Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, jerezultatvedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.
Po novem tako ne bo več mogoče registrirati uporabniškega računa z gesli, ki niso varna. S tem želi Microsoft izpopolniti varnost storitve Hotmail, ki že ima klasično zaščito pred surovim napadom (brute-force attack), a ta pri le v nekaj poizkusih uganljivih geslih ne more biti uspešna. Kdor že uporablja takšno geslo, pa ga bo v prihodnosti moral spremeniti, so še dejali.
Poleg tega so uvedli tudi funkcijo My friend’s account was hacked! Z njo bo uporabnik lahko prijavil račun prijatelja kot kompromitiran, če bo iz njega dobil čudna sporočila. Hotmail bo onemogočil dostop do kompromitiranega računa in lastnik bo moral pred ponovno uporabo skozi postopek dokazovanja istovetnosti in spreminjanja gesla. Možnost prijave prijateljevega računa kot kompromitiranega je za zdaj mogoča le na Hotmailu, bo pa Hotmail posredoval podatke tudi Googlu in Yahooju, če bodo prijavljeni tamkajšnji elektronski predali.
Tole je pa res dobra ideja! Če bi sodelovali še z googlom (in drugimi) bi bilo pa super!
Mojemu kolegu je punca, s katero sta se razšla, spremenila geslo in tip si je moral naredit novi mail. Če bi takrat obstajal ta način bi kolegi skup stopli in revežu pomagali.
Se mi zdi, da je ideja tako dobra, da jim bodo drugi sledili.
Že vidim kako bodo "hekerji" masovno izkoristili funkcijo "My friend's account was hacked". Folk bo moral kar naprej skozi proces preverjanja in si bodo počasi poiskali novega ponudnika.
BlaY0: to je verjetno tako, da lahko prijaviš le e-mail, s katerim si frekventno dopisuješ.
Enostavna varovalka: s kolegom si morama izmenjat vsaj 10 mailov (jaz njemu 10 in on meni 10). Kar tako sem rekel 10, lahko je več, lahko je manj.
Če je to tako urejeno (upam, da je) potem je OK ... v nasprotnem primeru pa imaš popolnoma prav.
EDIT: zgleda, da je ta opcija v menuju nad prejetim emailom ... torej ne moreš prijaviti katerega koli maila. Torej; če ti mail naslov ukradejo in ti ne dobiš maila (stari so pa vsi pobrisani), potem ne moreš prijaviti?
BlaY0: to je verjetno tako, da lahko prijaviš le e-mail, s katerim si frekventno dopisuješ.
Ja. Torej nekdo ti "vdre" v mailbox in prijavi vse e-mail naslove tvojih prijateljev, ki jih najde v sporočilih predala prejeto. In vsi ti tvoji prijatelji (če seveda imajo račun na Hotmailu) bodo morali skozi proces ponovnega preverjanja.
Ne. Zadeva valda ni tako osnovna, da ti samo klikneš tisti knofek in mu kar avtomatsko zakleneš njegov račun.
When you report that your friend's account has been compromised, Hotmail takes that report and combines it with the other information from the compromise detection engine to determine if the account in question has in fact been hijacked. It turns out that the report that comes from you can be one of the strongest "signals" to the detection engine, since you may be the first to notice the compromise. So, when you help out this way, it makes a big difference!
OK. Ampak a potem to poteka avtomatsko ali zadaj sedi živi organizem, ki na podlagi "vseh" kazalcev pretehta a bo nekomu skinil kljukico s "trusted account" checkboxa?
Ne vem pa kako tak sistem deluje, ko dobiva folk spoofane maile. Torej piše kot da ga je poslal nek prijatelj, drug bo kliknil "My friend's been hacked" pa čeprav ni bil ampak je bil samo e-mail naslov spoofan, poslal pa ga je nek spam bot, ki sploh ni loginan na Hotmail. Ta del mi je mal nelogičen.
Saj spoofani emaili tako gredo v SPAM. Vsak vsaj na pol delujoč spam filter pomeče stran sporočila, ki so bila poslana iz poštnega strežnika, ki ni naveden na DNS strežniku domene.
Jezst lahko iz GMaila pošljem mail, ki se bo na zunaj predstavljal kot da je bil poslan iz siol.net. Pa čeprav sem na T-2. Eni tko delajo tud kadar imajo več mailboxov ampak samo enega aktivnega za pošiljanje. Eni mail servisi recimo sploh ne podpirajo lastnega SMTP strežnika ampak ga moraš uporabit od ISP-ja itd itd.
To ni glih res, precej folka pošilja (nekateri celo morajo) maile prek strežnikov svojega internetnega ponudnika.
Torej je potem SPF v bistvu neuporaben?
Osebno sem vedno imel probleme, če domena ni imela pravilnega SPF zapisa in če MX zapisi pri domeni niso kazali na strežnik iz katerega je bila poslana pošta.
HAHAH :) 1. opozorilo: s tem razkrivate svoj elektronski naslov, ne jamrajte če boste potem dobili v svoj inbox še kaj drugega kot povabilo za G+ (od mene garantirano dobite samo invite)
Že vidim kako bodo "hekerji" masovno izkoristili funkcijo "My friend's account was hacked". Folk bo moral kar naprej skozi proces preverjanja in si bodo počasi poiskali novega ponudnika.
Ali pa če bo to se izkazalo za odlično idejo, in ptem MS predstavi to kot patent, pa se bodo vsi vrnili na hotmail? O.o še ena možnost recimo če sma že pri ugibanju in sanjarjenju
Seveda da ni. Darklord malo nabija tukaj. Če SPF zapisi niso nastavljeni pravilno ali pa sploh niso nastavljeni ti sistem (GMail vem, da je zelo alergičen na SPF zapise pa tudi večina ostalih mail strežnikov) dodeli kr veliko SPAM točk. Ampak če želiš, da je zadeva dejansko premaknjena v SPAM, mora obstajati še kakšni drugi indic, ponavadi nepravilni SPF zapis ni edini problem.
Kar se pa tiče, da nekateri uporabniki MORAJO uporabljati strežnike od njihovih ISP-jev, pa me dejansko zanima, kateri ISP-ji v Sloveniji tole zahtevajo... Osebno nisem srečal še nobenega. Je pa res, da jih večina po novem blokira port 25, ampak to ne pomeni, da morajo njihovi naročniki potem pošiljati e-mail sporočila preko mail strežnika od ISP-ja. Kolikor vem, se lahko še vedno brez problema povežeš na vsak mail strežnik z uporabo avtentifikacije (in drug port), kar pa je po mojem mnenju edino pravilno in če to ne gre doseči drugače kot s tem, da ISP-ji blokirajo port 25, se sploh ne sekiram.
