Отгадав ответ на секретный вопрос Пэйлин, Кернелл смог сбросить пароль от ее ящика Yahoo! и сменить его на новый. Так ему удалось прочитать всю личную переписку политика. Снимок экрана с ее папкой «Входящие» был выложен на хакерском ресурсе. Сама же Пэйлин не могла войти в свою почту, пока не сбросила пароль. {21}

Поступок Кернелла был противозаконным, он нарушил закон «О компьютерном мошенничестве и злоупотреблении с использованием компьютеров». Его признали виновным по двум пунктам обвинения: препятствование правосудию путем уничтожения улик и незаконный доступ в компьютерную систему. В 2010 году его приговорили к тюремному заключению сроком один год и один день плюс три года профилактического наблюдения после освобождения. {22}

Если вашу почту взломали так же, как почту Пэйлин, в первую очередь необходимо сменить пароль, сбросив его (вы, наверное, уже догадались сами). Пусть новый пароль будет надежнее, как мы только что говорили. Далее проверьте папку с отправленными от вашего имени письмами. Возможно, вы найдете там письмо со спамом со множеством адресатов из вашего списка контактов. (Теперь-то вы понимаете, почему все эти годы ваши друзья шлют вам спам – кто-то взламывает их электронную почту.)

Также проверьте, вдруг кто-то связал свой аккаунт с вашим. Хакер, получивший доступ к вашему ящику, также может настроить переадресацию ваших писем на свою почту. Вы, как и прежде, будете пользоваться почтовым ящиком в обычном режиме, но другой человек тоже будет читать ваши письма. Если кто-то связал свой аккаунт с вашим, немедленно удалите ящик для переадресации.

Пароли и коды безопасности частично решают проблему безопасности, но мы только что видели, что их можно подобрать. Гораздо эффективнее сложных паролей вас защитит двухфакторная аутентификация. После скандала с утечкой фотографий обнаженной Дженнифер Лоуренс и других знаменитостей компания Apple разработала новый метод контроля доступа к сервисам iCloud – двухфакторную аутентификацию.

Что такое двухфакторная аутентификация?

При аутентификации пользователя на сайтах и сервисах необходимо подтверждение как минимум двух пунктов из трех. Обычно это: что-то, что у вас есть, что-то, что вы знаете, и что-то, чем вы являетесь. Этим чем-то может быть банковская карта с магнитной полосой или чипом. Чем-то, что вы знаете, чаще всего бывает PIN-код или ответ на секретный вопрос. А что-то, чем вы являетесь, включает в себя биометрические данные – сканер отпечатков пальцев, распознавание лиц, распознавание голоса и пр. Чем больше данных совпадает, тем выше вероятность того, что пользователь является именно тем, за кого себя выдает.

Ничего нового в этом нет. Уже более сорока лет большинство из нас пользуются двухфакторной аутентификацией, сами того не осознавая.

Каждый раз, снимая деньги в банкомате, вы проходите через двухфакторную аутентификацию. Как это? У вас есть выпущенная банком карта, вы знаете PIN-код. Сочетание этих двух факторов говорит уличному банкомату, что вы хотите получить доступ к счету, к которому привязана карта. В некоторых странах в банкоматах присутствуют дополнительные средства проверки, например, распознавание лиц и сканер отпечатка ладони. Это уже многофакторная аутентификация.

Нечто подобное возможно и в Интернете. Различные финансовые и медицинские организации, а также коммерческие сервисы электронной почты и социальные сети позволяют настраивать двухфакторную аутентификацию. В этом случае тем, что вы знаете, будет пароль, а тем, что у вас есть, – сотовый телефон. При получении доступа к этим сайтам телефон – это «внешний фактор», поскольку он никак не связан с используемым компьютером. Однако при настроенной двухфакторной аутентификации хакер не сможет получить доступ к вашей учетной записи, если у него не будет вашего телефона.

Допустим, у вас есть учетная запись на сервисе Google Gmail. Чтобы подключить двухфакторую аутентификацию, вам нужно будет ввести номер сотового телефона. Для проверки вашей личности Google отправит вам SMS-сообщение с шестизначным кодом. Вы будете должны ввести этот код на сайте Gmail, подтвердив тем самым, что данный компьютер связан с данным сотовым телефоном.

После этого, если кто-то с другого компьютера или устройства попытается сменить пароль к вашей учетной записи, вам на телефон придет текстовое сообщение. Любое изменение в настройках учетной записи будет сохранено только после ввода правильного кода подтверждения.

Но и тут есть слабая сторона. Сотрудники компании Symantec выяснили, что при отправке SMS-сообщения для подтверждения личности человек, которому известен ваш номер мобильного телефона, прибегнув к социальной инженерии, может перехватить проверочный код и сбросить пароль, стоит вам лишь утратить бдительность. {23}

Представим, что я хочу взломать вашу почту и не знаю пароль, но знаю номер сотового телефона, поскольку эту информацию легко найти через Google. Я могу перейти на страницу восстановления пароля и запросить сброс пароля. Поскольку у вас настроена двухфакторная аутентификация, вы получите SMS-сообщение с кодом. Пока все в порядке, правда? Не спешите.