Безопасная авторизация для Mail ящика. - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 18.05.2017, 11:11   #1
Студент
 
Регистрация: 31.03.2011
Сообщений: 46
Репутация: -1701

По умолчанию Безопасная авторизация для Mail ящика.

Обнаружил тут, что практически никто не предоставляет безопасную авторизацию (не путать с безопасным соединением). Mail.ru не предоставляет. Вот к mail-серверам Peterhost можно авторизоваться безопасно по методу MD5-CRAM-HMAC в TheBat. Что за хрень такая? Ведь если не безопасно авторизовываться, то логины/пароли в открытую летят по интернету? Недобросовестные служители интернета, вполне этими паролями могут воспользоваться для взломов ящиков.
POP44 вне форума   Ответить с цитированием

Реклама
Старый 18.05.2017, 11:51   #2
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 13,677
Репутация: 1278716

По умолчанию Re: Безопасная авторизация для Mail ящика.

Цитата:
Сообщение от POP44 Посмотреть сообщение
Ведь если не безопасно авторизовываться, то логины/пароли в открытую летят по интернету?
Каким образом и почему ещё не разлетелись, те которые не сбручены?
Цитата:
Сообщение от POP44 Посмотреть сообщение
что практически никто не предоставляет безопасную авторизацию
Даже двойную предоставляют, не говоря уже по IP.
Хотя СМС - это ненадёжно и дыра.

Цитата:
Сообщение от POP44 Посмотреть сообщение
по методу MD5-CRAM-HMAC
Это не авторизация, а аутентификация.
__________________
ŏ Секта сёрчеогородников
Топик помощи по Вордпрессу и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 50$ ***
SeVlad вне форума   Ответить с цитированием
Старый 18.05.2017, 12:21   #3
POP44
Студент
 
Регистрация: 31.03.2011
Сообщений: 46
Репутация: -1701

ТопикСтартер Re: Безопасная авторизация для Mail ящика.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Каким образом и почему ещё не разлетелись, те которые не сбручены?
А почему вы так в этом уверены? У людей взламывают ящики только в путь, и никто достоверно не знает как это делается. А люди просто меняют пароли и заводят новые ящики.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Это не авторизация, а аутентификация.
Пусть так, о ней и речь.

Странно, что крупные сервисы типа Mail.ru позволяют гулять паролям по сети в открытом виде. В Справке к TheBat написано, что у MSN/Hotmail, Compuserve свои авторские методы аутентификации, и TheBat их поддерживает. Но хотя бы стандартные поддерживали.
POP44 вне форума   Ответить с цитированием
Старый 18.05.2017, 12:38   #4
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 13,677
Репутация: 1278716

По умолчанию Re: Безопасная авторизация для Mail ящика.

Цитата:
Сообщение от POP44 Посмотреть сообщение
А почему вы так в этом уверены? У
Ну хотя бы потому, что за я на том же маилру зарегал первый ящик когда им было пару месяцев. И до сих пор никто у меня его не увёл и не слил. Само мыло -да, спама там.. но не доступы. На всяких других сервисах аналогично. Единственный раз и это было буквально в прошлом году я зарегал на гугле пару мыл, но задал им не особо сложные пароли (думал поменять после) и они улетели буквально через 10 мин. Но тут сложно сказать как - регал я их через эмулятор андроида.
Пароли уводятся либо брутом, либо локальными вирями, либо соц инженирией. Перехватить его и прочитать.. я хотел написать "нереально", но .. с введением повальной httpsации и у юных кулцхакеров появляются инструменты подмены сертификатов недалёким юзерам. Теоретически они могут что-то расшифровать, но это нафик не нужно, тк попав в канал есть более простые способы доступа к данным жертвы (почте в данном случае).

Цитата:
Сообщение от POP44 Посмотреть сообщение
Пусть так, о ней и речь.
Это разные вещи
Цитата:
Сообщение от POP44 Посмотреть сообщение
Странно, что крупные сервисы типа Mail.ru позволяют гулять паролям по сети в открытом виде.
Где кто как гуляет? Что ты несёшь..
Пароли передаются шифровано по SSL. Никому, кроме получателя и отправителя они не доступны.
SeVlad вне форума   Ответить с цитированием
Старый 18.05.2017, 13:21   #5
POP44
Студент
 
Регистрация: 31.03.2011
Сообщений: 46
Репутация: -1701

ТопикСтартер Re: Безопасная авторизация для Mail ящика.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Ну хотя бы потому, что за я на том же маилру зарегал первый ящик когда им было пару месяцев. И до сих пор никто у меня его не увёл и не слил.
Значит админы Mail.ru чистоплотные или контроль за ними соответствующий, и наказание за использование служебной информации. Но это не отменяет самого факта. Вам напомнить о нечистоплотных админах, которые слили приватный ключ для WinRAR c сервера? После чего стало возможным генерить легальные ключи в любом количестве. То-та.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Где кто как гуляет? Что ты несёшь..
Пароли передаются шифровано по SSL. Никому, кроме получателя и отправителя они не доступны.
Соединение по SSL и аутентификация по MD5-xxx - разные вещи. Сначала идет аутентификация с сервером, передается логин и пароль в открытом виде, потом устанавливается защищенное соединение по SSL и данные передаются зашифрованными.

Вот выдержка из справки TheBat (речь про POP3):

Цитата:
Если ваш сервер поддерживает безопасную аутентификацию на стадии подключения, воспользуйтесь одноименной кнопкой для настройки ее параметров:

Обычная - этот параметр означает, что пароль передается от клиента к серверу в открытом виде.
MSN (NTML) - выберите этот параметр, если вы получаете почту с MSN/Hotmail ящиков.
Compuserve (RPA) - метод авторизации используемый в сети Compuserve.
MD5 APOP Запрос/Подтверждение (RFC-1734) - выберите это параметр для использования APOP аутентификации.
MD5 CRAM-HMAC Запрос/Подтверждение (RFC-2095) - выберите этот параметр, если поддерживается CRAM аутентификация.
Сервера Peterhost поддерживают последнюю из списка аутентификацию, и я ей пользуюсь, а Mail.ru только первую - незащищенную.

Вопросы?
POP44 вне форума   Ответить с цитированием
Старый 18.05.2017, 17:49   #6
FoRzone
Дипломник
 
Аватар для FoRzone
 
Регистрация: 09.01.2010
Сообщений: 73
Репутация: 25314

По умолчанию Re: Безопасная авторизация для Mail ящика.

Бред каккой то ТС, собрали с кучу обрывки поверхностных знаний и выдали теорию всемирного заговора) А после:
Цитата:
Сообщение от SeVlad Посмотреть сообщение
... в прошлом году я зарегал на гугле пару мыл, но задал им не особо сложные пароли (думал поменять после)
Религиозные верования сразу не позволяют хорошо сделать, обязательно сначала создать рудости, чтобы потом было с чем бороться ;-)
Цитата:
Сообщение от SeVlad Посмотреть сообщение
... и они улетели буквально через 10 мин. ..
Ага, точно гугель Вас продал
Систему то почистите, а скоро и оперативку по эзернету утянут...
FoRzone вне форума   Ответить с цитированием
Старый 18.05.2017, 18:34   #7
Оптимизайка
Академик
 
Аватар для Оптимизайка
 
Регистрация: 11.03.2012
Адрес: 127.0.0.1
Сообщений: 2,714
Репутация: 431678

По умолчанию Re: Безопасная авторизация для Mail ящика.

Цитата:
Сообщение от POP44 Посмотреть сообщение
безопасно по методу MD5-CRAM-HMAC
MD5? Безопасно?

Цитата:
логины/пароли в открытую летят по интернету
STARTTLS же.
Оптимизайка вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 19.05.2017, 17:43   #8
POP44
Студент
 
Регистрация: 31.03.2011
Сообщений: 46
Репутация: -1701

ТопикСтартер Re: Безопасная авторизация для Mail ящика.

В общем, я спросил у саппорта TheBat, они ответили, что в случае безопасного соединения TLS, пароль также передается зашифрованным в независимости от выбранной опции в окне Аутентификация.

Я буду теперь спать спокойно
POP44 вне форума   Ответить с цитированием
Старый 20.05.2017, 23:34   #9
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 13,677
Репутация: 1278716

По умолчанию Re: Безопасная авторизация для Mail ящика.

Цитата:
Сообщение от POP44 Посмотреть сообщение
Вам напомнить о нечистоплотных админах
твиттер, тот вообще взмывали.

Цитата:
Сообщение от FoRzone Посмотреть сообщение
Бред каккой то ТС, собрали с кучу обрывки поверхностных знаний и выдали теорию всемирного заговора) А после:
И не говори.. Намешал всё и всех в кучу, выдал обрывки собственных фантазий, а потом
Цитата:
Сообщение от FoRzone Посмотреть сообщение
Систему то почистите


Если трудно понимается кто о чем говорит-спрашивает, то развидь что ли мои слова про эмулятор и сроки использования МНОЙ п/я разных сервисов. Получиться подумать и сделать правильные выводы, а? (Ну если что не понято - ты спроси, я расскажу)


Цитата:
Сообщение от POP44 Посмотреть сообщение
Я буду теперь спать спокойно
Полное спокойствие может дать человеку только страховой полис (с)Остап Бендер
SeVlad вне форума   Ответить с цитированием
Старый 23.05.2017, 18:45   #10
ErrorNeo
Аспирант
 
Аватар для ErrorNeo
 
Регистрация: 25.09.2013
Сообщений: 197
Репутация: 10957
Отправить сообщение для ErrorNeo с помощью ICQ

По умолчанию Re: Безопасная авторизация для Mail ящика.

какая разнца какая там аутентификация, если и майл и яндекс яшики ломаются под заказ со 99% гарантией?

По поводу брута - сейчас вроде майл ру не брутится особо, раньше у некоторых товарищей были от 700к до полутора ляма аккаунтов. Но кому они сейчас, эти акканты, вообще нужны - не понятно.
Там даже регистрировать аккаунты и подтвреждать их по смс можно было фейково. Их система безопасности - дырка от бублика.

Авторизовываться можно безо всяких md5 - если у вас на компе логируется трафик, то уж наверняка и кейлогер стоит. Провайдеру ваши пароли нафик не упали, так же как и СОРМ-у. Эти вас и без паролей возьмут)
md5 - шанс подбора в типичной БД слитой с типичного сайта - до 70% у профессионала. Ничиная от 30% у новичка.

Рецепт один - если нужна иллюзия безопасности - юзать gmail. Там простенькие пароли конечно сбручивают, но хотя бы "взлом с гарантией" по гуглу не работает.

По поводу привязки к телефону - вообще-то вполне надежная штука. От спецслужб не защищает, но от хкеров с ограниченным бюджетом вполне. При условии, что когда сменят привязанный телефон на ваш упадет смс.
Не у каждого хкера есть бабло зарегистрировать сотового оператора на багамах или друзья-техники у какого-нибудь сотового оператора, чтобы подрубиться. Да и технологию кроме профессионалов технарей мало кто знает.
Такое уже не ради дешевой переписки рядового гражданина делают, и далеко не рядовые хкеры. Перехват смс это дорого

Последний раз редактировалось ErrorNeo; 23.05.2017 в 19:11..
ErrorNeo вне форума   Ответить с цитированием
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 19:42. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны