OLYMPIA
В этом разделе материалы размещаются пользователями сайта и публикуются после одобрения модератором. Редакция не несет ответственности за орфографические и другие ошибки, хотя и старается исправлять их по мере возможности.
Добавить свою заметку вы можете на этой странице.
10 сентября 2014, 13:44
5872
3

Как уберечься от кражи пароля электронной почты

На днях стало известно об огромной утечке паролей почтовых сервисов Mail.ru и Яндекс Почта. О том, как от этого можно защититься рассказал Александр Зацепин, создатель почтового сервиса Sfletter.com.
Как уберечься от кражи пароля электронной почты

Вчера стало известно огромной утечке паролей почтового сервиса Mail.ru, за несколько дней до этого на Яндекс Почте. О том, почему такое происходит, и как можно уберечься от утечки данных в публичный доступ рассказал Александр Зацепин, исполнительный директор компании StarForce, запустившей собственный сервис электронной защищенной почты этим летом.

Как происходит утечка паролей от электронной почты?

В информационной безопасности принято выделять три основных способа утечки паролей: первый – кража базы с сервера, второй – использование вредоносного ПО на компьютере пользователя, например, вирусов и третий – использование для кражи процедуры восстановления пароля.

Какой способ используется чаще всего?

На первый взгляд, наиболее очевидным способом утечки паролей является кража базы с паролями с почтового сервера, например, собственными сотрудниками обслуживающей сервер компании, либо с использованием уязвимостей программного обеспечения почтового сервера. Однако не всё так просто. Дело в том, что при адекватном подходе к вопросам безопасности пароли не хранятся в открытом виде. Их шифруют, точнее, используют значения хеш-функций паролей - пароли преобразуются таким образом, чтобы нельзя было обратно их восстановить. При вводе пользователем пароля при заходе на электронный ящик, хеш-функция вычисляется заново, и результат вычисления сравнивается со значением, хранящемся в базе. Украв базу «хэшей», злоумышленник, тем не менее, может сломать некоторые аккаунты. Для этого он берёт исходный словарь наиболее часто встречающихся паролей (содержащий фразы вроде «12345», «qwerty», другие последовательности символов на клавиатуре, русские и английские слова – всего несколько сотен тысяч паролей) и вычисляет от них значение хеш-функции. Сравнив полученные результаты с базой, злоумышленник находит те аккаунты, хеш-функции которых совпадают с каким-нибудь из вычисленных значений. В результате он получает доступ ко всем аккаунтам, пароли к которым были в его исходном словаре. И хотя против такого метода подбора паролей придуман ряд методов борьбы, он всё равно остаётся актуальным. Резюмируя сказанное, получим следующие выводы:

Стань перформанс-маркетологом за 19 недель!

Перформанс-маркетинг — это комплексный маркетинг в диджитал-среде. Знакомые каждому маркетологу понятия тут приобретают новый потенциал, ведь в диджитал можно измерить буквально каждое движение!

Научиться перформанс-маркетингу — значит научиться мыслить точно измеряемыми категориями. Освоить инструменты, усиливающие вашу интуицию чёткими цифрами. Изучить тонкости оперативной аналитики.

Хотите успеха в интернет-продвижении — без перформанс-маркетинга вам не обойтись. Для его изучения Cossa рекомендует онлайн-курс курс Перформанс-маркетолог.

Старт занятий уже в ближайшее время!

Реклама

1. Кража базы позволяет злоумышленнику сломать только аккаунты с простыми паролями (т. е. теми, которые злоумышленник догадается перебрать) или короткими паролями (т. е. теми, перебрать которые у злоумышленника хватит вычислительных мощностей).

2. Если пользователь имеет достаточно длинный пароль, состоящий из случайной последовательности символов, кражи базы можно не опасаться.

Как узнать используется шифрование паролей на сервисе или форуме?

Узнать довольно просто – нужно запросить восстановление пароля. Если в ответ Вам пришлют Ваш пароль, значит, в базе он храниться в открытом виде. Если попросят заменить пароль, то, скорее всего, в базе хранится только хеш-функция.

А как дела обстоят со вторым и третьим способами? Что нужно сделать, чтобы защититься от них?

Второй способ украсть пароли сводится к использованию разнообразного malware – вирусов, фишинговых сайтов и т. п., крадущих пароль пользователя непосредственно с его компьютера или в момент ввода пароля на сайт. Очевидные способы борьбы с этим методом кражи – осмотрительность при работе в интернете, использование антивирусов. Другим эффективным методом борьбы является регулярная – скажем, раз в 3 месяца, смена пароля: злоумышленники обычно крадут пароли «про запас», а не используют их сразу после кражи.

Третий способ кражи связан с процедурой восстановления забытого пароля. Так проще всего украсть пароль у знакомого человека, например, забывшего на столе в офисе свой мобильный телефон. Однозначного способа уберечься от такой кражи нет. Однако следует помнить, что восстановление пароля чаще всего связано с его заменой, поэтому если ваш пароль вдруг изменился без вашего ведома, скорее всего, он был украден.

Какой способ был использован при краже паролей с Яндекс Почты и Mail.ru?

Что касается взломов Яндекс Почты и Mail.ru, здесь ситуация такова: представители этих компаний утверждают, что взлом произошёл по второму способу, т. е., в сущности из-за беспечности и неопытности пользователей. Однако в интернете также встречаются мнения, что взлом произошёл по первому способу, т. е. из-за кражи базы, на что указывает то, что взломаны не все пароли, а только простые. Что бы не случилось в действительности, следует подчеркнуть, что аккаунты пользователей, внимательно следящих за безопасностью своей почты (использующие длинные пароли, регулярно изменяющие их, защищающиеся от вирусов и фишинга), остались невзломанными.

Компания StarForce запустила собственный почтовый сервис Sfletter.com, как там реализован вопрос пароля и безопасности?

Здесь мы пошли традиционным путём: пользовательские пароли хранятся в базе в виде хеш-функций (с дополнительными модификациями протокола, усложняющими подбор). Восстановление пароля происходит с его одновременной сменой путём отправки на альтернативный адрес электронной почты. Таким образом, мы адекватно защищены от первого и второго способов кражи пароля. По поводу третьего способа – мы как раз сейчас разрабатываем систему авторизации, которая позволит максимально нейтрализовать эту угрозу.

Чем Sfletter.com отличается от сервисов Яндекс Почты и Mail.ru?

У нашего сервиса есть уникальный дополнительный функционал – он позволяет защитить письма и вложения от нежелательного распространения и отследить время открытия защищенного письма.

И последний вопрос: сервис Sfletter.com является бесплатным?

Как и все почтовые сервис он бесплатный, но в дальнейшем планируется появление платных тарифных планов с расширенным функционалом по защите писем, например, что-то в духе «по прочтении сжечь».

✉️ Самое интересное шлём по почте, не чаще двух раз в неделю.

Не пропустите!

6483
6 полезных YouTube-каналов для изучения интернет-маркетинга
Простой и понятный отчет для клиента в один клик или по расписанию. Попробуйте бесплатно 14 дней!
3931
4 тренда, которые формируют маркетинг будущего: ключевые тезисы с конференции ENGAGE IAB UK
10593
24 варианта постов для коммерческого профиля в соцсетях
8161
В украинском Facebook разгорается скандал рестораторов. Следим за работой с репутацией
5497
Тест: как хорошо ты знаешь российский YouTube?
4850
«Продактами не рождаются», — Анна Булдакова о шагах в профессию продакт-менеджера
18017
Искусственный интеллект в маркетинге: начало новой эпохи
3832
Работодателям. Ошибки в подборе сотрудников
4839
Почему стоит работать с микроблогерами, а не миллионниками
4334
Нам весело, а им больно. Косяки в рекламе крупных брендов
7440
Саморазвитие от ленивого: почему полезно плыть по течению и ничего не планировать

Комментарии:

Как раз сегодня хотела поменять пароль! Очень своевременная статья
Ответить
И сервис sfletter.com - прикольный
Ответить
- 0 +
Айк Аванесян #
22.01.2018 19:40
Лучше сгенерировать пароль  https://1informer.com/generator-passwords-online/
Ответить
Ответить?
Реклама

Чем живёт digital.
Главное — в рассылке:




Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Twitter Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Twitter, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой