結果は常に同じです-攻撃者はメールボックスへのフルアクセスを取得します。 彼は、自分からのすべての情報をマージし、他のメールボックスのさらなるハッキング、ソーシャルネットワークへのログイン、支払いシステムに使用できます。 最終的に、彼は単にボックスを削除するか、そのパスワードを変更できます。 一般的に、すべてが悪いです。
私は、スーパーパスワードと呼ばれるWebベースのメールボックスの保護を強化するという概念を考え出そうとしました。 これまでのところ、これは概念に過ぎず、他のHabrユーザーの意見を聞きたいと思います。
Googleなど、2レベルの保護システムがあります。 良い解決策ですが、すべての利点があるため、一定のマイナスがあります。これは、ボックスに常時アクセスするのが難しいということです。 たとえば、携帯電話でコード付きのSMSを受信しなかったことがありますが、非常に頻繁に必要です(別の場所からメールに行きました)。 それは来ない、それだけです。 基本認証ログインなどのマルチレベル保護のログインを使用したAndroidプログラムへのアクセスは困難です。
メールサービスのログイン時に分散アクセスシステムを使用しないのはなぜだと思いました。 たとえば、通常のJoomlaのように。 ユーザーユーザーは新しいページを作成および編集できますが、SQLデータベースログインへのアクセスは言うまでもなく、他の人のページを削除することはできません。
したがって、郵便サービスに登録するときに、1つではなく2つのパスワードを指定する必要があると想像してください。
パスワードNo. 1-通常のパスワード
パスワードNo. 2はスーパーパスワードです。 重要な変更のためのパスワード。
通常のパスワードまたはスーパーパスワードを使用した責任とアクセスレベルの分布の例を次に示します。
ご覧のように、通常のパスワードを使用すると、ハッキングの危険性のあるデバイス(他の人のWi-Fiネットワーク、インターネットカフェなど)を含むさまざまなデバイスからメールにアクセスできます。 ほとんどの場合、通常のパスワードのみを使用します。 ディスク容量の最新のクォータでは、mail.ru、yandex.ru、hotmail.com、gmail.comなどのリーダーや、メッセージの削除の問題は重要ではないことがよくあります。 通常、メールボックスがオーバーフローしないように、メールボックスをスパムや大きな文字から毎週クリーニングする必要はありません。 B.ゲイツの有名な声明を言い換えれば、「通常のパスワードで誰でも十分です」と言うことができます。
「トライト」-あなたは言わなければなりません。 1つのパスワード-2つのパスワードの代わりに、両方を忘れる可能性が高い。 目新しさとは何ですか?
異議1
多くの場合、メールボックスのハッキングは、他のサービス(Skype、Webmoney、PayPalなど)でのログインのハッキングの前兆にすぎません。 つまり メールボックスを重大な変更から保護しましたが、通常のアクセス権を持つ攻撃者は、たとえばSkypeで新しいパスワードを要求し、Skypeのパスワードを変更するためのリンクを含むメッセージを受信して変更します。 それだけです。スーパーパスワードは他のログインを保護するのに役立ちませんでした。通常のパスワードを持っていると、攻撃者は大きな損害を引き起こす可能性があります。
異議2
情報の流出。 攻撃者は彼への興味深い手紙、それらへの投資をダウンロードします。 また、他のサービスへの登録中に示されたパスワードが示されている文字を見つけることもできます(ただし、今ではそのような文字はまだまれですが、まだです)。 すべての情報の削除-つまり 普通の破壊行為。
これを防ぐために、すべての文字にラベルシステムを提案します。
ショートカットのトップセーブ
または、このラベルは5日以上経過したすべてのメッセージに自動的に適用されます。 このラベルが付いたすべてのメッセージは、通常のパスワードを使用して読み取ることができ、その中のアプリケーションをダウンロードできますが、スーパーパスワードを使用せずにメッセージを削除することはできません。 当然、このラベルの適用期間(5日、2週間など)は、スーパーパスワードを使用して変更できます。 メッセージが最近送信された場合(1〜5日前)、通常のパスワードを使用して削除できます。
トップシークレットショートカット
このショートカットを使用すると、保存されたメッセージを最大限に保護できます。 このラベルが付いた文字は、スーパーパスワードを使用しないと読むことができませんが、メールボックスで見つけることができます。 もちろん、メッセージの最初の行はレターには表示されず、送信者と件名のみが表示されます。
そのようなラベルはどのように表示されますか? オプション:
1.半年以上経過したすべてのメッセージ(変更またはキャンセルはすべて可能)。
2.ユーザー自身がトップシークレットとしてマークする必要があると考えるメッセージの場合。 さらに、このショートカットを適用するには、通常のパスワードで十分です。また、ショートカットを削除したり、文字を表示したりするには、スーパーパスワードのみが必要です。
3.「トップ」受信者からのすべての手紙へ。 このような受信者のリストは、事前に編集することができ、最も人気のあるソーシャルネットワーク、支払いシステム、オンラインメッセンジャーなどを含めることができます。
この場合の保護は完全な保護のようになります。たとえば、通常のパスワードを使用する場合、受信トレイで手紙を見ることができ、送信者と件名を見ることができます。リンクをご覧ください。
例:
送信者:Skype
件名:パスワードの変更
親愛なるXXX!
新しいパスワードをリクエストしました。 パスワードを変更するには、次のリンクをクリックします<このリンクはTop-Secretラベルの条件によってブロックされています。スーパーパスワードを使用して手紙を完全に読む>
よろしく
Skype Inc.
4.指定された受信者からのメッセージへ。 Gmailのフィルターの原理で機能します。
「手紙を受け取ってから3日後に、受信者<user@mail.ru>からのすべてのメッセージにTop-Secretラベルを適用します。」
その結果、攻撃者はメールから通常のパスワードを取得しても、重大な損害を引き起こすことはできません。
1.ほとんどすべての手紙がメールに残ります。
2.攻撃者は、さらにハッキングするためにメールを使用することはできません。
3.メールボックスへのアクセスを保存し、侵害されたパスワードをすばやく変更できるようになります。
4.通常のパスワードは、紛失することを恐れずに、ブラウザのスマートフォンに安全に保存できます。 スーパーパスワードは個別に保存され、めったに使用されません。
スーパーパスワードはどうあるべきですか?
プレーンテキストのパスワードでもかまいませんが、使用後は携帯電話に確認コードが送信されます。 なぜなら スーパーパスワードはそれほど頻繁に要求されませんが、この組み合わせは最大限の保護を提供すると思います。
キーペア(公開鍵と秘密鍵)の使用など、その他のスーパーパスワードオプション 許可されています。
この提案の弱点についてのあなたの意見、コメントを聞きたいです。
UPD。 aalebedevが提案したように、テキストスーパーパスワード自体を拒否し、既存の携帯電話を使用してメールを入力できますが、登録時に指定されたもののみです。
つまり、ログインを入力し、チェックマークを付け(スーパーパスワードを入力)、スーパーパスワードフィールドに携帯電話を入力し、3番目のフィールドにSMSで受信した確認コードを入力します。
その結果、通常のパスワードと携帯電話番号を覚えるだけで済みます。