Эксперты: отказ от паролей почты Mail.ru позволит повысить безопасность

МОСКВА, 28 июня. /ТАСС/. /ТАСС/. Планы почты Mail.ru полностью отказаться от авторизации пользователей через пароль в пользу одноразовых кодов, получаемых посредством sms или push-уведомлений, позволит повысить безопасность и удобство пользователей, однако это откроет новые возможности для злоумышленников, которые могут начать подделывать sim-карты или просто красть мобильные устройства для получения доступа к данным их владельцев. Такое мнение высказали ТАСС специалисты по кибербезопасности и информационным технологиям. "Это не передовой способ обеспечения безопасности, но гораздо более продвинутый, чем раньше. Система более безопасна", - сказала президент одной из IT-ассоциаций в РФ "СибАкадемСофт" Ирина Травина. Она отметила, что сама пользуется системами с доступом без пароля - например, с авторизацией по ссылке, которую присылают на электронную почту при необходимости войти в аккаунт. Украсть у пользователя пароль проще, чем телефон, на который приходит код доступа. "Этот способ точнее безопаснее, но насколько он удобный, будет зависеть от реализации", - добавила Травина. Как сообщил ТАСС технический директор компании, занимающейся разработкой программного обеспечения и IT-консалтингом, ENBISYS Максим Усов, Mail.ru независимо от того, как будет работать новая система, потеряет часть пользователей. "В этом случае код нужно будет вводить каждый раз при входе в почту. Я не знаю, как они добьются этой безопасности и добьются ли вообще, но какое-то количество пользователей от них точно уйдет", - сказал Усов. Новые способы мошенничества Ряд экспертов отмечает, что подобная система открывает для злоумышленников новые возможности. Руководитель проектов Центра информационной безопасности Университета Иннополис (город-спутник Казани) Никита Мохнаткин считает, что распространение авторизации в различных сервисах через sms-сообщения может привести к росту популярности подделок sim-карт. "Подобные услуги, к слову, уже доступны на просторах ДаркНет. Также злоумышленники могут осуществлять перевыпуск sim-карты жертв в салонах сотовой связи с использованием утекших персональных данных", - отметил Мохнаткин. По его словам, push-уведомления, которые не используют sim-карту и приходят на конкретное устройство, более надежны. Но в этом случае для получения доступа к данным пользователя злоумышленникам вообще не нужно обладать какими-либо специальными навыками - достаточно завладеть этим устройством. В этом кроется опасная тенденция развития систем электронной безопасности, считает руководитель аналитического центра петербургской компании Zecurion (занимается исследованиями в области информационной безопасности) Владимир Ульянов. "К аккаунту электронной почты могут быть привязаны данные для интернет-магазинов, социальных сетей, интернет-банк. Чем больше мы интегрируем эти сервисы, чем больше привязываем их друг к другу, тем выше риски при потере конкретного устройства. Фактически к мобильному телефону нужно относиться как к платежному терминалу и максимально аккуратно его использовать", - сказал ТАСС Ульянов, отметив, что, учитывая этот фактор, современным электронным сервисам не стоит полностью концентрироваться на технологии авторизации через sms и push-уведомления. Повысить трудность взлома Несмотря на опасения по реализации новой системы и наличие у нее минусов, эксперты отрасли соглашаются с тем, что она по умолчанию современнее существующей. Руководитель новосибирской группы компаний, специализирующейся на кибербезопасности, "НПП Рекорд" Владимир Конечный сообщил, что система push-уведомлений и СМС для аутентификации пользователя уже давно применяется в банковской сфере и хорошо себя зарекомендовала. "Многие информационные системы, такие как почтовые сервисы и соцсети, давно применяют комбинацию, называемую двухфакторной аутентификацией (необходимость ввести пароль и подтвердить доступ через СМС). Mail.ru считает такую защиту избыточной и идет навстречу пользователям, предлагая более удобную и, пожалуй, более защищенную альтернативу", - отметил он. Он пояснил, что люди, которые пользуются паролями, даже сложными и надежными, как правило, записывают пароль где-либо или используют один пароль для нескольких сервисов, что не является гарантией безопасности. В случае же с отказом от паролей и их заменой push-уведомлениями эта проблема решается, так как код постоянно меняется. Как сообщил ТАСС завкафедрой теоретических основ информатики Томского госуниверситета Александр Замятин, подход Mail.ru действительно сможет усилить защиту электронной почты. "Они (Mail.ru Group) не зря это заявили - они посмотрели, какие угрозы у них есть и нашли способ достоверно идентифицировать пользователя. Вполне продумано все, и можно отказаться от паролей в пользу современных подходов", - считает он. Замятин отметил, что чаще всего пользователи сами нарушают правила цифровой гигиены и неосознанно передают злоумышленникам пароли; новая система будет сложнее для взлома извне.