it-swarm-eu.dev

Lze k e-mailovému účtu přistupovat bez hesla? Jak je to bezpečné?

Lze k mému e-mailovému účtu přistupovat bez hesla a jak bezpečný je e-mail, pokud na něm ukládám své osobní dokumenty?

A jak to, že Yahoo Mail žádá, abych jim řekl jména mých přátel a složek, aby mi je po ukradení vrátil zpět?

11
rezx
  • Váš poskytovatel e-mailu (například Yahoo) obvykle dokáže číst vše ve vašem e-mailu, aniž by znal vaše heslo.
  • A budou, jak vyžaduje zákon a případně za jiných okolností, poskytovat kopie vymáhání práva a vládě.
  • Je také možné, že by útočník mohl ohrozit servery Yahoo a takto přistupovat k vaší e-mailu.
  • Útočník by mohl být schopen získat vaše heslo různými způsoby. V takovém případě může útočník získat přístup k vašemu e-mailu. Útočník by také mohl uhádnout odpovědi na vaše bezpečnostní otázky, což je také dostačující pro to, aby útočník získal přístup k vašemu e-mailovému účtu.
  • Nakonec je důležité zmínit, že e-maily nejsou pouze dokumenty na vašem e-mailovém serveru; jsou také na e-mailovém serveru osoby, která vám ji poslala, a možná uložena do mezipaměti na vašem klientovi a možná na jejich klientovi a zálohována na různých místech a cestují po síti. Spousta kopií znamená mnoho míst, kde útočník může kopii chytit. (Vaše otázka naznačuje, že dokumenty můžete ukládat pouze e-mailem, aniž byste je odesílali. V tom případě se nejedná o problém.)

Teď to všechno zní velmi děsivě, ale v zabezpečení je důležité porozumět úrovni rizika a jaké jsou vaše chuť k jídlu. Nic není 100% bezpečné - takže se musíte zeptat sami sebe: - Jak hodnotná jsou tato data pro mě? Co mě to bude stát, pokud dojde k porušení? - Jaký útočník by to mohl zkusit? Jaké zdroje a schopnosti mají?

Pokud data nejsou příliš cenná a kdokoli, kdo je pravděpodobně bude chtít, není příliš schopný, pak nepotřebujete mnoho zabezpečení.

Nejsem si jistý, zda je to velmi praktické, takže zde uvádíme několik jednoduchých tipů, které vám pomohou zlepšit zabezpečení uloženého e-mailu:

  • Vyberte si dobré heslo - nikoli ve slovníku, ani ve jménu ani v datu, pokud je to možné, se směsí malých a velkých písmen, symbolů.
  • Stejné heslo nepoužívejte nikde jinde; nepište si to ani nikomu neříkejte a používejte něco náhodného, ​​co s vámi není spojeno.
  • Dávejte pozor na své odpovědi na bezpečnostní otázky, abyste se ujistili, že je nikdo nebude moci uhodnout. Pokud to vypadá, že by někdo mohl uhodnout jednu z odpovědí na jednu z vašich bezpečnostních otázek, můžete zvážit lhaní (vyberte náhodnou odpověď, která bude nezvladatelná), a zapište si ji někde pro případ, že byste ji někdy potřebovali.
  • Zvažte šifrování dokumentů (s jiným heslem, jaké se používá pro váš e-mail). Existuje pro to spousta dobrých nástrojů: Líbí se mi http://www.sophos.com/en-us/products/free-tools/sophos-free-encryption.aspx . Nespoléhejte se na zabudovaná hesla v aplikaci Word nebo WinZip, použijte speciální šifrovací nástroj.
28
Graham Hill

Obvykle není možné přistupovat k vašemu účtu bez hesla, protože se jedná o nejpoužívanější systém pro ověřování uživatelů. Poskytovatelé e-mailů však mají tendenci přidávat způsob, jak obnovit přístup k účtu, který může vést k převzetí kontroly bez hesla: „bezpečnostní otázka“.

To je ostuda z hlediska bezpečnosti. Předpokládejme, že jste definovali své rodné příjmení matky jako bezpečnostní otázku. Jediné, co musím udělat, je najít svůj účet na Facebooku (s trochou štěstí necháte všechny podrobnosti k dispozici veřejnosti), zjistit, zda je vaše matka u vašich přátel, a získat informace o ní, včetně jejího rodného jména a [~ # ~] boom [~ # ~] , mám přístup k vašemu e-mailovému účtu. To již bylo prokázáno, a to i pro celebrity jako Sarah Palin a stále to bude možné, dokud takové neodmyslitelně nezajištěné otázky budou existovat.

Pro ochranu proti tomu máte dvě možnosti:

  1. Do odpovědi zadejte náhodnou hodnotu s vědomím, že pomocí této metody již nikdy nebudete moci obnovit svůj účet, ale útočník také nemůže.
  2. Vytvořte si vlastní otázku/odpověď a ztěžte to, aby se na webu nenašlo.

Gmail také navrhuje lepší alternativu přístupu k vašemu účtu s názvem dvoufaktorové ověření . Tímto způsobem přihlášení vyžaduje jak heslo, tak kód, který vám byl dán SMS (nebo aplikace Google Authenticator ve vašem telefonu)).

4
Cyril N.

Ne, to není možné (pokud nejste jedním z těch lidí, kteří používají stejné heslo pro každý účet, který vlastníte). Přístup k vašemu účtu bude stejně bezpečný a snadný.

Yahoo požádá o tyto informace, aby se ujistil, že jste tím, kým předstíráte, že jste.

Pokud by to nebylo zřejmé:

  • k vašemu účtu má přístup kdokoli na Yahoo
  • ujistěte se, že skutečně používáte Yahoo (ověřte certifikát SSL)
  • Vaše bezpečnostní otázky by měly být tak osobní, že by nikdo nikdy nebyl schopen zjistit, co znamenají

Buď si jist:

  • Váš stroj je v bezpečí
  • SSL certifikát Yahoo nebyl spoofed
  • Ve vašem počítači ani na serverech Yahoo nejsou žádné chyby zabezpečení
  • Neexistují žádné MITM útoky (například někdo získal soukromý klíč k certifikátu Yahoo SSL, získal přístup k routeru a může si tak číst vaše e-maily když čte stream)
  • Na Yahoo nejsou žádní nepoctiví zaměstnanci
  • Máte velmi bezpečné heslo dlouhé nejméně 16 znaků, které obsahuje malá a velká písmena a navíc čísla. Pro větší sílu přidejte známky.
3
Lucas Kauffman

Pro zdůraznění toho, co již nebylo uvedeno, by mohlo dojít k úniku hesla

  • Pokud by na vašem stroji existoval keylogger, heslo by se nakonec zaznamenalo.
  • Pokud bylo stejné heslo zadáno na méně zabezpečeném webu, který byl napaden hackerem (@Lucas se toho dotkl)
    (může to být zasvěcenec, který používá vaše heslo, ne nutně hacker)
  • Nebo podobná stránka, která měla hackera pod kontrolou. Chcete-li zabránit návštěvě podobného vzhledu, vždy přejděte na web pomocí záložky, abyste se ujistili, že máte pravdu. Můžete se samozřejmě podívat na název domény, která je obvykle tmavší než zbývající část adresy URL. Ujistěte se, že se každé písmeno shoduje (například mail.google.com není stejné jako mail.googole.com nebo mail.google.com.checkinbox123.example.com, protože existuje spousta komplikovaných překlepů, je mnohem jednodušší použít záložku), myšlenkou není, aby se nechal oklamat podobným odkazem v e-mailu, který vám někdo poslal, nebo na jiném webu.

    Příklad podobná stránka , dal jsem to dohromady za méně než 15 minut, s několika hodinami, mohl bych si nechat poslat hesla server pod mou kontrolou, a možná si to neuvědomujete.

  • Pokud používáte Outlook nebo jiný poštovní klient, který stahuje zprávy do svého počítače, pak se zprávy samozřejmě zkopírují do vašeho počítače a heslo nemusí být nutné.

A jak to, že yahoo mail mě žádá, abych jim řekl jména mých přátel a složek, aby mi je po ukradení vrátil?

Odkaz na místo, kde to vidíte, bych předpokládal, že je to součást procesu ručního obnovení, a pokud nemůžete na tyto otázky odpovědět, mohou vaši žádost vyhodit. Ale možná existuje více pravidel, nevím.

3
Bryan Field

Myslím, že Lucas Kauffman ve své odpovědi uvedl velmi důležitý bod: „Ujistěte se, že je váš stroj v bezpečí“.

Chtěl bych o tom trochu rozšířit, protože to je kritický problém, který lidé mají tendenci přehlížet.

Jedním příkladem nejistého scénáře (a celkem běžného) je, že správci domén v podnikovém prostředí mají přístup k počítačovým prostředkům zaměstnanců. V tomto scénáři může někdo ukrást vaše soubory cookie prohlížeče (které jsou obvykle uloženy na pevném disku v prostém textu) a pokud jste přihlášeni na některých webových stránkách, mohou vaše relace v podstatě ukrást.

V případě webových e-mailů, jako je Yahoo, by tedy někdo mohl mít přístup k vašemu účtu a číst a dokonce posílat e-maily, aniž by znal vaše heslo.

0
Cristian Lupascu

Integrita zabezpečení e-mailu je omezena jakýmkoli nejslabším odkazem. To zahrnuje všechny další odpovědi plus jakýkoli fyzický přístup k duplikátům s metodami extrakce klíčů pro hesla.

Pokud tedy obsah stojí za to, získejte bezpečnostní audit od profesionálů.

( CounterPane Internet Security byla jednou takovou profesní skupinou, kterou nyní vlastní BT Group )