ReportKey
В этом разделе материалы размещаются пользователями сайта и публикуются после одобрения модератором. Редакция не несет ответственности за орфографические и другие ошибки, хотя и старается исправлять их по мере возможности.
Добавить свою заметку вы можете на этой странице.
10 сентября 2014, 13:44
3

Как уберечься от кражи пароля электронной почты

На днях стало известно об огромной утечке паролей почтовых сервисов Mail.ru и Яндекс Почта. О том, как от этого можно защититься рассказал Александр Зацепин, создатель почтового сервиса Sfletter.com.
Как уберечься от кражи пароля электронной почты

Вчера стало известно огромной утечке паролей почтового сервиса Mail.ru, за несколько дней до этого на Яндекс Почте. О том, почему такое происходит, и как можно уберечься от утечки данных в публичный доступ рассказал Александр Зацепин, исполнительный директор компании StarForce, запустившей собственный сервис электронной защищенной почты этим летом.

Как происходит утечка паролей от электронной почты?

В информационной безопасности принято выделять три основных способа утечки паролей: первый – кража базы с сервера, второй – использование вредоносного ПО на компьютере пользователя, например, вирусов и третий – использование для кражи процедуры восстановления пароля.

Какой способ используется чаще всего?

На первый взгляд, наиболее очевидным способом утечки паролей является кража базы с паролями с почтового сервера, например, собственными сотрудниками обслуживающей сервер компании, либо с использованием уязвимостей программного обеспечения почтового сервера. Однако не всё так просто. Дело в том, что при адекватном подходе к вопросам безопасности пароли не хранятся в открытом виде. Их шифруют, точнее, используют значения хеш-функций паролей - пароли преобразуются таким образом, чтобы нельзя было обратно их восстановить. При вводе пользователем пароля при заходе на электронный ящик, хеш-функция вычисляется заново, и результат вычисления сравнивается со значением, хранящемся в базе. Украв базу «хэшей», злоумышленник, тем не менее, может сломать некоторые аккаунты. Для этого он берёт исходный словарь наиболее часто встречающихся паролей (содержащий фразы вроде «12345», «qwerty», другие последовательности символов на клавиатуре, русские и английские слова – всего несколько сотен тысяч паролей) и вычисляет от них значение хеш-функции. Сравнив полученные результаты с базой, злоумышленник находит те аккаунты, хеш-функции которых совпадают с каким-нибудь из вычисленных значений. В результате он получает доступ ко всем аккаунтам, пароли к которым были в его исходном словаре. И хотя против такого метода подбора паролей придуман ряд методов борьбы, он всё равно остаётся актуальным. Резюмируя сказанное, получим следующие выводы:

Получи сертификат Digital Project Manager!

25 октября в Москве пройдет первая очная сертификация RDC по позиции Digital Project Manager.

Если вы управляете цифровыми проектами на стороне агентства или на стороне клиента — получите одним из первых на рынке сертификат, подтверждающий высокий уровень вашей компетенции! А чтобы проверить свои силы, можно и нужно пройти полноценный витринный онлайн-тест.

Запись на очную сертификацию Digital Project Manager 25 октября — на этой странице. Cossa рекомендует!

Реклама

1. Кража базы позволяет злоумышленнику сломать только аккаунты с простыми паролями (т. е. теми, которые злоумышленник догадается перебрать) или короткими паролями (т. е. теми, перебрать которые у злоумышленника хватит вычислительных мощностей).

2. Если пользователь имеет достаточно длинный пароль, состоящий из случайной последовательности символов, кражи базы можно не опасаться.

Как узнать используется шифрование паролей на сервисе или форуме?

Узнать довольно просто – нужно запросить восстановление пароля. Если в ответ Вам пришлют Ваш пароль, значит, в базе он храниться в открытом виде. Если попросят заменить пароль, то, скорее всего, в базе хранится только хеш-функция.

А как дела обстоят со вторым и третьим способами? Что нужно сделать, чтобы защититься от них?

Второй способ украсть пароли сводится к использованию разнообразного malware – вирусов, фишинговых сайтов и т. п., крадущих пароль пользователя непосредственно с его компьютера или в момент ввода пароля на сайт. Очевидные способы борьбы с этим методом кражи – осмотрительность при работе в интернете, использование антивирусов. Другим эффективным методом борьбы является регулярная – скажем, раз в 3 месяца, смена пароля: злоумышленники обычно крадут пароли «про запас», а не используют их сразу после кражи.

Третий способ кражи связан с процедурой восстановления забытого пароля. Так проще всего украсть пароль у знакомого человека, например, забывшего на столе в офисе свой мобильный телефон. Однозначного способа уберечься от такой кражи нет. Однако следует помнить, что восстановление пароля чаще всего связано с его заменой, поэтому если ваш пароль вдруг изменился без вашего ведома, скорее всего, он был украден.

Какой способ был использован при краже паролей с Яндекс Почты и Mail.ru?

Что касается взломов Яндекс Почты и Mail.ru, здесь ситуация такова: представители этих компаний утверждают, что взлом произошёл по второму способу, т. е., в сущности из-за беспечности и неопытности пользователей. Однако в интернете также встречаются мнения, что взлом произошёл по первому способу, т. е. из-за кражи базы, на что указывает то, что взломаны не все пароли, а только простые. Что бы не случилось в действительности, следует подчеркнуть, что аккаунты пользователей, внимательно следящих за безопасностью своей почты (использующие длинные пароли, регулярно изменяющие их, защищающиеся от вирусов и фишинга), остались невзломанными.

Компания StarForce запустила собственный почтовый сервис Sfletter.com, как там реализован вопрос пароля и безопасности?

Здесь мы пошли традиционным путём: пользовательские пароли хранятся в базе в виде хеш-функций (с дополнительными модификациями протокола, усложняющими подбор). Восстановление пароля происходит с его одновременной сменой путём отправки на альтернативный адрес электронной почты. Таким образом, мы адекватно защищены от первого и второго способов кражи пароля. По поводу третьего способа – мы как раз сейчас разрабатываем систему авторизации, которая позволит максимально нейтрализовать эту угрозу.

Чем Sfletter.com отличается от сервисов Яндекс Почты и Mail.ru?

У нашего сервиса есть уникальный дополнительный функционал – он позволяет защитить письма и вложения от нежелательного распространения и отследить время открытия защищенного письма.

И последний вопрос: сервис Sfletter.com является бесплатным?

Как и все почтовые сервис он бесплатный, но в дальнейшем планируется появление платных тарифных планов с расширенным функционалом по защите писем, например, что-то в духе «по прочтении сжечь».

Не пропустите!

5 свежих сервисов для увеличения конверсии интернет-магазина
SEO-кейс: как мы увеличили региональный трафик на 1734%    
Как делать рассылку, от которой не отпишутся: главные принципы полезной и интересной рассылки
«Нативная реклама — это не только карточки Медузы». Алексей Поликарпов о видах нативной рекламы
Как мы делаем SEO для интернет-магазина сантехники
Откуда миллионы просмотров? Как продвигать рекламные видеоролики
Битва брендов на Красной площади во время ЧМ 2018: VR, подстаканники и Instagram
«Простая схема, которая работает годами». Как GeniusMarketing создаёт рекламные кампании
Как мы создали базу знаний по SMM, подключили к чатботу и теперь собираем подписчиков
5 способов создания креатива в Instagram. Советы креативного стратега Facebook
SMM регионального разговорного клуба — ставим рекорд посещаемости за 405 ₽
15 базовых SEO-советов о том, что сделать при переносе сайта на новый движок

Комментарии:

Как раз сегодня хотела поменять пароль! Очень своевременная статья
- 0 +
Лучше сгенерировать пароль https://1informer.com/generator-passwords-online/
Реклама


📰 Чем живёт digital.
Главное — в рассылке:




Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Вконтакте, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой