9 сентября 2014

Утекли пароли к почте на Яндексе и Mail.ru: побочный ущерб больше прямого?

Бизнес

С очень коротким промежутком в Сеть утекло большое количество паролей от почтовых ящиков на Яндексе и Mail.ru. Масштабы утечки довольно велики, но воображения по нынешним временам не поражают: один миллион от ящиков на Яндексе, 4 664 478 паролей от ящиков на Mail.ru.

Яндекс отреагировал довольно быстро, заявив, что данные стали известны злоумышленникам «в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга».

«Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени,» – говорит нам Яндекс. — «О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.»

wide

Mail.ru выдал сходную реакцию: представители компании заявили, что утечка паролей — следствие работы вредоносного ПО на компьютерах пострадавших, а также посещения ими вредоносных сайтов, и что 95% опубликованных почтовых аккаунтов заблокировали ещё до утечки. Тем не менее, по данным от читателей Habrahabr рабочие пароли в базе встречаются.

В целом, очевидно, что какой-либо страшной катастрофы не случилось: в конце концов, редко кто будет использовать для бизнес-нужд почтовые ящики на Mail.ru и Яндекс. Хотя к аккаунту на Яндексе могут быть привязаны электронные кошельки.

Важнее другое. Прямой ущерб может быть маленьким, а вот побочный – весьма обширным. В том смысле, что возникает вопрос: а не были ли те же самые пароли использованы где-то ещё? В конце концов, среднестатистическому пользователю Сети часто приходится держать в голове до нескольких десятков паролей, и есть огромный соблазн использовать похожие, а то и одни и те же комбинации в нескольких разных местах.

И вот это уже Большая Ошибка: как раз на это злоумышленники чаще всего и расчитывают. Сто процентов, что сейчас всевозможные кулхацкеры попытаются «заюзать» и эти утекшие и вроде как в большинстве своём уже недействительные пароли где-то ещё.

Впрочем, если эти пароли уведены с помощью вредоносного ПО, то скорее всего, его «операторы» уже и так знают, какие ресурсы посещают пострадавшие и какими паролями где пользуются.

Ну, как бы там ни было, пароли сами по себе – мягко говоря, не идеальная защита. Даже когда это какие-нибудь солидные комбинации по всем правилам: с большими и маленькими буквами и цифрами, а не vfvfhjlyfz или 1234qwerty. У злоумышленников набор «отмычек» большой, надо будет — вскроют. Особенно, если пароль не менять годами.

А вот с двухфакторной авторизацией, одноразовыми паролями на телефон, токенами и прочими достижениями «церберовой» мысли, они что-либо вскрывать, извините, запарятся. Да, да, конечно, есть всякие Zitmo и Spitmo (прямо название для комикса про двух клоунов), которые и mTAN со смартфонов успешно воруют. Ну так ведь на мобильники уже всё что надо установлено, правда? :-)

Ну, а в целом, отношение к паролям, особенно в бизнес-сфере, отношение должно быть, с позволения сказать, «религиозным», со своими «смертными грехами» и «благодетелями». «Смертными грехами» являются

  • Пароли типа 1234 и asdfghj,
  • Использования одних и тех же паролей для доступа как к личной почте на mail.ru, так и к корпоративным ресурсам
  • Использование одного и того же пароля более полугода
  • Пароль, написанный на бумажке, приклееной к монитору на всеобщее обозрение, — тоже великий грех

Меняйте пароли и более не грешите.

А что ж до добродетелей – так это:

  • Всё та же многофакторная авторизация,
  • Брелоки-токены,
  • Пароли такой длины, чтобы с них мог взлетать бомбардировщик
  • Хранение этих паролей в зашифрованном виде.

Да, запоминать такое бывает большой проблемой, однако существуют на свете менеджеры паролей, которые позволяют обойтись всего одной комбинацией для всех посещаемых ресурсов. Что в целом снимает большую (если не бОльшую) часть проблем.