Ну, вообще-то говоря, ответа на контрольный вопрос бывает обычно достаточно для взлома пароля. Или его отсылают только на указанный «другой» почтовый ящик?
Вы правда думаете, что есть смысл замызывать логин так, чтобы было видно что он совпадает с именем на хабре? :)
Поверьте, это уже не та информация, которую трудно найти при попытке взлома ящика конкретного человека
Хотелось бы знать статистику яндекса, но я уверен что в огромной доле случаев секретный вопрос «Девичья фамилия матери».
Раньше на аккаунтах яндекса нельзя было задать телефон! А значит вы можете быть уверены, что на большинстве почтовых аккаунтов телефон не задан до сих пор! Значит для взлома ящика достаточно ответить на контрольный вопрос, а как вы думаете каков он?
Ну а теперь самое главное:
Оказалось что достаточно ответить на контрольный вопрос, и яндекс после этого предложит выслать SMS с кодом восстановления на любой (!) мобильный номер, так как при регистрации телефон указан не был! Хотя на мой взгляд, корректное поведение в таком случае отправка кода на указанный при регистрации почтовый адрес.
Естественно мой друг на следующий же день забыл пароль от почты и при мне решил воспользоваться режимом восстановления пароля.
На днях я для своего знакомого регистрировал почтовый ящик еще раз посмотрите на форму, какие поля будет заполнять опытный пользователь интернета? Будет ли он читать комментарии написанные серым фоном? Вы конечно можете назвать меня идиотом, но я на автомате создал пароль, секретный вопрос и задал е-майл для связи. Я не задавал мобильный телефон, так как поле помечено необязательным (!) и я привык необязательные поля не заполнять личными данными и не говорите что я один такой.
Однако, проблема в другом в привычках интернет-пользователей.
Можно спорить насколько безопаснее восстанавливать пароль с помощью SMS. С одной стороны это вовлекает в процесс восстановление самого пользователя, с другой стороны при попытке украсть чужой почтовый ящик взломщик очень четко понимает, что ему надо еще получить и доступ к конкретному сотовому телефону. Иногда это гораздо проще, чем узнать скрытый почтовый адрес, на который отправится код восстановления пароля.
Вот форма регистрации ящика:
Яндекс для восстановления пароля использует номер мобильного телефона!
Для меня привычна стандартная схема при регистрации почтового ящика я указываю другой свой почтовый ящик, так что, если я забуду пароль, то после контрольного вопроса код восстановления пароля мне скинут на тот ящик. Так было всегда и такая схема используется практически везде. ТАК ВОТ ТЕПЕРЬ ЭТО НЕ ТАК!
Всегда был уверен в безопасности почты на Яндексе. Однако вчера наткнулся на одну чертовски неприятную особенность, которая позволяет довольно легко получить доступ к некоторым почтовым ящикам.
Яндекс. Ломаем почту
Яндекс. Ломаем почту / Хабрахабр
Комментариев нет:
Отправить комментарий