GMail, Hotmail, Yahoo: jsou účty zranitelné přes změnu hesla?

24. 9. 2008

Sdílet

Jedna z možností, jak se útočníci mohli dostat do e-mailu Sarah Palinové na Yahoo, o kterém se v poslední době živě diskutuje, je prostá změna hesla. Americký Computerworld se proto podíval na to, jak jsou v tomto ohledu zabezpečené hlavní webové e-mailové systémy: Yahoo, Hotmail a GMail.

Jedna z možností, jak se útočníci mohli dostat do e-mailu Sarah Palinové na Yahoo, je prostá změna hesla. Americký Computerworld se proto podíval na to, jak jsou v tomto ohledu zabezpečené hlavní webové e-mailové systémy: Yahoo, Hotmail a GMail.

Podle krátkého testu umožňují samozřejmě všechny tři systémy změnu hesla v případě, že ho uživatel zapomene. Jak lze tato možnost zneužít? Útočník musí pouze znát jméno a příjmení majitele příslušného účtu a dále musí odpovědět na maximálně několik otázek.

Redaktoři amerického CW se takto pokusili nabourat navzájem do svých účtů. Zjistili, že otázky pokládané při změně hesla bývají vesměs jednoduché (příjmení matky za svobodna, jméno domácího mazlíčka, značka prvního auta apod.). Kdo používá ve větší míře sociální sítě nebo je osobou veřejně známou, bývá v tomto ohledu téměř bezbranný. Na stránkách bývají testy CAPTCHA, ty ovšem mohou roboti překonat. Navíc útoky tohoto typu nemusí být prováděny hromadně pomocí robotů, ale opravdu ručně a cíleně (jako tomu bylo v případě vniknutí do účtu Sarah Palinové).

Klíčová otázka je, co se stane s nově vygenerovaným heslem. Bude posláno e-mailem na náhradní adresu, nebo bude vygenerováno přímo on-line? Všechny tři služby nabízejí obě možnosti, mezi nimiž si uživatel mohl vybrat při registraci. Možnost zadat sekundární adresu je nepovinná; toto nastavení je ovšem jednoduchým tipem, jak si zvýšit bezpečnost účtu. Bez ohledu na to, co uživatel zadal při registraci, lze sekundární e-mailovou adresu přidat dodatečně.
Nenechte si ujít:
Symantec: Přichází zásadní změna bezpečnostního paradigma

Vydírání se souhlasem: jak přinutit uživatele pornostránek zaplatit?

10 hlavních bezpečnostních hrozeb roku 2008

Útočníci se zaměří na virtualizovaná prostředí

Pro více informací viz články na SecurityWorldu:
Útočníci se dostali do e-mailu Sarah Palinové na Yahoo
FBI pátrá po útočnících na e-mail Sarah Palinové
Ochranu CAPTCHA Hotmailu lze prolomit za 6 sekund

Zdroj: Computerworld.com

 

Autor článku