Безопасная авторизация для Mail ящика.

прочел и улыбаюсь до ушей))

да, обычный вброс. не ведитесь. ;P

того чего не показывают в сми не существует:D

и в предыдущем посте я забыл добавить - все что якобы "можно" стоит денег.

Паблик кроме как килогерами и фишингом не крадут - цена рандом аккаунта копеечная, адресная атака - дорого.

Именно по этому и нет смысла бояться авторизировываться безо всяких md5\ssl.

Пока вирусняк юзер не поймает, не зайдет на фишинговый сайт или не поставит пароль из топ-1000 самых популярных - никому он не упал.

Ну или еще вариант - слив БД с какого-нибудь сайта, где вы регнулись под своим мылом + паролем от этого мыла. В общем это все примитив. Сложные штуки против рядовых пользователей никто же не юзает - дорого.

А кто начнет антиправительственную деятельность разводить - никакие пароли и шифры уже не спасут :devil:

Я тебя расстрою, но ss7 давно прекрасно ломается. Равно как и симки клонируются.

Ещё лет 10 назад мои товарищи желающим клонировали ИХ симки что бы юзать с разных аппаратов. И торговцев позвонить по дешевому межгороду у нас было как грязи когда были реально анлимные тарифы. Они все на одной клонированной симке сидели.

Почему ещё ЯД не у всех слили? Бюджета у хакеров не хватило?:)

я свою первую симку клонировал лет 10 назад, для удобства, чтобы на 2 телефонах юзать. но без физического доступа этого не сделать

ss7 ломается, и давно. "прекрасно"? Ничего прекрасного, рядовому гражданину без серьезных финансовых вложений или нужных знакомств эту атаку не реализовать.

Почему ещё ЯД не у всех слили - адресная атака на ящик последний раз я помню стоила 3-5 тысяч. Кого заказывали того и ломали. Хотя со всякими идиотами и муаками никто не работал, себье дороже. Брут по яндексу раньше фигово работал, брутить было мало смысла кроме как на самые частые пароли. И это даже когда аккаунтами соц-сетей во всю торговали и спамили всякие смс-сайты. Проще было фишить.

Сейчас и вовсе ненужно оно никому по-моему. Емейл спам умер, аккаунты все привязаны к телефонам, смс сайтов нет. Толку от этих емейлов, кроме как если там компромат какой - зиро.

Почему сами хакеры не всех ломанули? 🍿

Или они только по заказу работают а на себя совесть не позволяет? 🤪

.Чтобы понять - прогуглите любую готовую старую базу логинов паролей и отчекайте. Найдете не меньше тысячи реальных емейлов с паролями, может даже десятки тысяч. В паблике. Позаходите и подумайте, нужны ли они вам.

Ну аккаунты там будут от соцсетей, которые не удастся восстановить из-за привязки к телефону. А хоть даже у удастся, что, смамить будете? Вк после 100 собщений забанит и сообщения откатит. Как и одноклассы и майл ру.

Ну может какие-нибудь ксерокопии документов которые вам нафик не упали.

Аккаунты от какого-нибудль вордл оф танкс. Продавать будете?) Это все копейки. Ничего ценного, такого что стоило бы затрат времени специалиста, который на белой нормальной работе и так может нормально зарабатывать

Сноуден публиковал вроде, что сначала америкосы следили "за всеми". Потом поняли что эти все им нафик не упали, и хранить все телефонные записи + тратить ресурсы на их обработку - бессмысленно. За кем надо за теми и следят, по остальным просто статистику собирают.

Цена информации о рядовом гражданине, даже если это "типа конфиденциальная инфа" - если и не ноль то близко. Собирать её, даже если можешь - не стоит затраченных усилий.

http://lurkmore.to/%D0%9D%D0%B5%D1%83%D0%BB%D0%BE%D0%B2%D0%B8%D0%BC%D1%8B%D0%B9_%D0%94%D0%B6%D0%BE

//

Когда у америкосов ушла топ-секрет дипломатическая переписка, которую опубликовал ассанж и которую тщательно выпиливали из всех интернетов - я себе скачал копию. Ну почитал 1 вечер. Ну топ секрет, и что? Оно даже не стоит времени на то, чтобы её всю читать. Хотя там что-то все-таки было интересное, там где про москву. А так то - куча бесполезной для неспециалиста инфы.

..ИЗВЕСТНЫХ паролей

Ты вот такие страшные слова употребляешь, даже про асанжей со сноудами страшилки постишь, а ведь даже того не понимаешь что эти базы — всё брут. Обычный брут.

А целевые атаки потому и стоят денег что применяются разные методы атаки на юзера — от соц инженении (вирус, фишинг и тп) до снифа трафа на его сетевухе/роутере. И эти атаки в 99,(9)% случаев удаются лишь по одной причине — юзер допустил ошибку. Юзер, а не «известная каждому кулцхакеру» дыра в сервисе являются наибольшей уязвимостью.

Впрочем, иногда бывает, что и твиттеры с итюнасми (или каких там) взламывали, уводили данные юзеров (пароли, ага, в md5 с солью ;) ). Но вот что бы хоть один мыльный сервис — я такого не слыхал. (А если чуть подраскрыть глаза, то можно увидеть «странную» связь между сервисами и девайсами — см напр выше мой пост с упоминанием эмулятора андроида. Смекаешь, на чей стороне дыра?)

Хм.. копейки? Люблю когда постят космические глупости не умея пользоваться гуглояндекасми :)

А я вот не поленился и загулил в яндексе стоимость взлома «с гарантией» (кстати что-то и гугл везде есть) 🍿

И WoT

(это макс сумма что можно выбрать в фильтре на этом сайте. возможно что в реальности и дороже)

Давай теперь рассказывай что то не те цены с гарантией, а акки продаются, но не покупаются (на сайте одного из скирина есть и раздел "куплю")

цены на взлом правильные.

насчет гарантии - писать можно что угодно, но у гугла про "гарантию" не слышал. Хотя может кто-то и умеет, но я бы не поверил. Хотя если с оплатой по факту, то без разницы.

описанные "методы" того как это делается гарантию не дают. те кто на самом деле дает гарантию ломают так, что защитися практически анриал. На то она и гарантия. Там где технических лазеек нет - юзают описанное. Или "вложения" в письма, которые чревато открывать.

цены на отдельные аккаунты танков и прочего есть астрономические. Но если посчитать среднюю сумму, которую удастся выручить со всех игровых аккаунтов с произвольных 10.000 почт - получится фигня в расчете цена\1.ящик. По этому такое целесообразно как раз только для аккаунтов, которые добыты брутом, фишингом итд. Т.е. стоили почти ничего. + украденные аккаунты обычно можно проретривить по телефону или даже без него через суппорт. Продавать придется быстро, и не факт что пройдут "проверку гарантом" в приличном месте.

почему не атакуют адресно - потому что это ручной труд, грубо говоря. либо использование уязвимостей, каждое использование которых имеет шанс "спалить тему" и привести к её починке.

И ни в одной из этих схем ничего не решает наличие https соединения или md5 шифрования пароля. Если уж на компе сниффер, то там и так вся нужная инфа уйдет куда надо. Мой сниффер например вполне себе перехватывает мой же https и читает (+правит если требуется). И даже браузер не ругается, потому что проинсталлирован в качестве доверенного корневой левый сертификат. А если уж до компа добрался злоумышленник и поставил сниффер - поставит и сертификат. В общем это все фигня.

Тут логика проще - если поймал вирус - сам виноват. А если нет то без разницы, md5 https итд.

..

оффтоп - метод который я сам юзаю для защиты от всякой дряни - собственная сборка винды, в который настройки настолько изменены, что работает только софт, написанный "по всем правилам". Все ненужные службы выпилены в дистрибутиве, в результате запуск вируса с 50% шансом вызывает крит. Хотя по настоящему надежная защита, если работаете с баблом - что-нибуль неочевидное в плане ОС. Я например хромбук юзаю. Раньше был редкий андроид-нетбук тошиба со своей тошибно-модифицированной ОС. Главное не виндоус

+ на всех клчевых аккаунтах уникальные пароли и привязка к телефонам.

+ хорошая защита, когда на самый "главный" почтовый аккаунт вообще не заходишь, кроме как для восстановления доступа. Даже "взлом с гарантией" обычно имеет оговорку - "если ящик активный". Не слышал чтобы кто-то мог сломать неактивный ящик с уникальным нормальным паролем на крупном почтовике, хоть даже на том же майле.

Хотя с тем, сколько и каких огромных дыр было в безопасности mail.ru и что важнее - как наплевательски к этому относилась слубжа безопасности... я бы с ними не связывался по определению.

Под майлом чего только небыло - и аккаунты админов ломали (я помоему о 2 случаях слышал. 1 раз люди думали как монетизировать), и исходного кода часть скачивали, и даже базу данных вроде слили. Хотя насчет БД не знаю, может байка. + куча мелочей, которые сам видел. Смотришь и думаешь "как такое возможно на серьезном ресурсе?") В общем там не в https проблема. Там как в анекдоте - "Место проклятое." И смутное ощущение что их службе безопасности просто плевать. Дыры, которые даже по паблику гуляли, не перекрывались месяцами.

Ну всё как обычно - слышал звон..

Попробуй перечитать свой пост и увидь

С мейлру было всякого. Но никогда не было массового увода паролей как на том же твиттере.

Повторю - у меня там первое мыло почти со времени их запуска. Еще неск десятков заводилось. На многие просто забил но пяток юзается и до сих пор. Знаю об уводе только одного, совсем не важного мыла (регилось для объявы на доски объяв). Знаю почему увели - пароль был простой и его тупо сбрутили. Всё. Если бы хоть часть твоих срашилок было правдой - я бы (с прошлого века) потерял много мыл.