it-swarm-vi.com

Tài khoản email của tôi có thể được truy cập mà không cần mật khẩu? Làm thế nào an toàn là nó?

Tài khoản email của tôi có thể được truy cập mà không cần mật khẩu không và email có an toàn không nếu tôi lưu trữ tài liệu cá nhân của mình trên đó?

Và tại sao Yahoo Mail yêu cầu tôi nói cho họ biết tên bạn bè và thư mục của mình để trả lại cho tôi sau khi bị đánh cắp?

11
rezx
  • Thông thường, nhà cung cấp email của bạn (ví dụ Yahoo) có thể đọc mọi thứ trong email của bạn mà không cần biết mật khẩu của bạn.
  • Và họ sẽ, theo yêu cầu của pháp luật và có khả năng trong các trường hợp khác, sẽ cung cấp các bản sao cho Cơ quan Thực thi Pháp luật và Chính phủ.
  • Cũng có khả năng kẻ tấn công có thể xâm phạm máy chủ của Yahoo và truy cập email của bạn theo cách đó.
  • Và kẻ tấn công có thể có thể lấy mật khẩu của bạn theo nhiều cách khác nhau, trong trường hợp đó, kẻ tấn công có thể truy cập vào email của bạn. Hoặc, kẻ tấn công có thể đoán được câu trả lời cho các câu hỏi bảo mật của bạn, điều này cũng đủ để kẻ tấn công có quyền truy cập vào tài khoản email của bạn.
  • Cuối cùng, điều quan trọng là phải đề cập rằng email không chỉ là tài liệu trên máy chủ email của bạn; họ cũng ở trên máy chủ email của người đã gửi nó cho bạn và có thể lưu vào bộ nhớ cache của khách hàng của bạn và có thể trên máy khách của họ và sao lưu ở nhiều nơi khác nhau và họ đi qua mạng. Rất nhiều bản sao có nghĩa là rất nhiều nơi mà kẻ tấn công có thể nắm giữ một bản sao. (Câu hỏi của bạn gợi ý rằng bạn có thể chỉ lưu trữ tài liệu trong email mà không gửi chúng, trong trường hợp này đây không phải là vấn đề.)

Bây giờ, tất cả điều này nghe có vẻ rất đáng sợ, nhưng điều quan trọng trong bảo mật là phải hiểu mức độ rủi ro và khẩu vị rủi ro của bạn là gì. Không có gì là an toàn 100% - vì vậy bạn phải tự hỏi: - Dữ liệu này có giá trị như thế nào đối với tôi? Điều gì sẽ khiến tôi phải trả giá nếu có vi phạm? - Loại tấn công nào có thể thử và có được nó? Họ có những nguồn lực và khả năng gì?

Nếu dữ liệu không có giá trị cao và bất kỳ ai có khả năng muốn nó không có khả năng thì bạn không cần bảo mật nhiều.

Tôi không chắc điều này rất thiết thực, vì vậy đây là một số mẹo đơn giản sẽ giúp bạn cải thiện tính bảo mật của email được lưu trữ của bạn:

  • Chọn một mật khẩu tốt - không phải trong từ điển, không phải tên hoặc ngày, càng lâu càng tốt, với một hỗn hợp chữ thường, chữ hoa, ký hiệu.
  • Đừng sử dụng cùng một mật khẩu ở bất kỳ nơi nào khác; không viết nó ra hoặc nói với bất cứ ai, và sử dụng một cái gì đó ngẫu nhiên không kết nối với bạn.
  • Hãy cẩn thận về câu trả lời của bạn cho các câu hỏi bảo mật, để đảm bảo rằng không ai có thể đoán chúng. Nếu có vẻ như ai đó có thể đoán được một trong những câu trả lời cho một trong những câu hỏi bảo mật của bạn, bạn có thể cân nhắc nói dối (chọn một câu trả lời ngẫu nhiên sẽ không thể đoán được) và viết nó xuống một nơi nào đó trong trường hợp bạn cần.
  • Xem xét mã hóa các tài liệu (với một mật khẩu khác với mật khẩu được sử dụng cho email của bạn). Có rất nhiều công cụ tốt cho việc này: Tôi thích http://www.sophos.com/en-us/products/free-tools/sophos-free-encoding.aspx . Đừng dựa vào mật khẩu tích hợp trong Word hoặc WinZip, hãy sử dụng công cụ mã hóa chuyên dụng.
28
Graham Hill

Thông thường không thể truy cập tài khoản của bạn mà không có mật khẩu của bạn vì đây là hệ thống được sử dụng nhiều nhất để xác thực người dùng. Nhưng các nhà cung cấp email có xu hướng thêm một cách để khôi phục quyền truy cập vào tài khoản có thể dẫn đến kiểm soát mà không cần mật khẩu: "Câu hỏi bảo mật".

Đây là một sự xấu hổ về bảo mật. Giả sử rằng bạn đã xác định tên thời con gái của mẹ bạn là câu hỏi bảo mật. Tất cả những gì tôi phải làm là tìm tài khoản Facebook của bạn (với một chút may mắn, bạn sẽ để lại tất cả các chi tiết có sẵn cho công chúng), tìm xem mẹ bạn có ở trong bạn bè của bạn không và nhận thông tin về cô ấy, bao gồm tên thời con gái của cô ấy và [~ # ~] boom [~ # ~] , tôi có quyền truy cập vào tài khoản email của bạn. Điều này đã được chứng minh, bao gồm cả những người nổi tiếng như Sarah Palin và nó vẫn có thể tồn tại miễn là những câu hỏi không an toàn vốn có như vậy tồn tại.

Để bảo vệ chống lại điều này, bạn có hai khả năng:

  1. Nhập một giá trị ngẫu nhiên cho câu trả lời biết rằng bạn sẽ không bao giờ có thể khôi phục tài khoản của mình bằng phương pháp này, nhưng kẻ tấn công cũng không thể.
  2. Tạo câu hỏi/câu trả lời của riêng bạn và làm cho nó đủ khó để không được tìm thấy trên web.

Gmail cũng đề xuất một giải pháp thay thế tốt hơn để truy cập vào tài khoản của bạn có tên xác thực hai yếu tố . Cách đăng nhập này yêu cầu cả mật khẩu và mã được cung cấp cho bạn bởi SMS (hoặc ứng dụng Google Authenticator trên điện thoại của bạn). Việc kích hoạt này đảm bảo cho bạn mức bảo mật bổ sung cho tài khoản của bạn.

4
Cyril N.

Không, điều đó là không thể (trừ khi bạn là một trong những người sử dụng cùng một mật khẩu cho mỗi tài khoản bạn sở hữu). Nó sẽ an toàn như dễ dàng truy cập vào tài khoản của bạn.

Yahoo sẽ hỏi thông tin này để đảm bảo bạn là người mà bạn giả vờ.

Nếu điều này không rõ ràng:

  • bất cứ ai tại Yahoo đều có thể truy cập vào tài khoản của bạn
  • đảm bảo bạn thực sự có mặt trên Yahoo (xác minh chứng chỉ SSL)
  • Các câu hỏi bảo mật của bạn phải thật cá nhân, không ai có thể tìm hiểu ý nghĩa của chúng

Hãy chắc chắn:

  • Máy của bạn an toàn
  • Chứng chỉ SSL của Yahoo chưa bị giả mạo
  • Không có bất kỳ lỗ hổng nào trong máy tính của bạn hoặc trong các máy chủ của Yahoo
  • Không có bất kỳ cuộc tấn công nào MITM khi anh ấy đọc dòng)
  • Không có bất kỳ nhân viên lừa đảo nào tại Yahoo
  • Bạn có mật khẩu rất an toàn dài tối thiểu 16 ký tự chứa các chữ cái viết thường và in thường và các số bổ sung. Để thêm sức mạnh thêm dấu hiệu.
3
Lucas Kauffman

Chỉ cần chỉ ra những gì chưa được đề cập, mật khẩu có thể bị rò rỉ

  • Nếu có một keylogger trên máy của bạn, thì mật khẩu cuối cùng sẽ được ghi lại.
  • Nếu cùng một mật khẩu được nhập vào một trang web kém an toàn hơn đã bị hack (@Lucas chạm vào điều này)
    [.__.] (Đó có thể là người trong cuộc sử dụng mật khẩu của bạn, không nhất thiết phải là tin tặc)
  • Hoặc một trang web trông giống như kiểm soát của tin tặc. Để tránh truy cập vào giao diện, hãy luôn truy cập trang web bằng dấu trang để đảm bảo bạn đang ở trên trang thật. Tất nhiên bạn có thể nhìn vào tên miền, thường có màu đậm hơn phần còn lại của URL. Đảm bảo rằng mọi chữ cái khớp với nhau (ví dụ: mail.google.com không giống như mail.googole.com, hoặc là mail.google.com.checkinbox123.example.com, vì có rất nhiều lỗi chính tả, việc sử dụng dấu trang sẽ dễ dàng hơn nhiều), ý tưởng là không bị lừa bởi một liên kết trong một email mà ai đó đã gửi cho bạn hoặc một số trang web khác.

    Ví dụ trang Nhìn giống nha , tôi kết hợp nó trong vòng chưa đầy 15 phút, với một vài giờ nữa, tôi có thể yêu cầu nó gửi mật khẩu một máy chủ trong tầm kiểm soát của mình và bạn có thể không nhận ra.

  • Nếu bạn đang sử dụng Outlook hoặc ứng dụng thư khách khác tải thư xuống máy tính của bạn, thì dĩ nhiên các thư được sao chép vào máy tính của bạn và mật khẩu có thể không cần thiết.

Và tại sao yahoo mail yêu cầu tôi nói cho họ biết tên bạn bè và thư mục của mình để trả lại cho tôi sau khi bị đánh cắp?

Vui lòng liên kết đến nơi bạn thấy điều này, tôi cho rằng đó là một phần của quy trình khôi phục thủ công và nếu bạn không thể trả lời những câu hỏi này, họ có thể loại bỏ yêu cầu của bạn. Nhưng có thể có nhiều quy tắc hơn, tôi không biết.

3
Bryan Field

Tôi nghĩ Lucas Kauffman đã đưa ra một điểm rất quan trọng trong câu trả lời của mình: "Hãy chắc chắn rằng máy của bạn an toàn".

Tôi muốn mở rộng một chút về vấn đề này, bởi vì đây là vấn đề quan trọng mà mọi người có xu hướng bỏ qua.

Một ví dụ về kịch bản không an toàn (và khá phổ biến) là các quản trị viên tên miền trong môi trường doanh nghiệp có quyền truy cập vào tài nguyên máy tính của nhân viên. Trong trường hợp này, ai đó có thể đánh cắp cookie trình duyệt của bạn (thường được lưu trữ trên ổ cứng ở dạng văn bản thuần túy) và, miễn là bạn đăng nhập vào một số trang web, về cơ bản có thể đánh cắp các phiên của bạn.

Do đó, trong trường hợp email web như Yahoo, ai đó có thể truy cập tài khoản của bạn để đọc và thậm chí gửi email mà không cần biết mật khẩu của bạn.

0
Cristian Lupascu

Tính toàn vẹn của bảo mật email của bạn bị giới hạn bởi bất kỳ liên kết yếu nhất. Điều đó bao gồm tất cả các câu trả lời khác cộng với bất kỳ quyền truy cập vật lý nào vào bất kỳ bản sao nào với các phương thức trích xuất chính cho mật khẩu.

Vì vậy, có được một kiểm toán bảo mật bởi các chuyên gia nếu nội dung là giá trị nó.

( CounterPane Internet Security là một nhóm chuyên nghiệp như vậy hiện thuộc sở hữu của BT Group )