13 Июля, 2010

7/1001. Безопасность mail.ru

Алексей Комаров
Возвращаясь к ранее начатой теме о защищённости электронной почты, продолжим рассматривать безопасность mail.ru и, прежде всего, постараемся снизить те риски, о которых уже говорилось раньше ( часть 1 , часть 2 ). Быть может, мы сможем сделать не так много, но определённые возможности всё же есть. 
Итак, что можно посоветовать пользователю mail.ru, которому не безразлично, кто читает его почту?
name='more'>
Совет первый. Смените пароль.
Если Ваш пароль:
  • состоит из менее, чем 8 символов
  • не содержит заглавных букв
  • не содержит цифр
  • не содержит символов (+,-и т.п.)
  • это последовательность на клавиатуре (qwerty, qawsed и т.п.)
  • это имя или слово (champion, superman, sergey и т.п.)
  • это русское слово, набранное в английской раскладке (пароль -> gfhjkm, Маша ->Vfif и т.п.)
  • это последовательность, имя, слово, русское слово в английской раскладке и две-три цифры или символа (egor++, qwerty-1Vfif85 и т.п.)
- смените пароль! Атака на пароль по словарю займёт несколько часов, а прямой перебор всех вариантов, если пароль короткий, - несколько дней, ну или пару недель.

Но даже если Ваш пароль длинный, сложный и легко не угадывается - это ещё не значит, что его можно использовать, не меняя, годами. Кто знает, быть может Ваш красивый короткий адрес давно уже кому-то приглянулся и он с упорством, достойным лучшего применения, пытается подобрать к нему пароль?

Для смены пароля нужно, находясь в своём почтовом ящике выбрать: Настройки  ->  Пароль , после чего ввести текущий пароль, два раза новый и цифры с картинки.
Файл приложения

Совет второй. Не используйте один и тот же пароль для разных сервисов.
Портал mail.ru - далеко не эталон безопасности, но есть и более уязвимые web-сайты. Путешествуя по просторам Интернет периодически приходится регистрироваться на каких-то форумах, файлообменниках и других подобных сервисах. Использовать на таких сайтах такой же пароль, как и от почтового ящика не стоит. Не редко злоумышленники именно таким образом и собирают логины/пароли от электронных ящиков пользователей. Как показывает практика, если заманить пользователя на какой-либо сайт, где для доступа к чему-то он должен будет ввести адрес электронной почты и пароль, то велика вероятность, что пользователь укажет пароль, который будет подходить к самой почте, предоставив тем самым малознакомым людям и адрес почтового ящика и пароль от него. 

Совет третий. Используйте Повышенный уровень безопасности.
mail.ru позволяет включить Повышенный уровень безопасности при работе с электронным почтовым ящиком. Для этого нужно, находясь в своём почтовом ящике выбрать: Настройки ->; Безопасность -> кнопка "Повышенный уровень безопасности". После чего потребуется ввести свой текущий пароль и нажать "Сохранить".

Рассмотрим подробнее, что означает каждая из доступных опций.

Запретить сохранять логин.
Каждый раз при открытии web-сайта mail.ru нужно будет вводить адрес почтового ящика вручную, что не позволит тем, кто на том же компьютере будет работать после Вас, увидеть адрес Вашего ящика. Всё же угадать и логин и пароль - сложнее, чем только пароль. Важный аспект - настройки по сохранению имени ящика нужно будет также отключить и в самом браузере.

Запретить параллельные сессии.
Может помочь выявить факт того, что кто-то знает пароль от Вашего ящика. В случае, когда Вы читаете свою почту и этот кто-то войдёт в Ваш ящик, Ваша сессия будет закрыта. К сожалению, mail.ru никак Вас об этом не уведомит - просто при попытке выполнить любое действие Вы будете переадресованы на страницу ввода пароля. Сам по себе данный факт будет лишь косвенным подтверждением доступа к Вашему ящику постороннего, а вот в совокупности с другими настройками может оказаться полезным.

Показывать информацию о последнем входе в систему.
Это очень важная возможность, которая не включена по умолчанию видимо только по причине того, что не все пользователи поймут, что означает данная надпись, которая автоматически будет появляться при каждом входе:

На самом деле всё просто - показывается время и дата последнего входа и уникальный IP-адрес, с которого происходило обращение. Если Вы читаете почту только дома, на работе и с мобильного устройства, то адресов будет всего три и Вы быстро их запомните. Сопоставление выводимого времени с реальным - тоже хорошая подсказка, например, Вы ушли с работы в 18:00, а в 18:30 кто-то читал Вашу почту...

В рассмотренном же выше случае запрета параллельных сессий, сразу после повторного входа Вы увидите, что кто-то только что входил в Ваш ящик. Далее можно воспользоваться сервисом Who Is для определения того, кому принадлежит IP-адрес.

Важное замечание касается обращений к POP-серверу. Подбор пароля к mail.ru мы рассматривали  как раз на примере POP-сервера mail.ru. Так вот, информация об IP-адресах, с которых происходит обращение к pop.mail.ru обновляется только раз в сутки, что значит, что пароль как минимум должен быть достаточно сложным с тем, чтобы его не успели подобрать за это время, и Вы увидели, что к Вашему ящику кто-то обращался с чужого IP-адреса.

Сессия только с одного IP-адреса.
Данная опция делает невозможной подмену текущего адреса, с которого происходит обращение к сайту mail.ru. Это, конечно, более сложный с точки зрения реализации вид атаки, но для надёжности лучше и эту опцию оставить включённой.

Совет четвёртый. Не используйте автоматическое сохранение паролей в браузере.
Большинство современных браузеров предлагает для удобства пользователей сохранять пароли.

Лучше отказаться от этой "медвежьей" услуги, даже если компьютер стоит у Вас дома и кроме Вас и людей, которым Вы доверяете, за ним никто не работает. Любой троян, попавший на Ваш компьютер, с лёгкостью извлечёт все Ваши логины и пароли, ведь далеко не все браузеры умеют защищать пароли - порой они хранятся на компьютере просто в открытом виде, ничем не защищённые. Для хранения паролей от web-сайтов лучше использовать специализированные решения: Roboform, Lastpass или аналогичные. Рассказ про них, как и про многое другое у нас впереди.

И первые лучи солнца озарили клавиатуру...