Как не париться по поводу взлома Gmail

[dolboed]

Поскольку за публикациями про «взлом Яндекса и Mail.Ru» предсказуемо последовали сообщения об угрозе пользователям Gmail, самое время потратить пару минут на защиту своих аккаунтов в этой системе от несанкционированного доступа.

Тут вообще не нужно запариваться вопросом, скомпрометирован Ваш аккаунт, или нет.
На выяснение ответа можно потратить целую жизнь.
А обезопаситься от последствий утечки пароля — минутное дело.

Есть несколько страниц в настройках гугловского аккаунта, которые следует посетить.
Вот общая страница настроек безопасности, отправная точка для наших упражнений.

В одном из разделов можно, в частности, посмотреть, когда, с каких устройств/программ, и из какого географического места осуществлялись заходы в Ваш аккаунт.
Для душевного спокойствия имеет смысл отрубить все эти сеансы доступа перед тем, как менять пароль. Как правило, все сеансы в этом списке будут Ваши, но проще перебдеть.

В другом разделе находится управление оповещениями по СМС. Проследите, чтобы номер мобильника, который там указан, был не только активным, но и принадлежал бы Вам по контракту с оператором. В противном случае при утере или неисправности СИМ-карты Вам не дадут её поменять на новую. Упс.

Наконец, механизм двухступенчатой авторизации с подтверждением входа в аккаунт по СМС настраивается здесь. Это такая же защита, которая используется для доступа к счетам в системах электронного банкинга. Она становится бесполезной, если у Вас украли тот телефон, который зарегистрирован в системе. Но в этом случае Вы просто блокируете СИМ-карту одним звонком оператору (или через веб-интерфейс). И никакой злоумышленник дальше уже не может получить по этому номеру код.

Конечно, параноики и радетели анальной security мне на это скажут, что СМС можно перехватывать, особенно если за несанкционированным доступом к Вашим данным стоит Государство, опираясь на мощь своих спецслужб. Но я в данном случае обсуждаю не случай Алексея Навального и не сценарий «Крепкого орешка-4», а ситуацию рядового пользователя, который с утра прочёл в газете, что несколько миллионов паролей от его веб-сервиса утекло в Сеть. И начинает париться по поводу того, что теперь любое чмо, скачав базу, сможет рыться в его личной переписке.

Чтобы об этом не париться, двух указанных мною мер предосторожности (отрубить пользовательские сессии, подключить авторизацию по СМС) вполне достаточно. Можно даже пароль не менять, потому что он сам по себе не даёт доступа в систему, защищённую двойной авторизацией. Но, разумеется, если Вы будете читать FAQ любой веб-почты, или слушать специалистов по компьютерной безопасности, то с высокой степенью вероятности они Вас всё же уговорят менять его регулярно, от греха.

Comments

[hall-boy.livejournal.com]

простой генератор паролей с избытком

[georgiy lesnoy (from livejournal.com)]

Вы забываете о такой нехитрой возможности, как получение сим-карты по доверености (если она оформлена на юр. лицо) или по паспорту если она оформлена на физика....
Вуаля, телефон ваш не крали, а вот сим карта ваша не активна.
Сотрудники салонов - а дубликаты выдаются в любом салоне связи, не утруждают себя серьезной проверкой подлиности документа.

[oleg-kozyrev.livejournal.com]

все дают советы, как защитить почту, если не прослушивают телефон и, блин, нет ни одного нормального совета, что делать нам - тем, кого периодически или постоянно прослушивают

[padonok iz nerezinovoy (from livejournal.com)]

что делать нам - тем, кого периодически или постоянно прослушивают
Рекомендую шапочку из фольги

[1master.livejournal.com]

Еще один вполне рабочий и полезный способ это генерилка одноразовых кодов известная как Google Authenticator (на Win Phone: Microsoft Authenticator). Главное: не забыть распечатать бумажки с кодами восстановления.

[yevgeniya slozka (from livejournal.com)]

и положить на видном месте, чтобы все, кому надо могли взять

[vlad-dovlatov.livejournal.com]

Доктор Носик плохого не посоветует! ;-)

[alexey-tich.livejournal.com]

Антон, думаю интереная вам тема для поста будет.
Прямо на ВВП пулково припаркованно много бизнес джетов. И что самое интересное это отражено на спутниковых снимках гуглмапс

https://www.google.ru/maps/@59.798501,30.2358534,934m/data=!3m1!1e3?hl=ru

[iskam konstantin (from livejournal.com)]

про симку, оформленную не на ваш паспорт:
в билайне недавно так попал. оказывается, если вежливо спросить - выход есть. Называется что - то вроде подтверждение реального пользователя.
Выдаётся анкета, там вопросы, вроде "Когда и сколько вы вносили на счёт последний раз?", "Перечислите номера, с которыми больше всего общаетесь?", ну, в общем, штук шесть именно про вашу статистику использования симки.
Заполнил, отдал девушке, она минут пять стучала в клавиатуру, потом сказала, мол, поздравлямц, мы ваше родство с симкартой официально признаём.

Как то так

[dolboeb.livejournal.com]

Круто, спасибо, не знал.

[geomur.livejournal.com]

А если я захожу в Gmail с рабочего компа и вообще пользуюсь хромом, который все время висит авторизованный в гугл-аккаунте, значит ли это что доступ к мой почте могут получить администраторы корпоративной сетки?

[dolboeb.livejournal.com]

если они в принципе могут заходить в Ваш служебный аккаунт, а Хром там внутри залогинен, то да, разумеется, компьютер же не знает, кто за ним сидит.

но Вам же никто не запрещает тот Хром разлогинивать в конце рабочего дня, и запретить ему хранить пароли.

[maximnsk54t.livejournal.com]

кстати пожалуйста объясните зачем заводить именно Gmail ???
в чем фишка..где он лучше..
пы.сы. тем более почту и без хозяина есть кому на Gmail почитать...

[dolboeb.livejournal.com]

Именно Gmail я использую около 10 лет, как общую часть (@gmail.com), так и на собственных доменах, и доволен его сервисами.

Для меня это достаточная и уважительная причина использовать его дальше.
Разумеется, аккаунты во всех других крупнейших почтовых системах у меня тоже есть, в силу профессиональной привычки следить за прогрессом.

Но Gmail впереди прогресса на два корпуса, по всему функционалу.

[lockthemoriarty.livejournal.com]

спасибо интерзету за это

[vadimkle.livejournal.com]

поставьте DNS 8.8.8.8

[petro777.livejournal.com]

Ещё такая штука, которую обычно в мейл-сервисах пользователи игнорируют:
Восстановление пароля.

Ни в коем случае нельзя, чтобы пароль восстанавливался по реальной девичьей фамилии матери, реальному городу рождения и т.п.
В поле для восстановления лучше записать ещё один бессмысленный набор символов и сохранить его на бумажке в надёжном месте (не в том, где основной пароль лежит).

[dolboeb.livejournal.com]

восстановление пароля не будет работать до тех пор, покуда ты его не заказал.

[ekk.livejournal.com]

http://habrahabr.ru/post/236283/
Такие дела :)

[osmaf995.livejournal.com]

Я СЕГОДНЯ ПРЕБЫВАЮ В ШОКОВОМ СОСТОЯНИИ! ВОЗМУЩЕНИЮ МОЕМУ НЕТ ПРЕДЕЛА! НАШЕЛ САЙТ, НА КОТОРОМ ВСЯ ИНФОРМАЦИЯ О ПАСПОРТНЫХ ДАННЫХ КАЖДОГО ЧЕЛОВЕКА ВИСИТ В ОТКРЫТОМ ДОСТУПЕ! МНЕ НУЖНО ХОТЬ КАКОЕ-ТО ПРОЯСНЕНИЕ ТОГО, ГДЕ БЕРУТ ЭТУ ИНФОРМАЦИЮ, КТО БЕРЕТ, КТО ВЫКЛАДЫВАЕТ ЕЁ В СЕТЬ И КАК МНЕ ТЕПЕРЬ ЕЁ УБРАТЬ? ВЕДЬ С ЭТОЙ ИНФОЙ НА КАЖДОГО ИЗ НАС МОЖНО ПОВЕСИТЬ ЛЮБОЙ КРЕДИТ! ВСЕ ОЧЕНЬ ИНТЕРЕСНЫЕ ПОДРОБНОСТИ ТУТ... (http://ljrate.ru/out.php?ljru=http%3A%2F%2Fljusers.com%2Fid65744)

---

[engovat2.livejournal.com]

Уже известен случай сговора мошенников с представителями сотовых операторов, в результате которого мошенники получали поддельную симку. И с помощью неё, и украденных логина и пароля, со счета интернет-банкинга были украдены деньги.

[wwwi.livejournal.com]

Только я знаю 2 таких случая,в обеих случаях замешан Билайн.

[kvas777.livejournal.com]

По барабану - ройтесь сколько влезет.

[Марат Нугаев (from livejournal.com)]

а риск потерять нужные контакты и данные из переписки?

[vadim isheev (from livejournal.com)]

Это не поможет - реальные данные легко отслеживаются через IP адреса и прочее.
Поэтому в придачу надо пользоваться левыми SIM картами и анонимайзерами.

[artfire.livejournal.com]

полно историй как в обход проверки паспорта меняли симку на номер и уводили деньги меняли пароли и т.п.

[id-yktru.livejournal.com]

Ха-ха!
А вот и ответ наших на дискредитацию почты яндекса и мыла - выложили аккаунты Гмейла. :)

[paukoph.livejournal.com]

Есть А.Б.Носика пароль?

[nighjtoic.livejournal.com]

хакеры во всю стараются, проверила свои почты, вроде все ок

[paukoph.livejournal.com]

Уахаха
Кому нужны ваши котики

[fstrange.livejournal.com]

Так что со взломами все ясно, скоро нас от них защитят! Спасибо Путину!

[pr-woland.livejournal.com]

А вот кстати нужны. Если подобный умелец попадется, а они иногда попадаются, и ему за эти художества будет светить 20-30 лет тюрьмы, то он сильно подумает.

[koshka-zima.livejournal.com]

Йа еще с дубу не рухнула, свои мобильные номера гуглам и тындексам раздавать...

[max-tulip.livejournal.com]

Хе-хе, и код от сейфа где деньги лежат
не забудьте АНБ через гугол-мугол слить)

Антон, вы топорно работаете.

[dmitrydv.livejournal.com]

Во-во, адрес прописки свой и родственников сообщите тоже. Не то, чтобы я кому-то был нужен, но нафига???

[sillix.livejournal.com]

Google has you, miserable user! A-ha-ha-ha!

[ge6pu.livejournal.com]

Мое мнение - капитализация гуглов и майлов зависит от количества пользователей. И, в связи с тем, что существует большое количество "мертвых аккаунтов", последовал вброс про взлом, чтобы заставить живых обозначить себя и чтобы было инфоприкрытие удаления мертвых акков. Сотовые операторы тоже были озабочены в свое время той же проблемой.

[dmitrydv.livejournal.com]

Можно подумать, они не знают мёртвые аккаунты. Кто сегодня мешает удалить все ящики, не использовавшиеся год и более?

[pavelvasilyev.livejournal.com]

только долбо.бы светят телефон в почте

[twinsi4.livejournal.com]

Ну ну, у меня есть пара не зарегистрированных симок, на которых мало денег, но используются для получения смс подтверждений. А вот с банковскими карточками сложней.

[naigoro.livejournal.com]

СМС-авторизацию никогда не настраивал, ибо это легчайший способ попасть в идиотское положение. Сообщения уж очень часто не доходят, а с банками это вообще абсурд, особенно с теми, кто не дает альтернативы в виде хотя бы кардридера. Хотя с апплетом я вовсе горя не знал. Не приму никогда зависимость одного канала связи от другого, тем более что сотовики все отвратительнее себя ведут по отношению к клиенту. Через госграницу мобильная связь работает в режиме "скажи спасибо, что вообще в сети". Как на нее кто-то полагается, не представляю. Но самое абсурдное - когда мне выкручивают руки на предмет подшивания номера мобильника к авторизации. Я их теряю две штуки за три года, и, конечно, не потопаю восстанавливать номер - мне проще емейлом разослать по контактам новый номер.

[chek.livejournal.com]

Решение этой проблемы появилось раньше самой проблемы. Действует для любого почтового сервиса с любой авторизацией. Странно, что в коментах никто не предложил.
ИСПОЛЬЗУЙТЕ ПОЧТОВЫЕ КЛИЕНТЫ.
Windows Mail, Mozilla Thunderbird, The Bat, вот это все. Когда злоумышленники получат доступ к аккаунту, они не получат доступ к почте, вот и все. Разумеется галочка "удалять загруженную почту с сервера" должна стоять.

[drprog.livejournal.com]

И юзать почту на одном устройстве, предположительно стационарном ПК. Неудобно и вообще прошлый век, если, конечно, не сидеть прикованным дома.

[denchis.livejournal.com]

а как же старый добрый способ : Ломом в голову и отобрать ноутбук с данными ;)

На самом деле все очень просто, если придерживаться стандартных мер безопасности и т.п. - то утечка пароля совсем единичный случай.
А поскольку много всего, что порой привлекает внимание и является вирусом, баннером или просто каким то исполняющим сценарием java, который может перехватить ту или иную сессию, то лучше использовать то, что Антон выше указал, проверено работает!