Доброго времени суток.
Думаю, все в курсе последний новостей о почтовых гигантах и паролях их пользователей. Зацепило почти всех ключевых почтальонов нашего рунета (Gmail, Mail.ru, Yandex почта). Наверное, у большей половины читателей эти ссылки фиолетовые. Это не обсуждает только ленивый. Хочу предложить для обсуждения свой подход к данной проблеме.
Причины утечки паролей называются разные. Это обсуждалось много раз, укажу лишь в вкратце:
Трояны всегда были, есть и будут. Несмотря на массовость, с этим бороться проще всего. Достаточно знать основы «гигиены» пользования сетью Интернет и если необходимо, то использовать (и своевременно обновлять) антивирусные продукты.
Фишинг — это более сложно для восприятия обывателю. Даже не все технически подкованные люди до конца понимают специфику данной атаки. Помимо хацкеров «васей», которые лепят похожие на распространённые сервисы странички и рассылают своим друзьям, есть и более ухищрённые методы. Атака на BGP, подмена DNS и ещё куча забавных слов позволяет очень сильно расширить группу атакуемых.
Кросс-чек (такое называния вычитал из объяснения ситуации командой Яндекса) подразумевает под собой проверку на совпадение установленного для взломанного сайта пароля с почтовым (адрес почты обычно известен из анкеты пользователя). Повод лишний раз напомнить, что пароли везде должны быть разные, не только почтовые!
Утечка данных со стороны персонала — что-то мифическое. Плохо себе представляю такой вариант, просто потому что не вижу «цели» для таких действий. Почтовые адреса добываются спамерами совершенно другими путями и по другим ценам. На порядок дешевле, чем искать и подкупать инсайдера. К вопросу о данных в ящике — персонал посмотрит ваш ящик без пароля, мало ли кто-то этого не понимает. Пароль — это для нас — пользователей.
Итак, теперь о способе упростить себе жизнь. Вам понадобится свой домен и 15 вашего минут времени.
Все мы знаем о таких услугах как корпоративная почта. Она позволяет использовать ваш домен для почты, без настройки сложных систем.
Небольшой списочек «тех» самых почтальонов:
Я намеренно пропущу процесс настройки данного хозяйства, т.к. всё разжевано до безобразия.
После того, как всё проделано, мы получаем домен, в котором свободно можем создавать любое количество ящиков. Да и создавать их не обязательно!
Допустим, у нас такой домен domain.ru, тогда мы имеем возможность создавать все ящики *@domain.ru Т.е. для каждого сайта где мы хотим зарегистрироваться (особенно для тех, которые нам нужны на 3 минуты) мы можем создать свой отдельный ящик, с минимальными телодвижениями, со своим уникальным именем. Допустим sitefromp3@domain.ru.
Скажете — это ведь неудобно! Да, неудобно. Но можно ведь и не создавать. Достаточно настроить пересылку всех писем для несуществующих ящиков в вашем домене на основной адрес. Теперь вам в анкете для регистрации нужно просто вписать sitefromp3@domain.ru и письмо придёт к вам.
Кросс-чек нам более не опасен (повторяю, создавайте новые пароли для каждого сервиса!).
В добавок мы теперь нигде не оставляем свой реальный адрес. Если вдруг на один из «виртуальных» ящиков начнет приходить спам (мы из названия ящика будем точно знать кто нас слил), то избавление от оного займёт пару минут. Достаточно зайти в управление вашим доменом и создать ящик с данным именем. Спам будет аккуратно складываться туда. В том числе снижается потенциальный урон от фишинга. Разве это не замечательно?
Я использую данную схему уже давно, в примерно таком виде: письма со всех ненастоящих адресов идут на основной, созданный для регистрации в соответствующих почтовых хостингах. С него настроена пересылка на мой личный адрес, который я нигде не указываю уже давно. В свою очередь, на уже личном адресе все письма по фильтру складываются в отдельную папочку. Просто, эффективно и удобно.
Спасибо за внимание, надеюсь кто-нибудь почерпнёт что-то полезное.
Думаю, все в курсе последний новостей о почтовых гигантах и паролях их пользователей. Зацепило почти всех ключевых почтальонов нашего рунета (Gmail, Mail.ru, Yandex почта). Наверное, у большей половины читателей эти ссылки фиолетовые. Это не обсуждает только ленивый. Хочу предложить для обсуждения свой подход к данной проблеме.
Причины утечки паролей называются разные. Это обсуждалось много раз, укажу лишь в вкратце:
- Трояны на компьютерах пользователей
- Фишинг атаки на пользователей
- Так называемый кросс-чек
- Утечка данных со стороны персонала
Трояны всегда были, есть и будут. Несмотря на массовость, с этим бороться проще всего. Достаточно знать основы «гигиены» пользования сетью Интернет и если необходимо, то использовать (и своевременно обновлять) антивирусные продукты.
Фишинг — это более сложно для восприятия обывателю. Даже не все технически подкованные люди до конца понимают специфику данной атаки. Помимо хацкеров «васей», которые лепят похожие на распространённые сервисы странички и рассылают своим друзьям, есть и более ухищрённые методы. Атака на BGP, подмена DNS и ещё куча забавных слов позволяет очень сильно расширить группу атакуемых.
Кросс-чек (такое называния вычитал из объяснения ситуации командой Яндекса) подразумевает под собой проверку на совпадение установленного для взломанного сайта пароля с почтовым (адрес почты обычно известен из анкеты пользователя). Повод лишний раз напомнить, что пароли везде должны быть разные, не только почтовые!
Утечка данных со стороны персонала — что-то мифическое. Плохо себе представляю такой вариант, просто потому что не вижу «цели» для таких действий. Почтовые адреса добываются спамерами совершенно другими путями и по другим ценам. На порядок дешевле, чем искать и подкупать инсайдера. К вопросу о данных в ящике — персонал посмотрит ваш ящик без пароля, мало ли кто-то этого не понимает. Пароль — это для нас — пользователей.
Итак, теперь о способе упростить себе жизнь. Вам понадобится свой домен и 15 вашего минут времени.
Все мы знаем о таких услугах как корпоративная почта. Она позволяет использовать ваш домен для почты, без настройки сложных систем.
Небольшой списочек «тех» самых почтальонов:
Я намеренно пропущу процесс настройки данного хозяйства, т.к. всё разжевано до безобразия.
После того, как всё проделано, мы получаем домен, в котором свободно можем создавать любое количество ящиков. Да и создавать их не обязательно!
Допустим, у нас такой домен domain.ru, тогда мы имеем возможность создавать все ящики *@domain.ru Т.е. для каждого сайта где мы хотим зарегистрироваться (особенно для тех, которые нам нужны на 3 минуты) мы можем создать свой отдельный ящик, с минимальными телодвижениями, со своим уникальным именем. Допустим sitefromp3@domain.ru.
Скажете — это ведь неудобно! Да, неудобно. Но можно ведь и не создавать. Достаточно настроить пересылку всех писем для несуществующих ящиков в вашем домене на основной адрес. Теперь вам в анкете для регистрации нужно просто вписать sitefromp3@domain.ru и письмо придёт к вам.
Кросс-чек нам более не опасен (повторяю, создавайте новые пароли для каждого сервиса!).
В добавок мы теперь нигде не оставляем свой реальный адрес. Если вдруг на один из «виртуальных» ящиков начнет приходить спам (мы из названия ящика будем точно знать кто нас слил), то избавление от оного займёт пару минут. Достаточно зайти в управление вашим доменом и создать ящик с данным именем. Спам будет аккуратно складываться туда. В том числе снижается потенциальный урон от фишинга. Разве это не замечательно?
Я использую данную схему уже давно, в примерно таком виде: письма со всех ненастоящих адресов идут на основной, созданный для регистрации в соответствующих почтовых хостингах. С него настроена пересылка на мой личный адрес, который я нигде не указываю уже давно. В свою очередь, на уже личном адресе все письма по фильтру складываются в отдельную папочку. Просто, эффективно и удобно.
Спасибо за внимание, надеюсь кто-нибудь почерпнёт что-то полезное.