it-swarm-eu.dev

È possibile accedere al mio account e-mail senza la password? Quanto è sicuro?

È possibile accedere al mio account e-mail senza la password e quanto è sicura l'e-mail se conservo i miei documenti personali?

E come mai Yahoo Mail mi chiede di dire loro i nomi dei miei amici e cartelle per restituirmi dopo essere stato rubato?

11
rezx
  • In genere, il tuo provider di posta elettronica (Yahoo, ad esempio) può leggere tutto nella tua email senza conoscere la tua password.
  • E, come richiesto dalla legge e potenzialmente in altre circostanze, forniranno copie alle forze dell'ordine e al governo.
  • È anche possibile che un utente malintenzionato possa compromettere i server di Yahoo e accedere alla tua email in questo modo.
  • E un utente malintenzionato potrebbe essere in grado di ottenere la password in vari modi, nel qual caso l'utente malintenzionato può ottenere l'accesso alla posta elettronica. In alternativa, un utente malintenzionato potrebbe essere in grado di indovinare le risposte alle tue domande di sicurezza, il che è anche sufficiente affinché l'utente malintenzionato possa accedere al tuo account di posta elettronica.
  • Infine, è importante ricordare che le e-mail non sono solo documenti sul tuo server e-mail; sono anche sul server di posta elettronica della persona che ti ha inviato, e forse memorizzato nella cache del tuo client, e forse del loro client, con backup in vari luoghi e viaggiano attraverso la rete. Molte copie significano molti luoghi in cui un attaccante può ottenere una copia. (La tua domanda suggerisce che potresti semplicemente archiviare i documenti tramite e-mail senza inviarli, nel qual caso si tratta di un problema minore.)

Ora, tutto ciò sembra molto spaventoso, ma è importante per la sicurezza capire il livello di rischio e qual è la tua propensione al rischio. Niente è sicuro al 100%, quindi devi chiederti: - Quanto sono preziosi questi dati per me? Cosa mi costerà in caso di violazione? - Che tipo di attaccante potrebbe provare a prenderlo? Quali risorse e capacità hanno?

Se i dati non sono molto preziosi e chiunque probabilmente li desideri non è molto capace, non è necessaria molta sicurezza.

Non sono sicuro che sia molto pratico, quindi ecco alcuni semplici suggerimenti che ti aiuteranno a migliorare la sicurezza della tua email memorizzata:

  • Scegli una buona password - non in un dizionario, non un nome o una data, il più a lungo possibile, con una combinazione di lettere minuscole, maiuscole, simboli.
  • Non usare la stessa password altrove; non scriverlo o dirlo a nessuno e usa qualcosa di casuale che non è collegato a te.
  • Fai attenzione alle tue risposte alle domande di sicurezza, per assicurarti che nessuno sia in grado di indovinarle. Se sembra che qualcuno potrebbe essere in grado di indovinare una delle risposte a una delle tue domande di sicurezza, potresti considerare di mentire (scegli una risposta casuale che non sarà indovinabile) e scriverla da qualche parte nel caso in cui ne abbia mai bisogno.
  • Prendi in considerazione la crittografia dei documenti (con una password diversa da quella utilizzata per la tua e-mail). Ci sono molti buoni strumenti per questo: mi piace http://www.sophos.com/en-us/products/free-tools/sophos-free-encryption.aspx . Non fare affidamento su password integrate in Word o WinZip, utilizzare uno strumento di crittografia dedicato.
28
Graham Hill

Normalmente non è possibile accedere al proprio account senza password poiché è il sistema più utilizzato per l'autenticazione degli utenti. Ma i provider di posta elettronica tendono ad aggiungere un modo per recuperare l'accesso a un account che può portare a prendere il controllo senza la password: la "domanda di sicurezza".

Questo è un peccato in termini di sicurezza. Supponiamo di aver definito il nome da nubile di tua madre come domanda di sicurezza. Tutto quello che devo fare è trovare il tuo account Facebook (con un po 'di fortuna, lascerai tutti i dettagli disponibili al pubblico), scoprire se tua madre è tra i tuoi amici e ottenere informazioni su di lei, incluso il suo cognome da nubile e [~ # ~] boom [~ # ~] , ho accesso al tuo account e-mail. Ciò è già stato dimostrato, anche per celebrità come Sarah Palin e sarà ancora possibile fintanto che sussisteranno domande intrinsecamente insicure.

Per proteggerti hai due possibilità:

  1. Inserisci un valore casuale per la risposta sapendo che non sarai mai in grado di recuperare il tuo account usando questo metodo, ma neanche un attaccante può farlo.
  2. Crea la tua domanda/risposta e rendi abbastanza difficile non essere trovato sul web.

Gmail suggerisce anche un'alternativa migliore per accedere al tuo account chiamata autenticazione a due fattori . In questo modo l'accesso richiede sia la tua password che un codice fornito da SMS (o l'app Google Authenticator sul tuo telefono). L'abilitazione ti garantisce un ulteriore livello di sicurezza per il tuo account.

4
Cyril N.

No, non è possibile (a meno che tu non sia una di quelle persone che usano la stessa password per ogni singolo account che possiedi). Sarà facile come accedere al tuo account.

Yahoo ti chiederà queste informazioni per assicurarti di essere chi fingi di essere.

Questo non dovrebbe essere ovvio:

  • chiunque in Yahoo può accedere al tuo account
  • assicurati di essere davvero su Yahoo (verifica il certificato SSL)
  • Le tue domande di sicurezza dovrebbero essere così personali che nessuno sarebbe mai in grado di scoprire cosa significano

Assicurati:

  • La tua macchina è sicura
  • Il certificato SSL di Yahoo non è stato falsificato
  • Non ci sono vulnerabilità nel tuo computer o nei server di Yahoo
  • Non ci sono attacchi MITM (ad esempio, qualcuno ha ottenuto la chiave privata per il certificato Yahoo Yahoo, ha ottenuto l'accesso a un router e può quindi leggere le tue e-mail quando legge il flusso)
  • Non ci sono impiegati disonesti in Yahoo
  • Hai una password molto sicura di almeno 16 caratteri contenente lettere minuscole e maiuscole e numeri aggiuntivi. Per una maggiore resistenza aggiungere segni.
3
Lucas Kauffman

Solo per sottolineare ciò che non è già stato menzionato, la password potrebbe essere trapelata

  • Se sul tuo computer fosse presente un keylogger, la password verrebbe infine registrata.
  • Se la stessa password è stata inserita in un sito meno sicuro che è stato violato (@Lucas ha toccato questo)
    (potrebbe essere un addetto ai lavori che utilizza la tua password, non necessariamente un hacker)
  • O un sito simile che aveva il controllo di un hacker. Per impedire la visita di sosia, vai sempre al sito Web utilizzando un segnalibro, per assicurarti di essere sulla cosa reale. Puoi ovviamente guardare il nome di dominio, che di solito è un colore più scuro rispetto al resto dell'URL. Assicurati che ogni lettera corrisponda (ad esempio, mail.google.com non è uguale a mail.googole.com, o mail.google.com.checkinbox123.example.com, dato che ci sono molti errori di battitura, è molto più facile usare un segnalibro), l'idea non è quella di essere ingannati da un link in un'e-mail che qualcuno ti ha inviato o da qualche altro sito web.

    Esempio di pagina simile , lo metto insieme in meno di 15 minuti, con qualche ora in più, potrei avere l'invio di password un server sotto il mio controllo e potresti non rendertene conto.

  • Se stai utilizzando un Outlook o un altro client di posta che scarica i messaggi sul tuo computer, ovviamente i messaggi vengono copiati sul tuo computer e la password potrebbe non essere necessaria.

E come mai yahoo mail mi chiede di dire loro i nomi dei miei amici e cartelle per restituirmi dopo il furto?

Ti preghiamo di collegarti a dove vedi questo, suppongo che sia parte di un processo di recupero manuale e se non riesci a rispondere a queste domande, possono respingere la tua richiesta. Ma potrebbero esserci più regole, non lo so.

3
Bryan Field

Penso che Lucas Kauffman abbia fatto un punto molto importante nella sua risposta: "Assicurati che la tua macchina sia sicura".

Mi piacerebbe approfondire un po 'questo, perché è un problema critico che le persone tendono a trascurare.

Un esempio di uno scenario insicuro (e abbastanza comune) è che gli amministratori di dominio in un ambiente aziendale hanno accesso alle risorse informatiche dei dipendenti. In questo scenario, qualcuno potrebbe rubare i cookie del browser (che in genere sono memorizzati sul disco rigido in testo normale) e, a condizione che tu abbia effettuato l'accesso su alcuni siti Web, può sostanzialmente rubare le tue sessioni.

Pertanto, nel caso di e-mail web come Yahoo, qualcuno potrebbe essere in grado di accedere al tuo account per leggere e persino inviare e-mail, senza conoscere la tua password.

0
Cristian Lupascu

L'integrità della tua sicurezza e-mail è limitata da qualsiasi link più debole. Ciò include tutte le altre risposte oltre a qualsiasi accesso fisico ai duplicati con metodi di estrazione delle chiavi per le password.

Quindi ottenere un controllo di sicurezza da parte dei professionisti se ne vale la pena.

( CounterPane Internet Security era uno di questi gruppi professionali ora di proprietà di BT Group )