К вопросу о безопасности бесплатных почтовых серверов.
Собственно, речь пойдет о том, какие существуют элементарные способы проникнуть в чужой аккаунт на бесплатном почтовом сервере. Эти способы настолько просты, что все их прекрасно знают. Но – немногие знают, насколько много аккаунтов подвержено такой простейшей атаке.
Я решил остановиться на двух самых элементарных способах проникновения «в чужую квартиру» – подбор пароля и ответ на контрольный вопрос.
Подбор пароля.
Это дело совсем не такое сложное, как может показаться. В большинстве случаев люди боятся сами забыть пароль к своему ящику, поэтому придумывают что-нибудь простенькое.
Основные «группы риска», подверженные взлому простым подбором пароля (расположены в порядке уменьшения встречаемости – т.е., сверху – самые распространенные)
- пароль – это имя (фамилия). Встречается с пугающей частотой. Выглядит это примерно так: человека зовут Вася, его адрес – krutoy_man@yandex.ru. Вероятность того, что его паролем окажется именно слово vasya весьма и весьма велика.
- пароль – год (дата) рождения. Тоже очень распространенная вещь. Подбирается элементарно.
- пароль является ником в какойм-либо сообществе/сервисе интернета. Например, нашли мы своего врага – Васю, с мылом krutoy_man@yandex.ru. Мы ищем его в других сообщетсвах – на форумах, сайтах знакомств, и проч. (ищется это элементарно, как – не скажу :) ). И обнаруживаем, что на форуме для крутых чуваков наш Вася скрывается под ником megakrut. Вероятность того, что это – его пароль весьма велика.
- пароль является частью логина. Все очень просто. Наш Вася вполне может иметь адрес vasya2006, а пароль – просто vasya.
Вот основные ошибки людей, заводящих себе аккаунт на публичном сервере. Если Вы попадаете в одну их этих групп риска, я настоятельно рекомендую Вам сменить пароль, придерживаясь одного совесем несложного правила: следите за тем, чтобы слово, являющееся Вашим паролем, не встречалось НИГДЕ в публичном доступе – т.е., в основном, во всевозможных профайлах – в аське, на форуме, на домашней странице, в ЖЖ, и т.д.
Подбор ответа на контрольный вопрос.
Это самое, по-моему, уязвимое место во всез бесплатных сервисах. В самом деле, если я иной раз с огромным трудом могу вспомнить пароль, то уж точно не запонмю контрольный вопрос. Поэтому в нем мы часто пишем что-то совсем простое.
Самая распространенная ошибка – это указание в ответе личных данных, которые мы тут же можем посмотреть в анкете аськи или ЖЖ, или еще где. Думаю, пояснения излишни…
Другая распространенная ошибка – указание пустого ответа на контрольный вопрос. некоторые почтовые сервисы настроены так «прямо», что, во-первых, не препятстсвуют пустому ответу, а во-вторых, спрашивают эти данные в таком неявном виде, что и не сразу найдешь, где сию форму заполнять.
Можно рассказать и подробнее, но это уж совсем нехорошо будет. На деле все еще проще.
Как же составить этот гребаный вопрос, чтобы максимально усложнить жищнь злоумышленнику?
Первый вариант – вообще не пользоваться этим сервисом, а указывать в качестве способа восстановления пароля альтернативный Е-мэйл. Но – не все сервисы это позволяют, и не у всех есть куча е-мылов.
Второй вариант – отнестись к выбору пары «вопрос/ответ» очень серьезно и ответственно :) Т.е, если мы выбираем вопрос из предлагаемых сервером, то мы должны внимательно следить за тем, чтобы информация, используемая в ответе, как и в случае с паролем, не встречалось НИГДЕ в публичном доступе. Но я советую другой способ – задание собственного вопроса. Надо придумать пару совершенно не связанных, на первый взгляд, терминов, и крепко их запомнить. Потом эту пару использовать в качестве контрольного вопроса-ответа для получения паролей. Например, вопрос: «муха», ответ: «пулемет максим». и т.д.
Несмотря на кажущуюся простоту и очевидность вышеизложенных пожеланий, их выполнение обезопасит Ваш аккаунт на 99%. Так что – отнеситесь к этому серьезно. Даже если Вы и не храните в почтовом ящике коммерческие тайны, все равно будет неприятно узнать, что кто-то там ковырялся грязными ручищами :) Так что – дерзайте. Если будут вопросы – обращайтесь в аську: 14-2552
Error_403 said,
июня 29, 2007 at 9:58 дп
Также добавь что пароль могут своровать подсунув трой. Или же вы сами случайно посетите страницу с «вредоносным кодом» которая загрузит и запустит на вашем компьютере вирус. Поэтому не забываем ставить антивирусы и часто их обновлять.
Не переходите по ссылкам которые вам присылают незнакомые люди и не скачивайте программы которые вам предлагают скачать, если вы сами её(программу) не искали и она не расположена на сервере серьезной компании/сайта.
Сейчас распространен спам в ICQ где вам предлагаю скачать, посмотреть что-то. Ни в коем случае туда не ходим и ничего не качаем.
Также распространены способы воровства паролей с помощь Социальной Инженерии.. Вам могут приходить письма от якобы администрации почты, сайта, форума и т.д. Где вас будут теми или иными способами уговаривать отослать куда-то ваш пароль. списывая всё на технические работы или угрожая удалить Ваш аккаунт при отказе. нивкоем случае никому не отправляйте свой пароль и не меняйте на предложенный мошенником.
Администрация ЛЮБОГО сайта сама может изменить или посмотреть ваш пароль, не обращаясь к вам. Поэтому им и нету смысла спрашивать его у вас. Следовательно, пароль узнать хочет злоумышленник.
Попутно к С.И. есть такой способ воровства паролей, как «Фишинг». Вам могут предложить зарегистрироваться / авторизироваться на фальшивом сайте со схожим адресом и шаблоном (дизайном, структурой). К примеру у вас есть почта на Rambler.ru, а вас попросят залогиниться на Rarnbler.ru. Внимательно смотрите на адрес сайта который вам дают, а лучше сами вбивайте его.