Безопасная электронная почта - мечта или реальность?

"Взломана почта министра иностранных дел Эквадора", "Министерство образования считает, что причина попадания ответов ЕГЭ в Интернет - взлом электронной почты", "Взломана почта мэра Саласпилса" - новости о взломе электронной почты уже почти никогда не сходят с первых страниц новостей. Взламывают почты политиков, бизнесменов, кинозвезд и обычных людей.

"Взлом почты без предоплаты от лучших специалистов", "уроки по взлому е-мейла, научись взламывать почту за час" - висит реклама в Гугл, - "хотите знать, с кем переписывается ваша девушка? Скачайте бесплатную программу перебора паролей". Увы, е-мейл, самое распространенное и дешевое средство коммуникации, стандарт де-факто для личной и деловой переписки становится всю большим источником проблем для неискушенных пользователей. Как так получилось, и кто в этом виноват?

Это комплексная проблема. С одной стороны, виноват прогресс, считает специалист по компьютерной безопасности Александр Наумец, е-мейл старейший сервис в Интернете, его первые стандарты появились в начале 80-х, те меры защиты, которые казались тогда обоснованными, сегодня просто не выдерживают никакой критики. Есть и экономическая сторона проблемы. У ведущих Интернет-корпораций стало давно хорошим тоном предлагать бесплатные е-мейл сервисы.

Кроме того, среднестатистические корпоративные системные администраторы не обновляют программное обеспечение вовремя, не следят за вновь открывающимися проблемами безопасности. Организации не внедряют политики безопасности, не проводят обучения сотрудников, не проводят IT- аудитов.

А сами люди ленятся придумывать сложные пароли. Согласно исследованию Splash Data, 10 проц пользователей используют пароль "password" или "123456", а 91 процент пользователей используют в качестве пароля слово из списка 1000 самых распространенных слов. Подобрать хакеру такой пароль, дело секунд. А другой защиты, кроме пароля, сегодня у е-мейл в общем-то и нет. С распространением смартфонов и планшетных компьютеров проблема становится ещё актуальнее. Пароль теперь хранится на большем числе устройств. И в большинстве случаев он лежит в устройстве в совершенно открытом виде!

Остро стоит вопрос и банковской безопасности, ведь сегодня широко распространяются Интернет-банки клиентов. Пока большинство игроков рынка склоняется к внедрению системы биометрической аутентификации на основе отпечатка пальца. К сожалению, до стандарта пока далеко, к тому же стандарт должен будет ещё пройти стадию принятия промышленными и международными организациями, а затем и проверку практикой. Так что же делать сейчас? Есть ли решение доступное потребителю?

Латвийския Компания, разработавшая безопасную электронную почту - Latmail.eu считает, что есть.

"Мы создали защиту электронной почты на основе банковских технологий двухфакторной аутентификации, на основе аппаратного устройства генерации одноразовых паролей, - говорит руководитель проекта Latmail Владимир Селезнёв. - Такое решение доступно и доказало свою надежность и эффективность в банках поэтому для пользователей интернет-банкинга это привычное решение. Суть решения состоит в том, что клиенту выдается генератор одноразовых паролей, который по нажатию кнопки раз в 30 секунд генерит новый пароль на основе специального криптоалгоритма, синхронизированного с нашим сервером. При входе в систему у клиента спрашивается не только стандартные пароль и логин, но и сгенеренный одноразовый пароль.

Криптоалгоритм гарантирует, что одноразовый пароль нельзя подобрать, а устройство генерации сделано таким образом, что вытащить из него секретный ключ практически невозможно. Наша команда много работала в банковском бизнесе, и имеет значительный опыт в обеспечении высшего уровня безопасности, который необходим таким организациям, как провайдеры платежей по кредитным картам Visa и MasterCard. Мы долго работали над сервисом и проводили множество экспериментов с разными группами пользователей и пришли к выводу, что аппаратные устройства генерации одноразовых паролей - самый простой и удобный способ аутентификации.

В сравнении с программными генераторами одноразовых паролей, они не требуют установки на смартфон или планшет, поиска нужной версии для конкретного смартфона, при использовании не требуют поиска нужной программы среди десятка других, не требуют предварительной синхронизации с сервером и надежней, потому что не требуют передачи секретного ключа пользователю для ввода в программу.

Для защиты нашего сервиса мы используем специальное аппаратное обеспечение — Hardware Security Modules, соответствующее самым строгим стандартам безопасности FIPS 140-2, используемыми, в том числе для защиты государственных секретов США. Кроме того, пользователь нашего сервиса "из коробки" получает настроенную систему шифрования данных PGP, самую надежную систему шифрования на сегодняшний день, которая, к сожалению, относительно нешироко распространена, потому что её сложно настроить обычному пользователю. В связи с недавними скандалами со сбором почтовых метаданных в США, и с политическим охлаждением у наших восточных соседей, мы ожидаем большой спрос на услуги защиты е-мейл корреспонденции".