Information Security
Comments 92
-25
Хорошее начинание. Понятно что в чём-то даже такой способ будет не удобный, придётся привыкать, но я рад что Mail.ru двигается в сторону ухода от паролей.
+10
Только если сейчас можно зарегистрироваться без телефона, т.е. аноним полный, то потом у вас это не получится в принципе.
0
Apple вводит новую услугу — анонимный почтовый ящик для регистраций. Может быть мобильные операторы придумают что-то похожее. Какой-нибудь 20-тизначный номер телефона, никак внешне не связанный с оригинальным номером телефона. Конечно если прячетесь от ФСБ, это не поможет, но в случае продажи или утечки базы данных сайта было бы удобней текущего варианта.
0
Да причем тут фсб, я не хочу лишний раз показывать свой номер телефона всяким спам сервисам. Плюс он уже может быть привязан к другому аккаунту этой почты.
0
Если цель — создать анонимный ящик, есть более надёжные способы, чем регистрация на Mail.ru.
+15
Хорошее начинание

Mail.ru заменит пароли на одноразовые коды по SMS. Это поможет

сливать более полный комплект информации о пользователе — теперь и с подтверждённым номером мобильного телефона!
+2
Какие обидчивые мылорушники нынче пошли, уже и в неназываемое наплевали.
В чём я не прав? В том, что чем больше информации у мэйл.ру соберётся, тем больше её и будет слито?
-1
Спасибо всем что слили карму за моё личное субъективное мнение. Так держать. Поясню для минусующих:

Открытие пароля (даже если хеша) — это прямая угроза безопасности, так как один пароль люди часто используют на нескольких сайтах.

В сравнении с этим привязка телефона — гораздо меньшее зло, напрямую не компрометирует учётки на других сайтах, а только допускает возможность спама и слежки.
0
Много вы видели проектов, где соль хранится отдельно от хеша пароля? Вот правда, сколько? Из общей массы проектов.
0
Вроде все уже отказываются от смс, и переход на push-нотификацию как раз в этом тренде, а такие уведомления перехватить сложнее, или я опять чего-то не знаю?

Сразу поясню, не «никак», а «сложнее» =) А серебряной пули вроде пока не изобрели, те же пароли или слишком простые, или где-то записаны.
0
пароли или слишком простые, или где-то записаны.
correct horse battery staple
image
P.S. Последний раз я эту картинку видел с год назад. Сейчас решил для эксперимента вспомнить пароль — и вспомнил секунд за 15.
0
Поголовная смсизация систем авторизации превращает потерю телефона в катастрофу личного масштаба.

Ну и вдогонку ситуация из жизни: как-то так случилось, что я потерял паспорт, а на следующий день в телефоне умерла симка. Паспорт делают несколько недель (находился не в родном городе), симку без паспорта перевыпустить невозможно. Вот весело бы было, если бы у меня на мыле была авторизация только через смс.
+1
>> так как один пароль люди часто используют на нескольких сайтах

То есть если кто-то, кому не важны его данные, действует не самым безопасным образом, то значит абсолютно всех надо нагибать на слив всех персональных данных? Браво! Вам за подобную «рекламу» не только карму слить надо…
0
Ёж — птица гордая… =), домохозяйки так и продолжат использовать один пароль везде. Уж лучше их насильно перевести на push-нотификацию, чем ежедневно принимать жалобы о взломах.

И я не думаю что push-нотификация сильно сливает персональные данные, это уже сильно зависит от используемого приложения: если оно и ранее перехватывало гео-позицию, тут ничего не меняется.
+4
Хорошее начинание


Есть сомнения в безопасности телефонов, особенно в РФ (где основная аудитория mail.ru) в связи с популярностью noname китайских смартфонов c троянами

Лучше давать пользователям выбор. Кто хочет безопасности, тому второй фактор. И предоставить выбор этого второго фактора, например, я бы предпочла(правда я не пользователь mail.ru) FreeOTP пушам/SMS.
+12
Ну вот, теперь они хотят обязать всех сдавать им свои телефоны.

Придётся уходить на альтернативные сервисы.
0
К сожалению, можно сказать, что наши номера в открытом доступе с момента получения симки.
+7

Будто это единственная причина почему стоит отказаться от использования продуктов Мейла.

+1

А в чем проблема с их почтой? Нет, честно, не понимаю. Лет 15 пользовался, ни единой проблемы не было ни на одном ящике.


Забросил потому, что ящики эти просто стали не нужны, хватает одного.

+18
Это поможет защититься от слива БД с пользователями

«Защита от незаконных врезок в трубопровод путем прокачки через него сточных вод» (с) Mail.ru
+1
Очень напоминает сегодняшнюю ситуацию с тем, что у одного оператора связи проблемы с доставкой смс из банков и бухгалтерия полдня сидит без банков, поскольку «все на телефон завязано». Т.е. без телефона они вообще ничего не могут, даже просто зайти.
0
Логично, но думать об этом должен айтишник когда уже не работает, а не бухгалтерия которая это все подключала когда еще работало. Я у них тоже спросил, может, говорю, уведомления какие есть или аварийные коды? "Ничегонезнаемничегонивидели" вот и весь ответ.
+9

Учитывая, что в России ваши СМС может читать любой хрен через СОРМ не спрашивая разрешения оператора, шикарная идея.
Телеграм, помнится, как-раз обжегшись на авторизации по СМС, ввёл пароли.

+5

Да и даже без СОРМ — атака от мошенников, получающих новую сим-карту вместо вас (уже распространенный вариант) и теперь они будут сразу иметь доступ не только к телефону, но и почте. А для кучи сервисов это уже позволяет сменить пароль.

0
Вот мне когда из бухгалтерии сказали что смс не приходят, я сразу же полетел проверять не заменяли ли сим карту и только потом, когда перебрал все мошеннические варианты, стал смотреть в сторону того, что, может быть, банально проблема у оператора.
0
СОРМ даёт доступ ко всем вашим данным на мэйл.ру, в том числе к тем, которые вы считаете удалёнными. Есть такой «пакет Яровой», вот там всех на это нагнули. Поэтому СМС или пароль здесь уже ничем и никому из пользователей СОРМа не помешает.
+2
Это все очень здорово, но я часто провожу время в таком населенном пункте, где из ОПСОСов — только Билайн. Причем, я — не пользователь данного оператора. И как тогда мне быть? При этом, там есть инет (оптика). Значит, котиков на ютубе я могу посмотреть, а почту проверить — мне сервер покажет комбинацию из трех пальцев?
+1
Это точно не утка? Звучит слишком бредово.

Это логичное решение, если учесть прошлые утечки баз данных с пользователями Mail.ru.

Нет базы — нечему утекать! Стандартный 2FA в качестве защиты от утечек и принудительное требование смены пароля при намеке на утечку — более чем достаточно.

Доступ по протоколу POP3 тоже не изменился.

Вот кстати да, что будет с POP/IMAP/SMTP? Зарежут и оставят доступ только через фирменное приложение/webui?

Ну и для всех параноиков, которые считают что mail будет сливать временные пароли спец. службам — успокойтесь, у них и так есть доступ к вашем письмам и они могут их сливать хоть сейчас.
0
Сейчас слив анонимный (относительно), а будет гарантированно привязанный к конкретному паспорту — конкретно к вашему.
+2
Печальная новость.
Теперь читать почту близких людей будет проще.
Взял телефон спящего супруга/супруги, зашёл в почту. Если телефон заблокирован и не показывает коды в первых строчках уведомлений на главном экране — переставил симку и получил ещё один код для входа.
С кражей паролей бороться было проще: сменил пароль на новый и уникальный, сохранил туда, откуда не утащат, и больше не паришься до следующего слива. С кражей телефонов бороться будет значительно сложнее.
+1
Как правило, сим-карты в последние года выдаются с пин-кодами 0000 или 1234, выключенными по умолчанию. Большинство пользователей не стремится их включать, поскольку это затягивает процесс включения телефона, но при этом нечасто (пока ещё) даёт эффективную защиту.
В целом, пин-коды — штука легко подбираемая соц. инженерией в бытовых, семейных условиях. Что-то вроде «подглядеть из-за спины», пока партнёр вводит пин-код в перезагруженном злоумышленником телефоне. Графические ключи такую атаку делают более сложной. Но их в сим-карты, к сожалению, не завезли.

Имхо, использовать только смс без пароля — в целом опаснее, чем внедрять пароль без смс, поскольку взломы почт нужны не только незнакомым злоумышленникам, но и знакомым: ревнивым женам/мужьям или завистливым коллегам.
0
Графический ключ тоже легко подсматривается через плечо. Или по жировому следу под лампой.
Уязвимость графического пароля

Кстати, на днях заметил на Protonmail, что они сделали возможность авторизации только по одному паролю. Видимо слишком неудобно было для многих пользователей вводить два пароля, с этим ещё и проблемы у запоминалок паролей.
0
Легко, соглашусь. Однако, пин-код подсматривается, как мне кажется, проще: пользователь совершает отрывистые нажатия на «клавиши» с чётко определёнными границами, имеющими иногда свойство неотключаемо подсвечиваться после нажатия. Для сравнения, жест при вводе графического ключа, если отключить демонстрацию ввода, выглядит как хаотичное движение пальцем по экрану, в котором опасность представляет только анализ жирового следа.
К тому же, ввод пин-кода от сим-карты нельзя заменить сканированием отпечатка пальца, FaceID или иной биотметрией, которую нельзя атаковать через слежку за пользователем.

>Protonmail <...> сделали возможность авторизации только по одному паролю
Да, причём, где-то полгода-год назад, как мне показалось, и это выглядит логичным: если тип второго фактора авторизации совпадает с типом первого, дополнительную безопасность они обеспечат вместе только для слишком замороченных пользователей.
0
>отрывистые нажатия на «клавиши» с чётко определёнными границами
на LegeaneOS есть возможность перемешивать цифры при каждом запросе пароля
0
Теперь читать почту близких людей будет проще.

У меня в семье даже в браузере заведены оба аккаунта на всех компьтерах — можно переключиться на «чужой» аккаунт в два клика. Но зачем? Вам есть что скрывать от близких?
0
У меня тоже, но не нужно всех по себе равнять. У кого-то действительно есть секреты (иногба обоснованно), у кого-то просто иные представления о personal space.
+3
Вам есть что скрывать от близких?

Почему у Вас в ванной/туалете дверь есть — Вы что-то скрывате от близких?

0

Запах. Находиться там вдвоем вполне обычное явление, особенно когда санузел совмещенный.

-1
Почему у Вас в ванной/туалете дверь есть — Вы что-то скрывате от близких?
Запах
Вы это… того… к гастроэнтерологу обращаться не пробовали?

А если запах в ванной — ну что я могу сказать, мыться чаще надо.
0

Один моется, второй срёт? Сорри, не в курсе, как оно бывает, никогда не жил с совмещенным санузлом.

0
ну как бы, если второму приспичило, то ему что, к соседям проситься?
0
Есть, что скрывать.

Примеры:
  • У меня есть доступ с личных компьютеров к сведениям под NDA. Специфика работы по фрилансу над некоторыми проектами.
  • Иногда друзья обращаются ко мне с просьбами или советами и просят не раскрывать полученную информацию никому. Если я обязался не сообщать никому, то «ну уж этому-то человеку можно сказать» недопустимо.

А ещё таким же образом могут получить доступ к почте дети и гости. И хотя у меня пока нет детей, я уверен, что в будущем мне будет, что от них скрывать.

Впрочем, я вижу в этом комментарии перевод темы из «это небезопасно» в «безопасность не нужна».
0
Сервис планирует внедрить новые способы авторизации, в том числе с помощью биометрии (сканирование отпечатков пальцев, определения лица и т.п.) и физических ключей.

То есть захочешь пользоваться сервисами mailru — иди сдавай биометрию? Небось к единой базе МВД, ой, то есть ростелекома подключатся. То есть пользователь должен будет пойти в сбербанк и сдать там биометрию. И только потом его допустят до сервисов mailru. Гениальный маркетинговый ход. :)

ps: из серии «как сделать органам удобно»
+1

Пароль:


  • можно сделать любой желаемой сложности;
  • поменять на новый элементарно;
  • хранится в голове (пока не открыта телепатия)

Биометрия:


  • сложность ограничена тем, что есть (пальцами, радужкой и т.п.);
  • (для отпечатков пальцев) можно поменять не более 9 раз (с трудом — ещё 10, у мужчин — 11);
  • находясь в общественном месте, Вы постоянно светите эту самую биометрию (фото морды лица сделать элементарно; отпечатки остаются на всём, чего Вы касаетесь, копии снимаются элементарным скотчем; уже были сообщения о сканах радужки с 2 метров, и т.п.)

Хм, наверно, биометрия и правда надёжнее… (сарказм)

0
Компания подчёркивает, что одноразовый пароль невозможно подобрать или угадать.

А кто-нибудь может объяснить не слишком подкованному техническими знаниями человеку, почему одноразовый пароль невозможно подобрать? Очень многие присылают комбинации из 4 цифр. Нажать на сайте «выслать одноразовый код», ввести «1111», если не подошёл, нажать «отправить заново», снова пробовать «1111». И так, пока не подойдёт. Или же mail.ru использует сложные одноразовые пароли? Но в таком случае постоянно их вводить вполне может утомить.
0
Код может быть шестизначным, и тогда перебор будет ощутимо дольше.
Поставщик смс может отреагировать на массовую отправку смс (а она, как мы знаем, недавно у некоторых подорожала в шесть раз) и после n-ного сообщения сказать: «слишком много запросов, подождите пять минут».

Но, соглашусь, с «невозможно» они переборщили. Вероятность всё-таки ненулевая, хоть и низкая на уровне погрешности.
0
Берём один «пароль», теперь подбираем к нему пользователя. Да, на конкретного пользователя не работает, а на любого должно сработать.
0
Когда берут пароль «123456» и подбирают пользователя? Конечно были.
+1
Очень плохая тенденция, особенно для тех, кто часто меняет номера. Столько сервисов нужно будет отвязывать.
0

Пытаются найти баланс между удобством и безопасностью. Для кого-то важнее первое, для кого-то второе. Надеюсь, что они оставят оба варианта.

0
Т.е. mail.ru не рассматривает вообще вариантов что у человека может быть больше чем одна почта? например для форумов одна, для игр вторая, для работы третья? Или код будет приходить один единый на все подключенные аккаунты на этот номер телефона?
+2
Так, интересно, их сайт загажен рекламой, поэтому выкачивал почту клиентом. Как теперь быть?
0
Т.е. периодическая автоматическая проверка почты телефоном/сервисом станет невозможной? Или я что-то пропустил?
0
Т.е. теперь для входа в почту нужно еще второе устройство — телефон? «У» — «удобство» новых технологий.
+3

Вход по смс БЕЗ пароля СНИЖАЕТ безопасность.
Насчёт пушей не скажу, но насколько мне известно они контролируются целиком apple/google, что опять же без пароля снижает безопасность.

0
Хм… а как «слив базы» зависит от авторизации по паролю?
У каждого пользователя mail.ru есть доступ ко всей базе пользователей mail.ru?
0
>> а как «слив базы» зависит от авторизации по паролю?

Так же, как слив базы телефонов зависит от авторизации по смс.
0
Никак. Это была реклама акции мэйл ру по сбору телефонов пользователей.
0
Еще раз. Речь не про мейл.ру
Речь про автора статьи, который написал отсебятину про слив базы и что это как-то связано с возможностью заходить по смс. И в оригинальной новости этого тоже нет.
Это не реклама мейл.ру, у них для этого, вроде, есть свой блог. Если на комменты посмотреть, то скорее антиреклама.
Это просто редактор «отработал инфоповод», отработал на от… странь. Странно, что такие статьи попадают в топ.
0
>> Это не реклама мейл.ру

Это реклама их нововведения.

>> Если на комменты посмотреть, то скорее антиреклама

Задумано как реклама, ну а по факту получился сбор мнений, опрос. Но цель — налить в уши много сладковатого дерьма. Прочитайте самый первый комментарий — вот так они хотели. Ну а дальше получилось «не по плану».

>> Странно, что такие статьи попадают в топ.

Ничего странного. Народ научился отличать вкус дерьма даже в весьма скромной концентрации, поэтому комментариев много, а из-за их количества поднялся рейтинг статьи.
0
По сути, в первом комменте данной ветки я про это и намекнул.
Извиняюсь, наверное я не достаточно явно обозначил сарказм.
0
Итак, у половины юзеров, если не больше, текст смсок даже на залоченном телефоне показывается. В винфонах это было только начало сообщения (то есть сколько-то первых символов), но даже это позволяло с помощью залоченного телефона спокойно зайти в управление аккаунтом того же Теле2.
При этом операторы никак не могут победить выдачу дубликатов симок мошенникам, даже ставя запреты в своей системе на выдачу вида: только по оригиналу паспорта и только в таком-то отделении. Читать увлекательные истории взлома года два назад.
Какой СОРМ, какие перехваты СМСок по воздуху. Это всё равно что калитка в заборе в деревне на петельку закрытая, блин.
Ну почему у нас всё так?

+1

Вроде только месяц прошел с той новости как «российские власти пытались взломать аккаунты оппозиционеров перехватывая СМСки»
https://habr.com/news/t/453488/

+1
Что, ради всего святого, заставляет людей в 2019 иметь почту на mail.ru?
0
17 лет не хватило чтоб раскидать логины/контакты по более стабильным почтовикам?)
Некоторые за это время успевают вырастить детей, которые начинают делать уже своих детей.
0
Некоторые за это время успевают вырастить детей, которые начинают делать уже своих детей.

Плавали, знаем.
+1
А смысл? Нормальные сервисы к ней не привязаны. А светить основную почту на всех сайтах тем более смысла нет.
Но данное улучшение ставит крест на использовании сего сервиса вообще, как почты.
0
Многие используют vk и ok которые как-бы тоже mail.ru пренадлежат, если они для почты такое введут, то и туда протащат. Думаю это и есть конечная цель — окончательно деанонимизировать пользователей популярных соц. сетей.
0
Заведено много лет назад. С ящиком работа исключительно с почтой, исключительно из нормального локального клиента, по smtp/pop3.
В этом режиме оно вполне себе нормально работает.
0
А каким образом одноразовые пароли по смс связаны защитой БД пользователей (я так понимаю это мысль автора, учитывая что в цитируемой статье ничего по поводу БД не видел)?
0
Давно пора научиться понимать смысл рекламных сообщений — вам вешают лапшу.
0
Номер телефона я им не дам. Особенно если учесть, что если бы у меня его не было — я что, не смог бы пользоваться их почтой? Что за дискриминация?
Сейчас не 1994 год, почту можно завести много где, в том числе и на своем домене.
Only those users with full accounts are able to leave comments. , please.