Сообщили, что взломали почту митрополита Тихона. И даже требуют выкуп 10 миллионов рублей за отказ от публикации переписки. Т. к. недавно я оказывал небольшие консультации после взлома почты главного редактора «Псковской Губернии» Дениса Камалягина*, озвучу тут ключевые темы по безопасности почты:
1. Вы раз и навсегда отказываетесь от российских почтовых сервисов: Яндексов, Маил.ру, прости господи, Рамблера… Там независимо от уровня безопасности с вашей стороны вашу переписку в любой момент может запросить товарищ майор. И даже если вы простой человек, через год или десять лет вы можете стать владельцем бизнеса или политиком, и ваша переписка десятилетней давности может быть использована против вас вашими конкурентами. И даже если в почте не будет компромата на вас, его могут выдумать, а в качестве цепочки доказательства представить что-то нейтральное, но реально подтверждающее взлом почты. Как какай-то разговор Тихона и матерящегося Михалкова.
2. В зависимости от уровня важности вашей переписки и потенциальных атак на вас вы должны использовать разные способы аутентификации, но однозначно нужно по максимуму задействовать двухфакторную аутентификацию. В большинстве случаев будет хватать привязки к номеру телефона и СМС со вторым кодом на номер. Но запомните, как только вашей деятельностью заинтересуются конкуренты с бюджетом на атаку хотя бы в 50 тысяч рублей или люди в погонах, то аутентификация через СМС - это 100% гарантия взлома вашей почты. Поэтому тут разумнее всего либо использовать бесплатный вариант от "Гугл Аутентификатора", либо иметь аппаратные токены. Первый вариант точно будет работать даже на 32-битных системах до 2038 года. Но лично я сторонник аппаратных токенов, но они стоят небольших денег.
Стоимость токенов вполне адекватна относительно высочайшего уровня их защиты от взломов извне. От 1500 руб до 2500 руб в стандартном исполнении USB. Есть разработка российской компании, чем я сам пользовался с года их сертификации JaCarta u2f в Минкомсвязи, а есть золотой стандарт от шведско-американской компании. Единственное, пару лет назад нашу страну данная компания небезосновательно ставила в один ряд с Северной Кореей и Афганистаном, и отказывалась делать доставку данных токенов в Россию, а сейчас их политика поменялась.
Компания "Гугл" использует токены повсеместно для всех десятков тысяч своих сотрудников по всему миру и пока не было ни одного взлома. Единственное, на сегодняшний момент подобными токенами можно аутентифицироваться на сервисах "Гугла", "ФастМейла", "Фейсбука" и "ДропБокса".
И если все же решили перейти на токены, не забудьте купить их пару штук на случай утери или повреждения единственного, а также отключить иные входы в почтовый ящик типа по СМС от российского оператора или восстановление через резервный незащищенный ящик. Ну и в идеале распечатайте одноразовые коды восстановления почты и запрячьте их за пределами квартиры. Без пароля они бесполезны, а в случае повреждения двух токенов вы лишаетесь доступа к своему почтовому ящику.
Ну а если вы журналист или оппозиционный политик – ваши компьютеры и телефоны должны быть зашифрованы, а для переписки использоваться секретные чаты в Телеграм.
P. S. независимым политикам и журналистам готов оказать бесплатные консультации по подобным вопросам.