Obrigado pela indicação de vídeo, Tom. Vou assistí-lo agora mesmo!

Mas, percebendo que tu lidas com e-mails de forma mais avançada do que o paradigma Web 2.0 torna conveniente, imagino que talvez possas me ajudar, indicando algum direcionamento, em uma dúvida antiga que tenho e que continua ainda sem resposta. Fiz uma nota há um tempo aqui, mas ninguém respondeu. Se puderes/quiseres contribuir lá, seria ótimo, a nota está abaixo:

nostr:note1cywfgawmj4zy0kpskkr80e22ken250fap9kyxzlm34t9swq03s3smvlm2d

Reply to this note

Please Login to reply.

Discussion

No replies yet.