Один из самых часто задаваемых вопросов в Сети - это "как взломать мыло". Это не случайно, так как получив доступ к почтовому ящику пользователя, можно легко захватить доступ почти ко всем другим его ресурсам - ICQ, форумам, сайтам и т.д. Поэтому обеспечение безопасности почтового ящика - одна из самых важных задач при обеспечении собственной безопасности в Сети вообще.
Первое, на что следует обратить внимание - почтовых ящиков должно быть несколько. Рекомендуемое количество ящиков - от двух до четырех, оно зависит от того, насколько активную жизнь пользователь ведет в Сети. Каждый из ящиков имеет свое функциональное предназначение:
1) секретный почтовый адрес, который вы не сообщаете никому, а используете только для восстановления паролей с других ящиков, в качестве основного почтового адреса вашей ICQ, а также в качестве адреса для воостановления паролей от ваших сайтов, если они у вас есть. Секртетный почтовый ящик рекомендуется завести на максимально защищенном почтовом сервере (например, у вашего провайдера), при этом очень желательно чтобы у вас была возможность восстановить пароль к ящику полностью оффлайновым способом (например, позвонить/прийти в службу техподдержки и предоставить чего-либо, подтверждающего права на этот ящик).
2) личный почтовый адрес, с которого вы ведете переписку с вашими Сетевыми знакомыми, но не сообщаете этот адрес в публичных местах. Главное требование к этому адресу - его неизменность, что позволит людям, прекратившим в силу каких-либо причин с вами переписку, в дальнейшем снова продолжить ее при возникновении такой необходимости. Поэтому личный ящик лучше всего заводить на какой-либо крупной почтовой службе, например, Mail.Ru или Яндекс.Почта.
3) публичный почтовый адрес. Если вы активно посещаете различные форумы, чаты и прочие интерктивные ресурсы, и хотите, чтобы другие посетители этих ресурсов имели возможность выйти с вами на связь, то вам желательно завести для этого отдельный почтовый ящик, адрес которого вы будете оставлять на этих ресурсах. Также именно этот ящик следует указывать, если вы где-либо размещаете информацию о себе (например, на своей домашней странице). Объясняется это тем, что адреса, указанные на публичных ресурсах, доступны для сбора специалными программами (так называемыми спам-ботами), в результате чего вскоре на этот адрес начнет приходить нежелательная реклама. Соответственно, выбирать почтовый сервер для этого ящика надо так, чтобы на нем была предусмотрена возможность защиты от спама.
4) адрес для рассылок. Если вы подписываетесь на большое количество рассылок, то имеет смысл для их получения выделить отдельный ящик. Каких-либо особых требований для этого ящика нет, главное - чтобы объем был достаточным, чтобы вместить получаемые рассылки даже в том случае, если вы по каким-либо причинам не сможете получить их в течение нескольких недель.
Вторым важным моментом является выбор почтового сервиса. Кроме требований, указанных для каждого типа ящика выше, необходимо обращать внимание на следующие моменты:
а) наличие доступа к почте как с помощью Web-интерфейса, так и по протоколу POP3 - некоторые почтовые службы (например, Hotmail и Yahoo) не предоставляют доступа по протоколу POP3;
б) объем предоставляемого места и возможность его увеличения;
в) наличие возможности фильтрации почты, переадресации и создания автоответчиков;
г) способы восстановления пароля (подробнее это будет рассмотрено чуть дальше);
д) необходимость введения старого пароля при его смене, а также при изменении ключевых настроек (например, адресов пересылки) - это существенно повысит безопасность вашего почтового ящика.
Кроме этого, очень желательно попробовать собрать сведения о надежности почтового сервера (хотя бы попробовать заглянуть на форум техподдержки, если таковой имеется, или опросить ваших знакомых, которые прежде пользовались этим сервисом).
Третий момент - выбор логина (названия ящика) и пароля. При выборе логина каких-либо особых рекомендаций нет: просто берите такой логин, чтобы он совпадал с написанием вашего Сетевого имени (с удалением пробелов и спецсимволов). Если вам часто приходится диктовать свой адрес по телефону, то выбирайте логин таким образом, чтобы его было достаточно легко произнести и при восприятии на слух не возникало неоднозначностей в написании даже у людей, которые не знают английского языка. Еще не рекомендуется выбирать короткие логины (длиной менее 6 символов), так как на такие адреса идет очень большой поток спама даже в том случае, если эти адреса нигде не опубликованы, - спаммеры находят их путем простого перебора всех возможных комбинаций.
С паролем дело обстоит несколько сложнее. Выбирать его следует исходя из двух почти противоположных требований: с одной стороны, пароль должен казаться случайным набором символов (так как отдельно взятое слово или слово+несколько спецсимволов достаточно легко взламываются словарным или гибридным перебором), а с другой - иметь какой-либо смысл, который позволит вам его запомнить. Рекомендуемое решение - придумать какую-либо лего запоминаемую фразу и составить пароль из первых букв каждого слова этой фразы (возможно, поместив среди них несколько цифр или спецсимволов), при этом возможно 3 различных варианта: а) придумывать фразу на английском языке, б) придумывать фразу на русском языке и затем транслитерировать ее, в) придумывать фразу на русском языке и вводить ее, нажимая клавиши, соответствующие русским буквам, при английской раскладке клавиатуры. Третий вариант является наилучшим с точки зрения безопасности, однако самым неудобным из-за дискомфорта, вызываемого необходимостью вводить символы при неправильной раскладке клавиатуры. Кроме этого, очень желательно, чтобы пароли ко всем вашим ящикам были различными и не использовались где-либо еще (например, на различных форумах или для ICQ).
Также сразу при регистрации следует обратить внимание на то, каким образом производится восстановление забытого пароля. В большинстве почтовых сервисов это делается одним из двух способов: либо с помощью ответа на контрольный вопрос, либо путем отправки пароля на резервный адрес, указанный при регистрации (в некоторых сервисах доступны оба варианта сразу). Для секретного ящика предпочтительнее первый способ, для всех остальных - второй (причем в качестве резервного адреса надо указывать именно секретный ящик).
Если восстановление пароля производится по ответу на вопрос, то не используйте стандартные вопросы, предлагаемые системой, а придумайте свой собственный, причем такой, ответ на который можете знать только вы, причем ответ нельзя получить перебором возможных значений. (Примеры плохих контрольных вопросов: "В каком году я закончил школу", "Мой рост на момент регистрации", "Моя группа крови"). Если же задать свой собственный вопрос в качестве контрольного невозможно, то поставьте один из стандартных, но дайте на него необычный ответ, угадать который весьма сложно. (Пример такой ситуации: вопрос - "Ваш номер ИНН", ответ - "Что я, лох что ли, чтобы еще и налоги платить?".) При задании ответа будьте внимательны (особенно к знакам препинания и регистру букв), так как при восстановлении пароля написание ответа должно совпадать ПОЛНОСТЬЮ.
Если же восстановление пароля производится путем отсылки на зараннее заданный "запасной" адрес, то в качестве такового нужно указывать свой секретный почтовый ящик. При этом также желательно сразу после регистрации сделать восстановление пароля и посмотреть, как именно оно происходит. Наиболее оптимальным вариантом с точки зрения безопасности является следующий: для восстановления пароля нужно еще раз указать адрес запасного ящика и отсылка проивзодится только в том случае, если он совпадет с правильным. Наихудший вариант - когда пароль отсылавется сразу же после ввода логина и при этом сообщается "ваш пароль был выслан на адрес ....", так как в этом случае злоумышленник без труда узнает адрес вашего секретного ящика. Почтовыми сервисами с таким способом восстановления лучше не пользоваться вообще.
Еще один важный момент, на который следует обратить внимание - производится ли отправка старого пароля или генерируется новый. Наилучший вариант - когда генерируется новый случайный пароль и вместе с ним присылается ссылка для его активации. В противном случае при генерации нового пароля без его активации возможна такая тупиковая ситуация: имеется два ящика, причем в настройках каждого из них в качестве адреса для восстановления указан другой ящик. Злоумышленник каким-либо образом узнает адреса обоих ящиков и запрашивает и для того и для другого восстановление пароля. В результате и для того и для другого ящика генерируется новый пароль и отсылается на адрес, указанный в настройках. Однако поскольку на втором ящике тоже сменился пароль, получить письмо с паролем к первому ящику становится невозможным. На первом ящике ситуация полностью аналогичная: получить письмо с паролем от второго ящика невозможно из-за того, что неизвестен новый пароль от первого. Поэтому будьте внимательны и не допускайте подобных зацикливаний! (Еще раз повторюсь, что для секретного ящика лучше выбирать такой почтовый сервис, который позволяет восстанавливать пароль либо по контрольному вопросу, либо с помощью каких-либо оффлайновых действий.)
В заключение остается добавить только одно: если по каким-либо причинам (например, из-за смены провайдера) вы вынуждены были поменять ваш секретный ящик, не забудьте зайти в настройки всех ваших ящиков и исправить там адрес для восстановления пароля.
