» »

Hotmail z novimi metodami za varovanje elektronskih predalov

Hotmail z novimi metodami za varovanje elektronskih predalov

Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, je rezultat vedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.

Po novem tako ne bo več mogoče registrirati uporabniškega računa z gesli, ki niso varna. S tem želi Microsoft izpopolniti varnost storitve Hotmail, ki že ima klasično zaščito pred surovim napadom (brute-force attack), a ta pri le v nekaj poizkusih uganljivih geslih ne more biti uspešna. Kdor že uporablja takšno geslo, pa ga bo v prihodnosti moral spremeniti, so še dejali.

Poleg tega so uvedli tudi funkcijo My friend’s account was hacked! Z njo bo uporabnik lahko prijavil račun prijatelja kot kompromitiran, če bo iz njega dobil čudna sporočila. Hotmail bo onemogočil dostop do kompromitiranega računa in lastnik bo moral pred ponovno uporabo skozi postopek dokazovanja istovetnosti in spreminjanja gesla. Možnost prijave prijateljevega računa kot kompromitiranega je za zdaj mogoča le na Hotmailu, bo pa Hotmail posredoval podatke tudi Googlu in Yahooju, če bodo prijavljeni tamkajšnji elektronski predali.

22 komentarjev

FireSnake ::

Tole je pa res dobra ideja!
Če bi sodelovali še z googlom (in drugimi) bi bilo pa super!


Mojemu kolegu je punca, s katero sta se razšla, spremenila geslo in tip si je moral naredit novi mail.
Če bi takrat obstajal ta način bi kolegi skup stopli in revežu pomagali.

Se mi zdi, da je ideja tako dobra, da jim bodo drugi sledili.
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

HyperKiller ::

Končno.
Pri Microsoftu uspešno izrezujejo varnostne luknje.

BlaY0 ::

Že vidim kako bodo "hekerji" masovno izkoristili funkcijo "My friend's account was hacked". Folk bo moral kar naprej skozi proces preverjanja in si bodo počasi poiskali novega ponudnika.

FireSnake ::

BlaY0: to je verjetno tako, da lahko prijaviš le e-mail, s katerim si frekventno dopisuješ.

Enostavna varovalka: s kolegom si morama izmenjat vsaj 10 mailov (jaz njemu 10 in on meni 10).
Kar tako sem rekel 10, lahko je več, lahko je manj.

Če je to tako urejeno (upam, da je) potem je OK ... v nasprotnem primeru pa imaš popolnoma prav.

EDIT: zgleda, da je ta opcija v menuju nad prejetim emailom ... torej ne moreš prijaviti katerega koli maila.
Torej; če ti mail naslov ukradejo in ti ne dobiš maila (stari so pa vsi pobrisani), potem ne moreš prijaviti?
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

  • spremenilo: FireSnake ()

fiore ::

FireSnake je izjavil:

Mojemu kolegu je punca, s katero sta se razšla, spremenila geslo in tip si je moral naredit novi mail.

ne smeš dat punci gesla, punca mora dat tebi geslo :-)

BlaY0 ::

FireSnake je izjavil:

BlaY0: to je verjetno tako, da lahko prijaviš le e-mail, s katerim si frekventno dopisuješ.

Ja. Torej nekdo ti "vdre" v mailbox in prijavi vse e-mail naslove tvojih prijateljev, ki jih najde v sporočilih predala prejeto. In vsi ti tvoji prijatelji (če seveda imajo račun na Hotmailu) bodo morali skozi proces ponovnega preverjanja.

darkolord ::

Ne. Zadeva valda ni tako osnovna, da ti samo klikneš tisti knofek in mu kar avtomatsko zakleneš njegov račun.

When you report that your friend's account has been compromised, Hotmail takes that report and combines it with the other information from the compromise detection engine to determine if the account in question has in fact been hijacked. It turns out that the report that comes from you can be one of the strongest "signals" to the detection engine, since you may be the first to notice the compromise. So, when you help out this way, it makes a big difference!

BlaY0 ::

OK. Ampak a potem to poteka avtomatsko ali zadaj sedi živi organizem, ki na podlagi "vseh" kazalcev pretehta a bo nekomu skinil kljukico s "trusted account" checkboxa?

Redorange ::

evo vam cel kup mailov na razpolago brez problema;((

http://www.facebook.com/photo.php?fbid=...

BaToCarx ::

Heh sem kar njihov (info-al-neki-ka-daje-novice@hotmail.com) email kliknu da je hacked :D Pa reče thx in premakne v spam.

RejZoR ::

Ne vem pa kako tak sistem deluje, ko dobiva folk spoofane maile. Torej piše kot da ga je poslal nek prijatelj, drug bo kliknil "My friend's been hacked" pa čeprav ni bil ampak je bil samo e-mail naslov spoofan, poslal pa ga je nek spam bot, ki sploh ni loginan na Hotmail. Ta del mi je mal nelogičen.
Angry Sheep Blog @ www.rejzor.com

techfreak :) ::

Saj spoofani emaili tako gredo v SPAM. Vsak vsaj na pol delujoč spam filter pomeče stran sporočila, ki so bila poslana iz poštnega strežnika, ki ni naveden na DNS strežniku domene.

darkolord ::

To ni glih res, precej folka pošilja (nekateri celo morajo) maile prek strežnikov svojega internetnega ponudnika.

RejZoR ::

Jezst lahko iz GMaila pošljem mail, ki se bo na zunaj predstavljal kot da je bil poslan iz siol.net. Pa čeprav sem na T-2. Eni tko delajo tud kadar imajo več mailboxov ampak samo enega aktivnega za pošiljanje.
Eni mail servisi recimo sploh ne podpirajo lastnega SMTP strežnika ampak ga moraš uporabit od ISP-ja itd itd.
Angry Sheep Blog @ www.rejzor.com

techfreak :) ::

darkolord je izjavil:

To ni glih res, precej folka pošilja (nekateri celo morajo) maile prek strežnikov svojega internetnega ponudnika.

Torej je potem SPF v bistvu neuporaben?

Osebno sem vedno imel probleme, če domena ni imela pravilnega SPF zapisa in če MX zapisi pri domeni niso kazali na strežnik iz katerega je bila poslana pošta.

Xserces ::

Redorange je izjavil:

evo vam cel kup mailov na razpolago brez problema;((

http://www.facebook.com/photo.php?fbid=...


HAHAH :)
1. opozorilo: s tem razkrivate svoj elektronski naslov, ne jamrajte če boste potem dobili v svoj inbox še kaj drugega kot povabilo za G+ (od mene garantirano dobite samo invite)

SPAM na pouno :P
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

techfreak :) ::

Samo 56 mailov je, komu se bo to sploh ljubilo parsati?

crobat ::

BlaY0 je izjavil:

Že vidim kako bodo "hekerji" masovno izkoristili funkcijo "My friend's account was hacked". Folk bo moral kar naprej skozi proces preverjanja in si bodo počasi poiskali novega ponudnika.

Ali pa če bo to se izkazalo za odlično idejo, in ptem MS predstavi to kot patent, pa se bodo vsi vrnili na hotmail? O.o še ena možnost recimo če sma že pri ugibanju in sanjarjenju

Atos ::

Torej je potem SPF v bistvu neuporaben?


Seveda da ni. Darklord malo nabija tukaj. Če SPF zapisi niso nastavljeni pravilno ali pa sploh niso nastavljeni ti sistem (GMail vem, da je zelo alergičen na SPF zapise pa tudi večina ostalih mail strežnikov) dodeli kr veliko SPAM točk. Ampak če želiš, da je zadeva dejansko premaknjena v SPAM, mora obstajati še kakšni drugi indic, ponavadi nepravilni SPF zapis ni edini problem.

Kar se pa tiče, da nekateri uporabniki MORAJO uporabljati strežnike od njihovih ISP-jev, pa me dejansko zanima, kateri ISP-ji v Sloveniji tole zahtevajo... Osebno nisem srečal še nobenega. Je pa res, da jih večina po novem blokira port 25, ampak to ne pomeni, da morajo njihovi naročniki potem pošiljati e-mail sporočila preko mail strežnika od ISP-ja. Kolikor vem, se lahko še vedno brez problema povežeš na vsak mail strežnik z uporabo avtentifikacije (in drug port), kar pa je po mojem mnenju edino pravilno in če to ne gre doseči drugače kot s tem, da ISP-ji blokirajo port 25, se sploh ne sekiram.

MrStein ::

Blokira jih kar dosti.
In potem je problem se povezat na mail server, ki je zunaj.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Večina ponudnikov ima SSL SMTP na drugem portu kot 25, torej to niti ni takšna težava. Če pa ponudnik nima alternativnega porta, potem pa ga menjaš.

MrStein ::

Če imaš takega na "u" je to bolj težko. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

Oddelek: Novice / Varnost
348791 (5470) njyngs
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost
8018682 (15360) BaToCarx
»

Spamerji se z botnetov selijo na legitimne, a kompromitirane račune

Oddelek: Novice / Varnost
125096 (3930) Iatromantis
»

Google račun z mojim Hotmail naslovom

Oddelek: Omrežja in internet
61690 (1567) naKljuchni
»

hotmail password crack (not a joke)

Oddelek: Informacijska varnost
224375 (3034) bluefish

Več podobnih tem