Добавить свою заметку вы можете на этой странице.
Как уберечься от кражи пароля электронной почты
Вчера стало известно огромной утечке паролей почтового сервиса Mail.ru, за несколько дней до этого на Яндекс Почте. О том, почему такое происходит, и как можно уберечься от утечки данных в публичный доступ рассказал Александр Зацепин, исполнительный директор компании StarForce, запустившей собственный сервис электронной защищенной почты этим летом.
Как происходит утечка паролей от электронной почты?
В информационной безопасности принято выделять три основных способа утечки паролей: первый – кража базы с сервера, второй – использование вредоносного ПО на компьютере пользователя, например, вирусов и третий – использование для кражи процедуры восстановления пароля.
Эффективная и выгодная реклама с сервисом от МегаФона
Широкий выбор рекламных каналов, более 100 параметров по интересам, подробная аналитика и другие возможности уже ждут в Личном кабинете. А еще кешбэк 100% за запуск рекламы в первый месяц и еще 10% — каждый месяц.
Какой способ используется чаще всего?
На первый взгляд, наиболее очевидным способом утечки паролей является кража базы с паролями с почтового сервера, например, собственными сотрудниками обслуживающей сервер компании, либо с использованием уязвимостей программного обеспечения почтового сервера. Однако не всё так просто. Дело в том, что при адекватном подходе к вопросам безопасности пароли не хранятся в открытом виде. Их шифруют, точнее, используют значения хеш-функций паролей - пароли преобразуются таким образом, чтобы нельзя было обратно их восстановить. При вводе пользователем пароля при заходе на электронный ящик, хеш-функция вычисляется заново, и результат вычисления сравнивается со значением, хранящемся в базе. Украв базу «хэшей», злоумышленник, тем не менее, может сломать некоторые аккаунты. Для этого он берёт исходный словарь наиболее часто встречающихся паролей (содержащий фразы вроде «12345», «qwerty», другие последовательности символов на клавиатуре, русские и английские слова – всего несколько сотен тысяч паролей) и вычисляет от них значение хеш-функции. Сравнив полученные результаты с базой, злоумышленник находит те аккаунты, хеш-функции которых совпадают с каким-нибудь из вычисленных значений. В результате он получает доступ ко всем аккаунтам, пароли к которым были в его исходном словаре. И хотя против такого метода подбора паролей придуман ряд методов борьбы, он всё равно остаётся актуальным. Резюмируя сказанное, получим следующие выводы:
1. Кража базы позволяет злоумышленнику сломать только аккаунты с простыми паролями (т. е. теми, которые злоумышленник догадается перебрать) или короткими паролями (т. е. теми, перебрать которые у злоумышленника хватит вычислительных мощностей).
2. Если пользователь имеет достаточно длинный пароль, состоящий из случайной последовательности символов, кражи базы можно не опасаться.
Как узнать используется шифрование паролей на сервисе или форуме?
Узнать довольно просто – нужно запросить восстановление пароля. Если в ответ Вам пришлют Ваш пароль, значит, в базе он храниться в открытом виде. Если попросят заменить пароль, то, скорее всего, в базе хранится только хеш-функция.
А как дела обстоят со вторым и третьим способами? Что нужно сделать, чтобы защититься от них?
Второй способ украсть пароли сводится к использованию разнообразного malware – вирусов, фишинговых сайтов и т. п., крадущих пароль пользователя непосредственно с его компьютера или в момент ввода пароля на сайт. Очевидные способы борьбы с этим методом кражи – осмотрительность при работе в интернете, использование антивирусов. Другим эффективным методом борьбы является регулярная – скажем, раз в 3 месяца, смена пароля: злоумышленники обычно крадут пароли «про запас», а не используют их сразу после кражи.
Третий способ кражи связан с процедурой восстановления забытого пароля. Так проще всего украсть пароль у знакомого человека, например, забывшего на столе в офисе свой мобильный телефон. Однозначного способа уберечься от такой кражи нет. Однако следует помнить, что восстановление пароля чаще всего связано с его заменой, поэтому если ваш пароль вдруг изменился без вашего ведома, скорее всего, он был украден.
Какой способ был использован при краже паролей с Яндекс Почты и Mail.ru?
Что касается взломов Яндекс Почты и Mail.ru, здесь ситуация такова: представители этих компаний утверждают, что взлом произошёл по второму способу, т. е., в сущности из-за беспечности и неопытности пользователей. Однако в интернете также встречаются мнения, что взлом произошёл по первому способу, т. е. из-за кражи базы, на что указывает то, что взломаны не все пароли, а только простые. Что бы не случилось в действительности, следует подчеркнуть, что аккаунты пользователей, внимательно следящих за безопасностью своей почты (использующие длинные пароли, регулярно изменяющие их, защищающиеся от вирусов и фишинга), остались невзломанными.
Компания StarForce запустила собственный почтовый сервис Sfletter.com, как там реализован вопрос пароля и безопасности?
Здесь мы пошли традиционным путём: пользовательские пароли хранятся в базе в виде хеш-функций (с дополнительными модификациями протокола, усложняющими подбор). Восстановление пароля происходит с его одновременной сменой путём отправки на альтернативный адрес электронной почты. Таким образом, мы адекватно защищены от первого и второго способов кражи пароля. По поводу третьего способа – мы как раз сейчас разрабатываем систему авторизации, которая позволит максимально нейтрализовать эту угрозу.
Чем Sfletter.com отличается от сервисов Яндекс Почты и Mail.ru?
У нашего сервиса есть уникальный дополнительный функционал – он позволяет защитить письма и вложения от нежелательного распространения и отследить время открытия защищенного письма.
И последний вопрос: сервис Sfletter.com является бесплатным?
Как и все почтовые сервис он бесплатный, но в дальнейшем планируется появление платных тарифных планов с расширенным функционалом по защите писем, например, что-то в духе «по прочтении сжечь».
Источник: http://sfletter.com