Взломы веб-базированных электронных почтовых ящиков в последнее время становятся все более распространенными. Способов взлома множество – простой подбор, keyboard logger, подбор ответа на секретный пароль, троянцы и т.д. и т.п.
Результат всегда один – злоумышленник получает полный доступ к почтовому ящику. Он может слить с него всю информацию, использовать его для дальнейшего взлома других почтовых ящиков, логинов в социальных сетях, платежных системах. В конце концов, он может просто удалить ящик или же поменять на него пароль. Вообще, все плохо.
Я попытался придумать концепцию дополнительной защиты для веб-базированных почтовых ящиков, которую я назвал суперпароль. Пока это не более, чем концепция и я хотел бы услышать мнение других пользователей Хабра.
Существует системы двухуровневой защиты, как например на Google. Неплохое решение, но при всех своих плюсах там есть определенный минус, выражающийся в некоторой затрудненности в постоянном доступе к ящику. У меня, к примеру, иногда не приходил СМС с кодом на мобильный телефон, а требуется он довольно часто (зашел с другого места в почту). Не приходит и все тут. Затрудняется доступ программ под Android, использующих логин такой многоуровневой защиты в качестве базового логин идентификации.
Я подумал – а почему не использовать на логине почтовой службы систему распределенного доступа. К примеру, как на самой обычной Joomla. Пользователь User может создавать и редактировать новые страницы, но не может удалять чужие страницы, не говоря уже о доступе к логину SQL-базы.
Итак, представляем, что при регистрации на почтовой службы нам нужно указать не один, а два пароля.
Пароль № 1 – обычный пароль
Пароль №2 – суперпароль. Пароль для критических изменений.
Вот примерное распределение обязанностей и уровней доступа при использовании обычного пароля или суперпароля.
Как вы видите, обычный пароль позволяет вполне комфортно работать в своей почте, заходя в нее с разных устройств, в том числе подверженных риску взлома – чужие Wi-Fi сети, интернет-кафе и т.д. Почти всегда мы используем только обычный пароль. С современными квотами на дисковое пространство у таких лидеров как mail.ru, yandex.ru, hotmail.com, gmail.com и далее вопрос удаления сообщений часто не критичен. Обычно нет необходимости еженедельно чистить наш ящик от спама и больших писем, чтобы ящик не переполнился. Если перефразировать известное высказывание Б.Гейтса, можно сказать – «Обычного пароля хватит всем».
«Банально» — наверное, скажите вы. Вместо одного пароля – два пароля, больше шансов забыть их оба. В чем новизна?
Возражение № 1
Часто взлом почтового ящика только прелюдия к взлому логинов в других службах, к примеру в Skype, Webmoney, PayPal и т.д. Т.е. мы защитили наш почтовый ящик от критических изменений, но злоумышленник, имея обычный доступ к нему, запрашивает, к примеру, на Skype новый пароль, получает сообщение со ссылкой для смены пароля Skype, меняет его. Все, наш суперпароль не помог нам защитить наши другие логины и имея обычный пароль, злоумышленник может нанести ощутимый урон.
Возражение №2
Слив информации. Злоумышленник скачивает интересные для него письма, вложения во в них. Также может найти письма, где указаны пароли, указанные при регистрации в других службах (хотя сейчас такие письма все же редкость, но все же). Удаление всей информации – т.е. обычный вандализм.
Для препятствия этому я предлагаю систему ярлыков для всех писем.
Ярлык Top-Save
Как вариант, этот ярлык автоматически применяется ко всем сообщениям, старше, чем 5 дней. Все сообщения, которые имеют данный ярлык, можно прочитать с использованием обычного пароля, можно скачивать приложения в них, но нельзя их удалять без использования суперпароля. Естественно, срок применения этого ярлыка (5 дней, 2 недели или другое), можно изменять с помощью нашего суперпароля. Если сообщение отослано недавно (от 1 до 5 дней назад), мы можем его удалять с помощью нашего обычного пароля.
Ярлык Top-Secret
Данный ярлык позволяет обеспечить максимальную защиту для сохраненных сообщений. Письма, обозначенные данным ярлыком, нельзя прочесть без использования нашего суперпароля, хотя найти их в ящике можно. Конечно же в письме не будет показываться его первые строки, только отправитель и тема.
Как выставляется такой ярлык? Варианты:
1. Ко всем сообщениям, которые старше пол-года (можно изменить или отменить вообще).
2. К сообщениям, которые сам пользователь посчитает нужным отметить как Top-Secret. Причем, чтобы применить данный ярлык, достаточно обычного пароля, а чтобы снять ярлык или посмотреть письмо – только суперпароль.
3. Ко всем письмам от «Топовых» адресатов. Список таких адресатов можно составить заранее и включить в них самые популярные социальные сети, платежные системы, онлайн-месседжеры и т.д.
Защита в данном случае может представлять собой как полную защиту – к примеру мы можем, при использовании обычного пароля, увидеть письмо во входящих, видим отправителя и тему, но не можем открыть его для прочтения, так и частичную, когда мы открываем письмо, но не видим ссылок.
Пример:
Отправитель: Skype
Тема: Смена пароля
Уважаемый ХХХ!
Вы запросили новый пароль. Чтобы сменить пароль, нажмите следующую ссылку <Данная ссылка заблокирована по условиям ярлыка Top-Secret, используйте свой суперпароль для полного прочтения письма>
С уважением
Skype Inc.
4. К сообщениям от указанных вами адресатов. Может работать по принципу фильтров в Gmail.
«Применять ярлык Top-Secret ко всем сообщениям от Адресата <user@mail.ru> через 3 дня после поступления письма».
В результате, злоумышленник не сможет нанести критичный ущерб, даже завладев обычным паролем от вашей почты.
1. Почти все письма останутся в почте.
2. Злоумышленник не сможет использовать почту для дальнейших взломов.
3. Вы сохраните доступ к ящик и сможете оперативно поменять скомпрометированный пароль.
4. Вы можете спокойно сохранять обычный пароль в браузере, на смартфоне, не опасаясь его потери. Суперпароль хранится отдельно и используется крайне редко.
Что собою должен представлять суперпароль?
Это может быть обычный текстовый п��роль, но после использования которого на мобильный телефон высылается проверочный код. Т.к. суперпароль будет требоваться не так уж часто, я думаю, такая сочетание даст максимальный уровень защиты.
Другие варианты суперпароля, как-то применение пары ключей (открытый-закрытый ключ) и т.п. также допускаются.
Хотел бы выслушать ваше мнение, замечания о слабых сторонах данного предложения.
UPD. Как предложил aalebedev, можно отказаться от текстового суперпароля как такового, а использовать для входа в почту имеющийся мобильный телефон, но только тот, который был указан при регистрации.
Т.е., вводим логин, ставим галочку (вход с суперпаролем), вводим в поле суперпароля свой мобильный телефон, а в третьем поле вводим код подтверждения, полученный через СМС.
В результате, нам нужно помнить только обычный пароль и свой номер мобильного телефона.
Результат всегда один – злоумышленник получает полный доступ к почтовому ящику. Он может слить с него всю информацию, использовать его для дальнейшего взлома других почтовых ящиков, логинов в социальных сетях, платежных системах. В конце концов, он может просто удалить ящик или же поменять на него пароль. Вообще, все плохо.
Я попытался придумать концепцию дополнительной защиты для веб-базированных почтовых ящиков, которую я назвал суперпароль. Пока это не более, чем концепция и я хотел бы услышать мнение других пользователей Хабра.
Существует системы двухуровневой защиты, как например на Google. Неплохое решение, но при всех своих плюсах там есть определенный минус, выражающийся в некоторой затрудненности в постоянном доступе к ящику. У меня, к примеру, иногда не приходил СМС с кодом на мобильный телефон, а требуется он довольно часто (зашел с другого места в почту). Не приходит и все тут. Затрудняется доступ программ под Android, использующих логин такой многоуровневой защиты в качестве базового логин идентификации.
Я подумал – а почему не использовать на логине почтовой службы систему распределенного доступа. К примеру, как на самой обычной Joomla. Пользователь User может создавать и редактировать новые страницы, но не может удалять чужие страницы, не говоря уже о доступе к логину SQL-базы.
Итак, представляем, что при регистрации на почтовой службы нам нужно указать не один, а два пароля.
Пароль № 1 – обычный пароль
Пароль №2 – суперпароль. Пароль для критических изменений.
Вот примерное распределение обязанностей и уровней доступа при использовании обычного пароля или суперпароля.
Как вы видите, обычный пароль позволяет вполне комфортно работать в своей почте, заходя в нее с разных устройств, в том числе подверженных риску взлома – чужие Wi-Fi сети, интернет-кафе и т.д. Почти всегда мы используем только обычный пароль. С современными квотами на дисковое пространство у таких лидеров как mail.ru, yandex.ru, hotmail.com, gmail.com и далее вопрос удаления сообщений часто не критичен. Обычно нет необходимости еженедельно чистить наш ящик от спама и больших писем, чтобы ящик не переполнился. Если перефразировать известное высказывание Б.Гейтса, можно сказать – «Обычного пароля хватит всем».
«Банально» — наверное, скажите вы. Вместо одного пароля – два пароля, больше шансов забыть их оба. В чем новизна?
Возражение № 1
Часто взлом почтового ящика только прелюдия к взлому логинов в других службах, к примеру в Skype, Webmoney, PayPal и т.д. Т.е. мы защитили наш почтовый ящик от критических изменений, но злоумышленник, имея обычный доступ к нему, запрашивает, к примеру, на Skype новый пароль, получает сообщение со ссылкой для смены пароля Skype, меняет его. Все, наш суперпароль не помог нам защитить наши другие логины и имея обычный пароль, злоумышленник может нанести ощутимый урон.
Возражение №2
Слив информации. Злоумышленник скачивает интересные для него письма, вложения во в них. Также может найти письма, где указаны пароли, указанные при регистрации в других службах (хотя сейчас такие письма все же редкость, но все же). Удаление всей информации – т.е. обычный вандализм.
Для препятствия этому я предлагаю систему ярлыков для всех писем.
Ярлык Top-Save
Как вариант, этот ярлык автоматически применяется ко всем сообщениям, старше, чем 5 дней. Все сообщения, которые имеют данный ярлык, можно прочитать с использованием обычного пароля, можно скачивать приложения в них, но нельзя их удалять без использования суперпароля. Естественно, срок применения этого ярлыка (5 дней, 2 недели или другое), можно изменять с помощью нашего суперпароля. Если сообщение отослано недавно (от 1 до 5 дней назад), мы можем его удалять с помощью нашего обычного пароля.
Ярлык Top-Secret
Данный ярлык позволяет обеспечить максимальную защиту для сохраненных сообщений. Письма, обозначенные данным ярлыком, нельзя прочесть без использования нашего суперпароля, хотя найти их в ящике можно. Конечно же в письме не будет показываться его первые строки, только отправитель и тема.
Как выставляется такой ярлык? Варианты:
1. Ко всем сообщениям, которые старше пол-года (можно изменить или отменить вообще).
2. К сообщениям, которые сам пользователь посчитает нужным отметить как Top-Secret. Причем, чтобы применить данный ярлык, достаточно обычного пароля, а чтобы снять ярлык или посмотреть письмо – только суперпароль.
3. Ко всем письмам от «Топовых» адресатов. Список таких адресатов можно составить заранее и включить в них самые популярные социальные сети, платежные системы, онлайн-месседжеры и т.д.
Защита в данном случае может представлять собой как полную защиту – к примеру мы можем, при использовании обычного пароля, увидеть письмо во входящих, видим отправителя и тему, но не можем открыть его для прочтения, так и частичную, когда мы открываем письмо, но не видим ссылок.
Пример:
Отправитель: Skype
Тема: Смена пароля
Уважаемый ХХХ!
Вы запросили новый пароль. Чтобы сменить пароль, нажмите следующую ссылку <Данная ссылка заблокирована по условиям ярлыка Top-Secret, используйте свой суперпароль для полного прочтения письма>
С уважением
Skype Inc.
4. К сообщениям от указанных вами адресатов. Может работать по принципу фильтров в Gmail.
«Применять ярлык Top-Secret ко всем сообщениям от Адресата <user@mail.ru> через 3 дня после поступления письма».
В результате, злоумышленник не сможет нанести критичный ущерб, даже завладев обычным паролем от вашей почты.
1. Почти все письма останутся в почте.
2. Злоумышленник не сможет использовать почту для дальнейших взломов.
3. Вы сохраните доступ к ящик и сможете оперативно поменять скомпрометированный пароль.
4. Вы можете спокойно сохранять обычный пароль в браузере, на смартфоне, не опасаясь его потери. Суперпароль хранится отдельно и используется крайне редко.
Что собою должен представлять суперпароль?
Это может быть обычный текстовый п��роль, но после использования которого на мобильный телефон высылается проверочный код. Т.к. суперпароль будет требоваться не так уж часто, я думаю, такая сочетание даст максимальный уровень защиты.
Другие варианты суперпароля, как-то применение пары ключей (открытый-закрытый ключ) и т.п. также допускаются.
Хотел бы выслушать ваше мнение, замечания о слабых сторонах данного предложения.
UPD. Как предложил aalebedev, можно отказаться от текстового суперпароля как такового, а использовать для входа в почту имеющийся мобильный телефон, но только тот, который был указан при регистрации.
Т.е., вводим логин, ставим галочку (вход с суперпаролем), вводим в поле суперпароля свой мобильный телефон, а в третьем поле вводим код подтверждения, полученный через СМС.
В результате, нам нужно помнить только обычный пароль и свой номер мобильного телефона.
