Тут вообще не нужно запариваться вопросом, скомпрометирован Ваш аккаунт, или нет.
На выяснение ответа можно потратить целую жизнь.
А обезопаситься от последствий утечки пароля — минутное дело.
Есть несколько страниц в настройках гугловского аккаунта, которые следует посетить.
Вот общая страница настроек безопасности, отправная точка для наших упражнений.
В одном из разделов можно, в частности, посмотреть, когда, с каких устройств/программ, и из какого географического места осуществлялись заходы в Ваш аккаунт.
Для душевного спокойствия имеет смысл отрубить все эти сеансы доступа перед тем, как менять пароль. Как правило, все сеансы в этом списке будут Ваши, но проще перебдеть.
В другом разделе находится управление оповещениями по СМС. Проследите, чтобы номер мобильника, который там указан, был не только активным, но и принадлежал бы Вам по контракту с оператором. В противном случае при утере или неисправности СИМ-карты Вам не дадут её поменять на новую. Упс.
Наконец, механизм двухступенчатой авторизации с подтверждением входа в аккаунт по СМС настраивается здесь. Это такая же защита, которая используется для доступа к счетам в системах электронного банкинга. Она становится бесполезной, если у Вас украли тот телефон, который зарегистрирован в системе. Но в этом случае Вы просто блокируете СИМ-карту одним звонком оператору (или через веб-интерфейс). И никакой злоумышленник дальше уже не может получить по этому номеру код.
Конечно, параноики и радетели анальной security мне на это скажут, что СМС можно перехватывать, особенно если за несанкционированным доступом к Вашим данным стоит Государство, опираясь на мощь своих спецслужб. Но я в данном случае обсуждаю не случай Алексея Навального и не сценарий «Крепкого орешка-4», а ситуацию рядового пользователя, который с утра прочёл в газете, что несколько миллионов паролей от его веб-сервиса утекло в Сеть. И начинает париться по поводу того, что теперь любое чмо, скачав базу, сможет рыться в его личной переписке.
Чтобы об этом не париться, двух указанных мною мер предосторожности (отрубить пользовательские сессии, подключить авторизацию по СМС) вполне достаточно. Можно даже пароль не менять, потому что он сам по себе не даёт доступа в систему, защищённую двойной авторизацией. Но, разумеется, если Вы будете читать FAQ любой веб-почты, или слушать специалистов по компьютерной безопасности, то с высокой степенью вероятности они Вас всё же уговорят менять его регулярно, от греха.
September 10 2014, 22:15:03 UTC 5 years ago
2. кому-то так удобнее, я не претендую на всеобъемлющее решение, как и автор блога
3. зато так безопаснее, что и было целью
4. не обязательно выкачивать почту ТОЛЬКО почтовым клиентом. днём используешь обычный доступ с мобильных и чужих устройств, вечером приходишь и почтовый клиент всё за день забирает с сервера.
смысл не в том, чем пользоваться, а как легко и автоматически подтирать за собой.
September 11 2014, 06:06:55 UTC 5 years ago
September 11 2014, 12:30:42 UTC 5 years ago
А вы родителей спросите. Настраивали им почту когда-нибудь?
Это заставляет пользоваться только почтовыми аккаунтами, у которых есть двухфакторная авторизация, а остальным что делать?
Мне за глаза хватает её в банковском клиенте, слава богу, не часто приходится им пользоваться. Смс-сообщения приходят не всегда, не всегда приходят вовремя. За границей особенно, это если родной телефон, к которому привязан аккаунт, вообще ловит.
В моём телефоне сейчас основная симкарта выписана на моё имя, но прошлая была на чужое. У некоторых знакомых родной номер, которым они пользуются много лет выписан тоже на чужое имя. Мой второй телефон на чужое имя выписан. Что делать в случае блокировки симки злоумышленником? Для этого много не надо, просто позвонить оператору и продиктовать банальные паспортные данные. А ещё есть утеря карты, смена номера, симка приходит в негодность со временем и заменить её на аналогичную точно не получится.
Что делать людям, у которых не 20-30 писем в день, а пара сотен и все по работе? Каждый раз смску получать заебёшься уже к обеду.
Что делать мобильным клиентам, например на смартфонах, которые почту получают по POP3? Раз в 15 минут вводить смску, чтобы скачать почту? Конечно нет, IMAP и POP3 свободен от этой хуйни, а значит имея пароль, злоумышленник тупо почтовым клиентом выкачивает всю вашу почту, не беспокоя ваш телефон.
Вводить паранойю типа как в STEAM, когда каждый чих, любое действие в системе требует подтверждения смс или почтовым кодом? Вводить 2 пароля, один для двухфакторной авторизации через веб-интерфейс, а второй для почтовых клиентов? Поздравляем, у вас теперь в два раза больше способов проебать свою почту, на любой вкус.
> не давайте смартфонов и ноутбуков малознакомым личностям. )
Господи, да любой компьютер, не настроенный должным образом, скомпрометирован. Даже если там стоит MacOS или Linux. Ведь те же самые добрые родственники придут, сядут за ваш комп, скачают по незнанию "ускоритель интернета", нажмут на "увеличение пениса" или у кого что болит, нажмут, подтвердят, OK, OK, Далее, Согласен, Принимаю, Разрешить. И ответом на ваш немой вопрос будет "Ну я же не знал".
September 11 2014, 12:34:50 UTC 5 years ago
я писал про почтовые клиенты не для того, чтобы избежать кражи id, это разумеется невозможно.
а для того, чтобы в случае чего у вас осталась резервная копия этого фарша. Плюс чтобы [если] украли, то совсем немножко, только то, что не успело скачаться с сервера.
в коментах уже отписался чувак, удаляющий почту старше 3 месяцев. по-моему такую же галку следует предлагать в настройках каждому почтовому сервису типа Gmail.