Webmail攻防实战

核心提示： 2、邮件发送：将密码发送到用户注册时登记的另一个邮箱里，对于攻击者来说，Webmail攻防实战(5)，忙了半天，仍然是一无所获，例如将多个密码恢复步骤中提出的问题放在一步中一起提出，就会相应地增加攻击者的难度从而提高安全性，除非继续去攻击另一个邮箱；对于用户来说，在另一个邮箱里收到发来的密

2、邮件发送：将密码发送到用户注册时登记的另一个邮箱里。对于攻击者来说，忙了半天，仍然是一无所获，除非继续去攻击另一个邮箱；对于用户来说，在另一个邮箱里收到发来的密码则是一个警告，说明有攻击者猜测到了他的邮箱密码提示问题，迫使用户尽快改变自己的密码提示问题。

不过，如果用户注册时登记的不是一个正确的邮箱，或者该邮箱已经失效，那么，这样不仅是攻击者，就是用户本人也永远得不到密码了。有些WebMail系统在注册时要求用户登记正确的邮件地址，并把邮箱开通的验证信息发往该邮件地址，不过这样仍然不能避免用户在邮箱失效后不能恢复自己邮箱密码的情况发生。

3、密码重设：让用户重新设置一个密码。这种方式相比“页面返回”方式，在攻击者重设密码后，用户因为不能正常登录进自己的邮箱而能察觉出受到攻击，安全性相对好一些；但是相比“邮件发送”方式，因为攻击者能立即修改邮箱密码，少了一层保障，安全性又差一些。

由“页面返回”或“邮件发送”回来的密码可以明显看出，该电子邮件系统是把邮箱帐户的密码未经加密直接以明文保存在数据库或LDAP服务器中。这样就造成很大的安全隐患，WebMail系统管理员或侵入数据库的攻击者能轻易获取用户的邮箱密码，用户却完全不知情，所以为了加大保密性，有必要将邮箱密码加密后再以密文存入数据库，最好用不可逆的单向加密算法，如md5等。

邮箱密码恢复机制是否安全，主要还是看WebMail系统提出什么样的问题、采取什么样的问答方式，例如将多个密码恢复步骤中提出的问题放在一步中一起提出，就会相应地增加攻击者的难度从而提高安全性，像搜狐邮件、新浪邮件和yahoo电邮等都是一些令人失望的例子。