Блог

Доставчиците на имейл могат да направят повече, за да защитят своите потребители. Ето как

спам от старата школа



Имейлът е една от най-чувствителните части на нашата онлайн идентичност. Всички наши акаунти – Amazon, PayPal, Facebook и т.н. – са свързани с нашия имейл адрес. Това прави имейла основна цел за хакери. Попитахме Матиас Пфау, основател на сигурността поща услуга Tutanota, какво трябва да направят доставчиците на имейл и потребителите, за да защитят своите имейл акаунти. Според него може би е време да изоставим Gmail и Yahoo.

Q:Имейлът е един от най-важните онлайн инструменти. Всеки има имейл акаунт и повечето от нас имат някаква информация, съхранена в имейлите ни, която не искаме другите да виждат. Как е възможно да се осъществят масивни хакове за пароли като хакването на Yahoo?



A:Основният проблем са доставчиците на електронна поща. Много доставчици не защитават паролите на своите потребители толкова добре, колкото би трябвало. Хакването на Yahoo за съжаление е много добър пример. През 2013 и 2014 г. злонамерените нападатели получиха достъп до 3 милиарда пароли на Yahoo и компанията дори не предупреди потребителите си .

Ето защо имейл услугите, фокусирани върху сигурността, като Tutanota, набират скорост . Разбираме, че ние като разработчици трябва да сме сигурни, че хакването на пароли е невъзможно. Услугите за електронна поща никога не трябва да имат достъп до паролите на своите потребители. Причината е проста: ако нямаме достъп до паролата, злонамерените нападатели не могат да я откраднат от нас. С правилната настройка на сигурността не е необходимо действително да съхранявате обикновената парола на сървъра, за да влизате на хората в техните пощенски кутии. Достатъчно е да съхраните хеш - част от кода, който отключва правилната пощенска кутия - който не може да бъде изчислен обратно в паролата. Всеки, който открадне хаша, ще остане с празни ръце. Повечето имейл услуги също позволяват на своите потребители да се регистрират със слаби пароли, които лесно могат да бъдат разбити с атаки с груба сила. Обикновеният потребител не иска да мисли за сигурността и как да я постигне. Услугата за електронна поща трябва да се погрижи за това вместо тях и това е, което ние от Tutanota вече правим.



Q:В Tutanota вие не само нямате достъп до паролите на потребителите, но и до съдържанието на пощенските кутии на потребителите. Всички данни са криптирани. Защо смятате, че е важно да шифровате всички имейли?

A:Защитата на имейлите е нарушена по същество. Благодарение на отворения дизайн на имейла, той е изключително успешен. Всеки може да изпраща имейл на всеки, независимо къде се хостват имейлите. Това е много лесен инструмент за контакт с всеки по света. Отвореният дизайн обаче прави практически невъзможно адекватното осигуряване на имейли.

Като основа всички имейли трябва да бъдат защитени с SSL криптиране. Всяка имейл услуга трябва да има много добри SSL оценки, например на SSLLabs или на securityheaders.io . Без SSL всеки може да копира и чете всички ваши имейли. Не само Тайните служби, но всеки злонамерен нападател, който може да копира целия имейл трафик на дадено лице. След това сканират данните за думи като „кредитна карта“. Наистина е толкова лесно.

За адекватна сигурност на имейлите обаче се нуждаем от криптиране от край до край, тъй като SSL криптирането изгражда само тунел, през който се изпращат имейлите. За съжаление стандартите за криптиране като PGP или S/MIME са твърде сложни за мнозина, така че никога не са станали много популярни. Ето защо ние от Tutanota решихме да възстановим имейла от нулата, включително автоматично криптиране от край до край. С вграденото криптиране на Tutanota можете да сте абсолютно сигурни, че никой освен целевия получател не може да чете вашите имейли. Само вие и получателят имате достъп до ключа за отваряне на имейла. Основните доставчици на имейл като Gmail и Yahoo нямат автоматично криптиране от край до край.

Q:По принцип това, което казвате, е, че имейл услугите трябва да защитават имейл акаунтите на своите потребители много по-добре, отколкото повечето от тях. Въпреки това, когато излязат новини за хакване на пароли, на потребителите се казва, че трябва правилно да защитят своите акаунти. Няма ли нищо, което потребителят може да направи?

A:Всъщност има много. Но това, което исках да отбележа, е, че това е и наша отговорност като разработчици. Трябва да изградим имейл услуга, която може да бъде използвана и защитена лесно – услуга, която осигурява сигурността на потребителя.

Когато това стане, има няколко лесни стъпки, които потребителите могат и трябва да предприемат, за да защитят своите онлайн акаунти:

  1. Създавайте силни пароли . Не се регистрирайте с пароли като „123456“. “123456” е най-често използваната парола в момента . Това трябва да спре, защото хората дори не се нуждаят от груба сила, за да разберат такава парола. Всеки може да го познае – вашият съсед, вашият работодател – и след това да прочете всичките ви имейли.
  2. Активирайте 2FA. Най-добрият вариант за двуфакторно удостоверяване е U2F, което е физическо устройство, необходимо за влизане във вашия акаунт. Двуфакторна автентификация защитава вашия имейл акаунт дори в подобен на Yahoo сценарий, при който нападателите крадат паролите на всички потребители.
  3. Бъдете внимателни, когато използвате обществен компютър. Винаги излизайте и никога не съхранявайте данните си за вход в браузъра.
  4. Защитете своя имейл адрес. Не публикувайте своя имейл адрес в коментари в блогове или в социални медии.
  5. Използвайте псевдоними. Имейл адресите с псевдоними са много удобни, ако искате да запазите основния си имейл адрес скрит. Използвайте псевдоними, за да се регистрирате за бюлетини и т.н. Ако този имейл адрес е злоупотребяван от спамъри, можете лесно да го изтриете, без да се налага да сменяте основния си имейл адрес.
  6. Пазете се от фишинг. През повечето време фишинг имейлите са лесни за забелязване . Те винаги ви молят да щракнете върху връзка и да въведете данните си за вход. Никога не правете това.
  7. Използвайте криптиране. Шифровайте съобщения, съдържащи поверителна информация, преди да ги изпратите.
  8. Изберете правилната услуга. Всичките седем стъпки, споменати тук, са безполезни, ако вашият имейл доставчик не гарантира, че вашият имейл акаунт е настроен по сигурен начин. Пристрастен съм към този, но препоръчвам Тутанота .

СПАМ от старата школа ” от GM, лицензиран под CC BY 2.0

^