OLYMPIA
В этом разделе материалы размещаются пользователями сайта и публикуются после одобрения модератором. Редакция не несет ответственности за орфографические и другие ошибки, хотя и старается исправлять их по мере возможности.
Добавить свою заметку вы можете на этой странице.
10 сентября 2014, 13:44
4792
3

Как уберечься от кражи пароля электронной почты

На днях стало известно об огромной утечке паролей почтовых сервисов Mail.ru и Яндекс Почта. О том, как от этого можно защититься рассказал Александр Зацепин, создатель почтового сервиса Sfletter.com.
Как уберечься от кражи пароля электронной почты

Вчера стало известно огромной утечке паролей почтового сервиса Mail.ru, за несколько дней до этого на Яндекс Почте. О том, почему такое происходит, и как можно уберечься от утечки данных в публичный доступ рассказал Александр Зацепин, исполнительный директор компании StarForce, запустившей собственный сервис электронной защищенной почты этим летом.

Как происходит утечка паролей от электронной почты?

В информационной безопасности принято выделять три основных способа утечки паролей: первый – кража базы с сервера, второй – использование вредоносного ПО на компьютере пользователя, например, вирусов и третий – использование для кражи процедуры восстановления пароля.

Какой способ используется чаще всего?

На первый взгляд, наиболее очевидным способом утечки паролей является кража базы с паролями с почтового сервера, например, собственными сотрудниками обслуживающей сервер компании, либо с использованием уязвимостей программного обеспечения почтового сервера. Однако не всё так просто. Дело в том, что при адекватном подходе к вопросам безопасности пароли не хранятся в открытом виде. Их шифруют, точнее, используют значения хеш-функций паролей - пароли преобразуются таким образом, чтобы нельзя было обратно их восстановить. При вводе пользователем пароля при заходе на электронный ящик, хеш-функция вычисляется заново, и результат вычисления сравнивается со значением, хранящемся в базе. Украв базу «хэшей», злоумышленник, тем не менее, может сломать некоторые аккаунты. Для этого он берёт исходный словарь наиболее часто встречающихся паролей (содержащий фразы вроде «12345», «qwerty», другие последовательности символов на клавиатуре, русские и английские слова – всего несколько сотен тысяч паролей) и вычисляет от них значение хеш-функции. Сравнив полученные результаты с базой, злоумышленник находит те аккаунты, хеш-функции которых совпадают с каким-нибудь из вычисленных значений. В результате он получает доступ ко всем аккаунтам, пароли к которым были в его исходном словаре. И хотя против такого метода подбора паролей придуман ряд методов борьбы, он всё равно остаётся актуальным. Резюмируя сказанное, получим следующие выводы:

cossa-icons-6.png

Весь интернет-маркетинг за 19 недель!

Cossa рекомендует: онлайн-курс по интернет-маркетингу от Ingate — digital-агентства с 17-летним опытом.

  • 17 учебных блоков по ключевым вопросам интернет-маркетинга
  • Поддержка менторов
  • Диплом
  • Cтажировка в топовых агентствах России
  • Помощь в трудоустройстве
Узнать больше >>

Реклама

1. Кража базы позволяет злоумышленнику сломать только аккаунты с простыми паролями (т. е. теми, которые злоумышленник догадается перебрать) или короткими паролями (т. е. теми, перебрать которые у злоумышленника хватит вычислительных мощностей).

2. Если пользователь имеет достаточно длинный пароль, состоящий из случайной последовательности символов, кражи базы можно не опасаться.

Как узнать используется шифрование паролей на сервисе или форуме?

Узнать довольно просто – нужно запросить восстановление пароля. Если в ответ Вам пришлют Ваш пароль, значит, в базе он храниться в открытом виде. Если попросят заменить пароль, то, скорее всего, в базе хранится только хеш-функция.

А как дела обстоят со вторым и третьим способами? Что нужно сделать, чтобы защититься от них?

Второй способ украсть пароли сводится к использованию разнообразного malware – вирусов, фишинговых сайтов и т. п., крадущих пароль пользователя непосредственно с его компьютера или в момент ввода пароля на сайт. Очевидные способы борьбы с этим методом кражи – осмотрительность при работе в интернете, использование антивирусов. Другим эффективным методом борьбы является регулярная – скажем, раз в 3 месяца, смена пароля: злоумышленники обычно крадут пароли «про запас», а не используют их сразу после кражи.

Третий способ кражи связан с процедурой восстановления забытого пароля. Так проще всего украсть пароль у знакомого человека, например, забывшего на столе в офисе свой мобильный телефон. Однозначного способа уберечься от такой кражи нет. Однако следует помнить, что восстановление пароля чаще всего связано с его заменой, поэтому если ваш пароль вдруг изменился без вашего ведома, скорее всего, он был украден.

Какой способ был использован при краже паролей с Яндекс Почты и Mail.ru?

Что касается взломов Яндекс Почты и Mail.ru, здесь ситуация такова: представители этих компаний утверждают, что взлом произошёл по второму способу, т. е., в сущности из-за беспечности и неопытности пользователей. Однако в интернете также встречаются мнения, что взлом произошёл по первому способу, т. е. из-за кражи базы, на что указывает то, что взломаны не все пароли, а только простые. Что бы не случилось в действительности, следует подчеркнуть, что аккаунты пользователей, внимательно следящих за безопасностью своей почты (использующие длинные пароли, регулярно изменяющие их, защищающиеся от вирусов и фишинга), остались невзломанными.

Компания StarForce запустила собственный почтовый сервис Sfletter.com, как там реализован вопрос пароля и безопасности?

Здесь мы пошли традиционным путём: пользовательские пароли хранятся в базе в виде хеш-функций (с дополнительными модификациями протокола, усложняющими подбор). Восстановление пароля происходит с его одновременной сменой путём отправки на альтернативный адрес электронной почты. Таким образом, мы адекватно защищены от первого и второго способов кражи пароля. По поводу третьего способа – мы как раз сейчас разрабатываем систему авторизации, которая позволит максимально нейтрализовать эту угрозу.

Чем Sfletter.com отличается от сервисов Яндекс Почты и Mail.ru?

У нашего сервиса есть уникальный дополнительный функционал – он позволяет защитить письма и вложения от нежелательного распространения и отследить время открытия защищенного письма.

И последний вопрос: сервис Sfletter.com является бесплатным?

Как и все почтовые сервис он бесплатный, но в дальнейшем планируется появление платных тарифных планов с расширенным функционалом по защите писем, например, что-то в духе «по прочтении сжечь».

Не пропустите!

6071
Визуальные тренды этого года, которые останутся с нами надолго
SEO-кейс: как мы увеличили региональный трафик на 1734%    
8057
«Один блогер за часовое видеоинтервью просил 200 тысяч $. Мы посмеялись и прошли мимо»
6434
Почему блокировка Telegram — это естественно, и что это значит для всех нас
4753
Главная проблема контент-маркетинга. Как бизнесу создавать контент: качественный, конверсионный и си...
6553
В украинском Facebook разгорается скандал рестораторов. Следим за работой с репутацией
7277
Увеличить продажи с сайта в 25 раз. Кейс интернет-магазина аксессуаров
5924
История успеха одного маркетолога: рекламируемся с помощью локальных площадок и геотаргетинга
4416
Внимание, ваш сайт устарел: 5 вещей, от которых пора избавиться
5385
24 варианта постов для коммерческого профиля в соцсетях
5557
Концепт ребрендинга IKEA — минимализм в абсолюте
5526
Как написать статью, которая выйдет в топ поисковой выдачи

Комментарии:

Как раз сегодня хотела поменять пароль! Очень своевременная статья
Ответить
И сервис sfletter.com - прикольный
Ответить
- 0 +
Айк Аванесян #
22.01.2018 19:40
Лучше сгенерировать пароль  https://1informer.com/generator-passwords-online/
Ответить
Ответить?

Чем живёт digital.
Главное — в рассылке:




Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Twitter Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Twitter, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой