Верхнее

4/1001. Безопасность mail.ru

Сегодня поговорим о безопасности популярного бесплатного почтового сервера mail.ru. Говорят, что бесплатный сыр бывает только в мышеловке, вот этот факт мы и проверим.
Итак, поставим себя на место неискушённого в вопросах безопасности обычного пользователя, который решил завести себе новый почтовый ящик. Жмём на ссылку Регистрация в почте и приступаем к созданию новой учётной записи.
Имя, фамилия, день рождения, пол и собственно сам желаемый e-mail нас сейчас не очень интересуют, т.к. сами по себе на безопасность не очень влияют, а вот к остальным параметрами давайте присмотримся.
Главное, на чём держится конфиденциальность почтовой переписки пользователя mail.ru — это, конечно же, пароль. Итак, какие ограничения на используемый пароль накладывает этот портал? Вот что написано в комментарии:

В пароле нельзя использовать кириллицу. Длина пароля должна быть не менее четырёх символов. Не выбирайте слишком простой пароль, его могут легко подобрать и воспользоваться вашим почтовым ящиком.

На самом деле требования жёстче, чем указано в примечании. Подсказки о сложности текущего пароля не выводятся, но о недопустимости использования того или иного пароля пользователь уведомляется постфактум. Так, например, экспериментальным путём было выяснено, что:
  • пароль не может совпадать с именем ящика;
  • пароль не может состоять только из цифр;
  • при использовании коротких паролей пользователь предупреждается об их простоте;
  • пароль может состоять из латинских букв, цифр, пробелов, символов “-”,”_” и ”.”;
  • пароль не может быть длиннее 16 символов, начинаться и заканчиваться пробелами и содержать несколько пробелов подряд.
Следующим важным фактором, влияющим на безопасность является «секретный вопрос» — тот вопрос, правильный ответ на который позволит восстановить забытый пароль. Вот какие варианты предлагает mail.ru в качестве секретного вопроса:
  • Девичья фамилия матери
  • Номер паспорта
  • Как звали Вашего первого домашнего питомца
  • Имя и отчество Вашей бабушки
  • Имя и отчество Вашего дедушки
  • Номер телефона друга или подруги
  • Прозвище лучшего друга или подруги
  • Название Вашей любимой книги
  • Почтовый индекс родителей
  • Свой вопрос
Судя по всему, авторы mail.ru полагают, что близкие друзья и родственники — это те люди, которым можно безоговорочно доверять, ведь ответы на большую часть этих вопросы они, уж конечно, знают. Вопрос это, конечно, спорный и каждый на него должен ответить самостоятельно.
Возможность задать свой собственный вопрос, бесспорно, позволяет любому пользователю повысить его безопасность то сколь угодно приемлемого уровня вплоть до того, что ответ действительно будет знать только он, ведь главная уязвимость секретных вопросов заключается   в том, что ответ на них как правило выбирается осмысленный, а значит — его можно просто угадать или подобрать, перебрав возможные варианты по словарю.
Как показывает опыт — чаще всего люди выбирают первый же предложенный вариант, т.е. в данном случае — девичью фамилию матери. В эпоху развития социальных сетей это, к сожалению, уже не такой большой секрет как раньше. Если Ваша мама активный пользователь Одноклассников да ещё и числится в списке Ваших друзей, то скорее всего она сама же и указала свою девичью фамилию, чтобы друзья детства смогли её найти. А если у Вашей мамы есть брат, то очень маловероятно, что он менял свою фамилию, которая, как не трудно догадаться, совпадает с девичьей фамилией его сестры. Вот Вам и секретный вопрос.
Ответ на секретный вопрос при регистрации на портале mail.ru выводится в явном виде, что, в общем-то очень странно, ведь по сути это ключ к паролю, который закрывается звёздочками, “чтобы никто не подсмотрел”.
Для восстановления забытых паролей есть ещё две возможности — использовать дополнительный адрес электронной почты или сотовый телефон. Обе эти возможности могут оказаться самыми уязвимыми звеньями. Так, например, незаблокированный телефон можно использовать для того, чтобы в отсутствии хозяина в считанные минуты получить доступ к его переписке, а доступ к дополнительному адресу электронной почты позволит получить доступ к ящику на mail.ru
В качестве защиты от автоматических регистраций используется код на картинке. Возможно, к безопасности самой компании mail.ru эта особенность отношение имеет, а вот к безопасности почты — вряд ли.
К сожалению, при регистрации нового ящика на mail.ru и вводе ответа на секретный вопрос используется незащищённое соединение, что означает, что все вводимые Вами данные отправляются на сервер в открытом виде, доступные для перехвата. Аналогично выглядит и ситуация с дальнейшим использованием почтового ящика: каждый раз при входе в почту Ваш пароль отправляется в путешествие по сети интернет в свободно читаемом виде.

Завершим беглое знакомство с безопасностью портала mail.ru рассмотрением реализованной защиты от подбора пароля. При вводе неправильного пароля, пользователь перенаправляется на отдельную страницу, где ему предлагается ввести верный пароль повторно.

Моего терпения хватило перебрать вручную 32 пароля. Никаких попыток заблокировать дальнейший перебор не было предпринято, что наводит на мысль о полном отсутствии какой-либо защиты от перебора. В следующей части обзора mail.ru это обязательно будет проверено.
Пока же можно сделать краткий вывод — уровень безопасности, предлагаемый mail.ru находится на минимально допустимом уровне. Неопытный пользователь имеет неплохие шансы поделится своей перепиской с минимально продвинутым взломщиком. В защиту mail.ru стоит сказать, что определённые возможности по повышению безопасности этот сервис своим пользователям всё же предоставляет, но настраиваются они отдельно, о чём так же будет рассказано чуть позже.

И первые лучи солнца озарили клавиатуру…

,