Верхнее

7/1001. Безопасность mail.ru

Возвращаясь к ранее начатой теме о защищённости электронной почты, продолжим рассматривать безопасность mail.ru и, прежде всего, постараемся снизить те риски, о которых уже говорилось раньше (часть 1, часть 2). Быть может, мы сможем сделать не так много, но определённые возможности всё же есть.  Итак, что можно посоветовать пользователю mail.ru, которому не безразлично, кто читает его почту?

Совет первый. Смените пароль.

Если Ваш пароль:

  • состоит из менее, чем 8 символов
  • не содержит заглавных букв
  • не содержит цифр
  • не содержит символов (+, и т.п.)
  • это последовательность на клавиатуре (qwerty, qawsed и т.п.)
  • это имя или слово (champion, superman, sergey и т.п.)
  • это русское слово, набранное в английской раскладке (пароль -> gfhjkm, Маша ->Vfif и т.п.)
  • это последовательность, имя, слово, русское слово в английской раскладке и две-три цифры или символа (egor++, qwerty-1Vfif85 и т.п.)

— смените пароль! Атака на пароль по словарю займёт несколько часов, а прямой перебор всех вариантов, если пароль короткий, — несколько дней, ну или пару недель.

Но даже если Ваш пароль длинный, сложный и легко не угадывается — это ещё не значит, что его можно использовать, не меняя, годами. Кто знает, быть может Ваш красивый короткий адрес давно уже кому-то приглянулся и он с упорством, достойным лучшего применения, пытается подобрать к нему пароль?

Для смены пароля нужно, находясь в своём почтовом ящике выбрать: Настройки -> Пароль, после чего ввести текущий пароль, два раза новый и цифры с картинки.

Совет второй. Не используйте один и тот же пароль для разных сервисов.

Портал mail.ru — далеко не эталон безопасности, но есть и более уязвимые web-сайты. Путешествуя по просторам Интернет периодически приходится регистрироваться на каких-то форумах, файлообменниках и других подобных сервисах. Использовать на таких сайтах такой же пароль, как и от почтового ящика не стоит. Не редко злоумышленники именно таким образом и собирают логины/пароли от электронных ящиков пользователей. Как показывает практика, если заманить пользователя на какой-либо сайт, где для доступа к чему-то он должен будет ввести адрес электронной почты и пароль, то велика вероятность, что пользователь укажет пароль, который будет подходить к самой почте, предоставив тем самым малознакомым людям и адрес почтового ящика и пароль от него.

Совет третий. Используйте Повышенный уровень безопасности.

mail.ru позволяет включить Повышенный уровень безопасности при работе с электронным почтовым ящиком. Для этого нужно, находясь в своём почтовом ящике выбрать: Настройки ->; Безопасность -> кнопка «Повышенный уровень безопасности«. После чего потребуется ввести свой текущий пароль и нажать «Сохранить«.

Рассмотрим подробнее, что означает каждая из доступных опций.

Запретить сохранять логин.
Каждый раз при открытии web-сайта mail.ru нужно будет вводить адрес почтового ящика вручную, что не позволит тем, кто на том же компьютере будет работать после Вас, увидеть адрес Вашего ящика. Всё же угадать и логин и пароль — сложнее, чем только пароль. Важный аспект — настройки по сохранению имени ящика нужно будет также отключить и в самом браузере.

Запретить параллельные сессии.
Может помочь выявить факт того, что кто-то знает пароль от Вашего ящика. В случае, когда Вы читаете свою почту и этот кто-то войдёт в Ваш ящик, Ваша сессия будет закрыта. К сожалению, mail.ru никак Вас об этом не уведомит — просто при попытке выполнить любое действие Вы будете переадресованы на страницу ввода пароля. Сам по себе данный факт будет лишь косвенным подтверждением доступа к Вашему ящику постороннего, а вот в совокупности с другими настройками может оказаться полезным.

Показывать информацию о последнем входе в систему.
Это очень важная возможность, которая не включена по умолчанию видимо только по причине того, что не все пользователи поймут, что означает данная надпись, которая автоматически будет появляться при каждом входе.
На самом деле всё просто — показывается время и дата последнего входа и уникальный IP-адрес, с которого происходило обращение. Если Вы читаете почту только дома, на работе и с мобильного устройства, то адресов будет всего три и Вы быстро их запомните. Сопоставление выводимого времени с реальным — тоже хорошая подсказка, например, Вы ушли с работы в 18:00, а в 18:30 кто-то читал Вашу почту…

В рассмотренном же выше случае запрета параллельных сессий, сразу после повторного входа Вы увидите, что кто-то только что входил в Ваш ящик. Далее можно воспользоваться сервисом Who Is для определения того, кому принадлежит IP-адрес.

Важное замечание касается обращений к POP-серверу. Подбор пароля к mail.ru мы рассматривали как раз на примере POP-сервера mail.ru. Так вот, информация об IP-адресах, с которых происходит обращение к pop.mail.ru обновляется только раз в сутки, что значит, что пароль как минимум должен быть достаточно сложным с тем, чтобы его не успели подобрать за это время, и Вы увидели, что к Вашему ящику кто-то обращался с чужого IP-адреса.

Сессия только с одного IP-адреса.
Данная опция делает невозможной подмену текущего адреса, с которого происходит обращение к сайту mail.ru. Это, конечно, более сложный с точки зрения реализации вид атаки, но для надёжности лучше и эту опцию оставить включённой.

Совет четвёртый. Не используйте автоматическое сохранение паролей в браузере.

Большинство современных браузеров предлагает для удобства пользователей сохранять пароли.
Лучше отказаться от этой «медвежьей» услуги, даже если компьютер стоит у Вас дома и кроме Вас и людей, которым Вы доверяете, за ним никто не работает. Любой троян, попавший на Ваш компьютер, с лёгкостью извлечёт все Ваши логины и пароли, ведь далеко не все браузеры умеют защищать пароли — порой они хранятся на компьютере просто в открытом виде, ничем не защищённые. Для хранения паролей от web-сайтов лучше использовать специализированные решения: Roboform, Lastpass или аналогичные. Рассказ про них, как и про многое другое у нас впереди.

И первые лучи солнца озарили клавиатуру…

,