Ostatnie wydarzenia z Twitterem spowodowały, że zajrzałem do archiwum mojego maila (gmail) aby sprawdzić co by się stało gdyby mi się przydarzyło włamanie do poczty. Powiem szczerze, że to co znalazłem trochę mnie przeraziło. Oczywiście można powiedzieć, że mówię o banałach bo przecież każdy wie, że nie można wszystkiego trzymać w jednym miejscu, że ważne dokumenty powinny być pozabezpieczane itp.
Proponuję wam jednak zrobić drobny test. Pierwszym z nich będzie wpisanie używanych przez was haseł. W moim przypadku wynik takiego zapytania był porażający. Okazało się, że kilkanaście serwisów po rejestracji odesłało mi w mailu moje hasło. Łatwo sobie można wyobrazić jaka była by to gratka dla włamywacza. Oprócz własnych haseł warto również w wyszukiwarkę wpisać takie wyrażenia jak “hasło” czy “password” – znajdziemy wtedy więcej informacji o serwisach w których się rejestrowaliśmy ale zapomnieliśmy o nich czy też wpisaliśmy inne niż nasze standardowe hasło.
Hasła do innych serwisów to jednak dopiero początek. Bardziej interesujące jest jakie jeszcze informacje można znaleźć w poczcie? Na przykład jeśli ostatnio ubiegaliśmy się o kredy (tak jak było to w moim przypadku) to jestem więcej niż pewien, że komplet dokumentów wraz z naszymi szczegółowymi danymi finansowymi mamy w niezabezpieczonych załącznika. Żaden bank ani analityk nie przysyła nam przecież dokumentów zabezpieczonych hasłem (a szkoda bo była by to dobra praktyka).
Nasz email to zapewne przepastne źródło informacji i dokumentów – informacje na temat naszych finansów nie jest najgorszą rzeczą jaka może się przytrafić. Gorzej jeśli na przykład w ręce niepowołanych osób dostaną się wszelkiego rodzaju umowy, które z założenia mają charakter poufny – wtedy już nie tylko my mamy problem ale również nasi klienci czy też firmy z nami współpracujące.
Przykładów tego co się może stać można mnożyć w nieskończoność. Nie chodzi jednak o to aby się straszyć tylko aby uświadomić sobie jak istotnym elementem naszego bezpieczeństwa i naszej tożsamości w sieci jest tak stara usługa jak emai. Sposobów i rad na zabezpieczenie się przed dużymi stratami w przypadku włamania jest pewnie bardzo dużo. Ja zacząłem od porządków w poczcie (o takim czymś jak mocne hasło nie będę wspominał). Niestety sam gmail nie pomaga mi w zrobieniu tego czego bym chciał (a może o tym nie wiem?) czyli np: oddzielnego hasła na wybrane tagi, automatyzacji archiwizacji załączników czy też pozbycie się emaila jako sposobu odzyskiwania hasła – chciałbym zostawić tylko SMS.
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
i dlatego prywatne dane trzeba trzymać na prywatnym zabezpieczonym dysku, do którego dostęp z zewnątrz jest utrudniony maksymalnie. a nie zachwycać się jakimś gmailem.
@burteg
Lapka/pendrive czasem łatwiej ukraść niż się włamać na konto ;)
A nie wystarczy korzystanie z PGP?
Kiedy ktoś dostanie się na twoją skrzynkę, to i tak potrzebowałby jeszcze twój klucz prywatny, który jest tylko na twoim prywatnym komputerze. No ale przecież nie mówimy o fizycznym przejęciu sprzętu, tylko o włamaniu na konto email.
@burteg
I nie ma co psioczyć na Gmaila, bo z innymi serwisami (Hotmail, Yahoo, etc) jest dokładnie to samo.
Najsłabszym ogniwem jest tutaj user, który nie zabezpiecza swoich danych…
Jeśli ktoś ciągle trzyma maile, gdzie jego hasło jest tam jako zwykły tekst, to robi to na swoje ryzyko :)
No i protokoły pop3 i imap niech wrócą do łask wraz z softem do obsługi poczty a nie wszystko by web. A żeby było śmieszniej gmail ma pop3 zabezpieczone więc proponuję się przerzucić i co najwyżej trzymać pocztę z ostatni 3 dni na web, zawsze to ograniczy prawdopodobieństwo przechwycenia “wrażliwych” danych.
Ja usunąłem seconday e-mial jako sposób przypomnienia hasła. Nie wiem wiec gdzie problem. Ze swojej strony dodam iż warto zmienić standardowe pytanie o przypomnienie hasła na jakieś bardziej skomplikowane. Może zdarzyć się taka że osoba która będzie chciała się włamać poszuka trochę w naszym życiorysie i uda jej się dowiedzieć “jakiego mieliśmy pieska”
A ja ostatnio miałem rozmowę z pewnym przedsiębiorcą, że ustawa o ochronie danych osobowych to niepotrzebny śmieć i że zmiana haseł to niepotrzebne utrudnienie :)
Jeśli chodzi o bezpieczeństwo maila, to zauważyłem, że jako kontakt podajesz grzegorz.marczak[at]googlowskimail.com – domyślam się że chodzi o gmail.
Natomiast ta domena googlowskimail.com istnieje i mały test potwierdził, że przyjmuje maile wysyłane na podany przez Ciebie adres (nie odrzuca ich). Jeśli Ty jesteś właścicielem tej domeny (wg whois: Lukasz Goliat), to nie ma problemu. Jednak jeśli nie, to prawdopodobnie część korespondencji do Ciebie mogła wpaść w inne ręce.
Odniosę się do tego, co powiedział Adrian. Otóż o wiele lepszym rozwiązaniem jest stworzenie sygnatury, którą można umieszczać i wtedy żaden bot nie “wyciągnie” Twojego e-maila do swojej bazy, by generować Ci spam.
Sprawdź sobie to: http://www.gmailsignature.net/
Pozdrawiam
Ja po tym jak kiedyś moja ówczesna dziewczyna chcąc skasować mi wysłanego wcześniej niechcący wirusa weszła na moje konto pocztowe [na WP] używając pytania pomocniczego, którym była moja data urodzenia przestałem ustawiać hasło pomocnicze, a jak nie można to wpisuje tak w pytanie jak i w odpowiedź ciągi bezsensownych znaków.
Dlatego my w naszej firmie krytyczne maile przesyłamy szyfrując je kluczami PGP :) Problem zostaje wtedy rozwiązany automatycznie. Nie mówiąc już o tym, że nikt z nas nie jest na tyle naiwny by trzymać istotne dane gdzieś na cudzych serwerach! Gdy pisałeś o zaletach klienta pocztowego google, ja twardo stałem na ziemi i broniłem klientów desktopowych – to jest kolejny przykład na to dlaczego warto jednak z nich korzystać… oczywiście zabezpieczenie własnego komputera to osobny problem. Ale ja w życiu nie odważyłbym się wejść do jakiejś kawiarenki i zalogować się na swoje konto firmowe używając komputera na którym diabli wiedzą co działa w tle :/ Call me paranoid :)
dlatego mam thunderbirda…
@przemelek:
Ja postępuję identycznie. Pytania pomocnicze to idiotyczny pomysł – niestety sporo serwisów je stosuje.
To nic innego jak dodatkowy zestaw login + hasło ale o wiele prostszy niż ten podstawowy ponieważ tu login zawiera zwykle podpowiedź do hasła.
Konieczny nie tak dawno pisał o zabezpieczaniu GMaila i bezpiecznej korespondencji:
http://blog.konieczny.be/2009/06/23/szyfrowanie-poczty-w-gmail-u-za-pomoca-pgp-gpg/
@przemelek
Niepotrzebnie się zniechęciłeś.
Piszesz, że Twoja dziewczyna zresetowała hasło do poczty, bo znała Twoją datę urodzenia (swoją drogą to ewidentny przykład jak NIE POWINNO wyglądać pytanie pomocnicze). Ale gdybyś podczas konfigurowania tych opcji podał swoją datę urodzenia pisaną wspak, to czy ona lub ktokolwiek inny zresetowałby hasło? Prawdopodobieństwo jest niewielkie – pewnie równe temu, co złamanie głównego hasła.
Nawet na tak banalne pytanie, jak ulubiony kolor można odpowiedzieć tak, żeby nikt nie zgadł. jaki jest Twój ulubiony kolor? A jak się go pisze, np. po estońsku? Nie musisz tego pamiętać, ale będąc online jesteś wstanie z łatwością odtworzyć tą informację.
Przykłady można ciągnąć w nieskończoność – kwestia kreatywności.
@ADIHC1
Mój przykład pokazuj, że takie pytania są łatwe dla kogoś zdeterminowanego i de facto nie stanowią zabezpieczenia. To co Ty proponujesz to jakaś poprawa, ale nadal Twoje konto jest chronione słabiej niż powinno być. Dokładniej jest chronione tak jak najsłabsze “ogniwo” ochrony.
Jeżeli już muszą być pytania pomocnicze to powinno ich być kilka i powinny być losowane 3 lub 4. Choć nadal jest to jednak dziura w bezpieczeństwie.
Wszystkie maile najlepiej mieć na HDD. Obudowa zamknięta na klucz, PC waży 30KG (no, 25) i to tyle, jeżeli idzie o bezpieczeństwo w moim przypadku ;)
@ADIHC1:
Uwierzytelnianie hasłem polega na udzieleniu odpowiedzi na pytanie podstawowe, które brzmi: “Jakie jest hasło?”.
Aby bezpieczeństwo pozostało na niezmienionym poziomie pytanie pomocnicze powinno być podobne: “Jakie jest drugie hasło?” (pamiętaj, że atakujący może sobie wybrać, na które pytanie chce odpowiadać).
Tylko po co mieć 2 hasła? Jaka jest szansa, że zapominając pierwsze będziesz jednak pamiętał drugie?
Inną sprawą pozostaje bezpieczeństwo tego drugiego hasła. Obawiam się, że w 95% przypadków odpowiedzi na pytania pomocnicze są przechowywane w postaci jawnego tekstu.
Co do cudowania z pisaniem wspak i kolorem po estońsku – hasła na dziś: atak słownikowy, wielkość przestrzeni hasła.
ano nie ma co narzekać na gmail, ale, że wszyscy się nim zachwycają to akurat przykład tego webmaila podałem;)
owszem, pop3 i smtp do bezpiecznych też nie należą, można korzystać jak tylko się da z bezpiecznych połączeń, szyfrować maile itp.
jeszcze sprawa lapka/pendrive – zgadzam się, że można ukraść, zgubić itp ale to jest takie samo extremum jak poczta przez www. ja akurat miałem na myśli standardowy, duży PC dobrze zabezpieczony w domku:)
pozdrawiam