it-swarm-id.com

Bisakah akun email saya diakses tanpa kata sandi? Seberapa amankah itu?

Bisakah akun email saya diakses tanpa kata sandi, dan seberapa aman email itu jika saya menyimpan dokumen pribadi saya di atasnya?

Dan kenapa Yahoo Mail meminta saya untuk memberi tahu mereka nama teman dan folder saya untuk mengembalikannya kepada saya setelah dicuri?

11
rezx
  • Biasanya, penyedia email Anda (Yahoo, misalnya) dapat membaca semua yang ada di email Anda tanpa mengetahui kata sandi Anda.
  • Dan mereka akan, sebagaimana disyaratkan oleh hukum dan berpotensi dalam keadaan lain, memberikan salinan kepada Penegakan Hukum dan Pemerintah.
  • Mungkin juga penyerang dapat membahayakan server Yahoo dan mengakses email Anda dengan cara itu.
  • Dan penyerang mungkin bisa mendapatkan kata sandi Anda dengan berbagai cara, dalam hal ini penyerang dapat memperoleh akses ke email Anda. Atau, penyerang mungkin bisa menebak jawaban atas pertanyaan keamanan Anda, yang juga cukup bagi penyerang untuk mendapatkan akses ke akun email Anda.
  • Terakhir, penting untuk menyebutkan bahwa email bukan hanya dokumen di server email Anda; mereka juga ada di server email orang yang mengirimkannya kepada Anda, dan mungkin di-cache pada klien Anda, dan mungkin pada klien mereka, dan dicadangkan di berbagai tempat, dan mereka melakukan perjalanan melalui jaringan. Banyak salinan berarti banyak tempat di mana penyerang dapat memperoleh salinan. (Pertanyaan Anda mengisyaratkan bahwa Anda mungkin hanya menyimpan dokumen dalam email tanpa mengirimnya, sehingga masalah ini tidak terlalu menjadi masalah.)

Sekarang, semua ini terdengar sangat menakutkan, tetapi penting bagi keamanan untuk memahami tingkat risiko dan apa selera risiko Anda. Tidak ada yang 100% aman - jadi Anda harus bertanya pada diri sendiri: - Seberapa berharganya data ini bagi saya? Berapa biayanya bagi saya jika ada pelanggaran? - Penyerang macam apa yang mungkin mencoba dan mendapatkannya? Sumber daya dan kemampuan apa yang mereka miliki?

Jika data tidak terlalu berharga, dan siapa pun yang mungkin menginginkannya tidak sangat mampu, maka Anda tidak perlu banyak keamanan.

Saya tidak yakin ini sangat praktis, jadi inilah beberapa tips sederhana yang akan membantu Anda meningkatkan keamanan email yang disimpan:

  • Pilih kata sandi yang baik - bukan dalam kamus, bukan nama atau tanggal, selama mungkin, dengan campuran huruf kecil, huruf besar, simbol.
  • Jangan gunakan kata sandi yang sama di tempat lain; jangan menuliskannya atau memberi tahu siapa pun, dan gunakan sesuatu yang acak yang tidak terhubung dengan Anda.
  • Berhati-hatilah dengan jawaban Anda atas pertanyaan keamanan, untuk memastikan tidak ada yang bisa menebaknya. Jika sepertinya seseorang mungkin dapat menebak salah satu jawaban untuk salah satu pertanyaan keamanan Anda, Anda dapat mempertimbangkan berbohong (pilih jawaban acak yang tidak akan dapat dilewati), dan tuliskan di suatu tempat jika Anda membutuhkannya.
  • Pertimbangkan untuk mengenkripsi dokumen (dengan kata sandi yang berbeda dengan yang digunakan untuk email Anda). Ada banyak alat yang bagus untuk ini: Saya suka http://www.sophos.com/en-us/products/free-tools/sophos-free-encryption.aspx . Jangan mengandalkan kata sandi bawaan di Word atau WinZip, gunakan alat enkripsi khusus.
28
Graham Hill

Biasanya Anda tidak dapat mengakses akun tanpa kata sandi karena ini adalah sistem yang paling banyak digunakan untuk mengautentikasi pengguna. Tetapi penyedia email cenderung menambahkan cara untuk memulihkan akses ke akun yang dapat menyebabkan kontrol tanpa kata sandi: "pertanyaan keamanan".

Ini memalukan dalam hal keamanan. Misalkan Anda mendefinisikan nama ibu ibu Anda sebagai pertanyaan keamanan. Yang harus saya lakukan adalah menemukan akun Facebook Anda (dengan sedikit keberuntungan, Anda akan meninggalkan semua detail tersedia untuk umum), menemukan apakah ibu Anda ada di teman Anda, dan mendapatkan informasi tentang dia, termasuk nama gadisnya dan [~ # ~] booming [~ # ~] , saya memiliki akses ke akun email Anda. Ini sudah didemonstrasikan, termasuk untuk selebritas seperti Sarah Palin dan itu masih akan mungkin selama pertanyaan inheren tidak aman seperti itu ada.

Untuk melindungi dari ini Anda memiliki dua kemungkinan:

  1. Masukkan nilai acak untuk jawaban karena tahu Anda tidak akan pernah dapat memulihkan akun menggunakan metode ini, tetapi tidak juga seorang penyerang.
  2. Buat pertanyaan/jawaban Anda sendiri dan buat cukup sulit untuk tidak ditemukan di web.

Gmail juga menyarankan alternatif yang lebih baik untuk mengakses akun Anda yang disebut otentikasi dua faktor . Cara masuk ini membutuhkan kata sandi dan kode yang diberikan kepada Anda oleh SMS (atau aplikasi Google Authenticator di ponsel Anda). Mengaktifkan ini menjamin Anda tingkat keamanan tambahan untuk akun Anda.

4
Cyril N.

Tidak, itu tidak mungkin (kecuali Anda salah satu dari orang-orang yang menggunakan kata sandi yang sama untuk setiap akun tunggal yang Anda miliki). Ini akan seaman semudah mengakses akun Anda.

Yahoo akan meminta informasi ini untuk memastikan Anda menjadi diri Anda yang sebenarnya.

Haruskah ini tidak jelas:

  • siapa pun di Yahoo dapat mengakses akun Anda
  • pastikan Anda benar-benar di Yahoo (verifikasi sertifikat SSL)
  • Pertanyaan keamanan Anda harus sangat pribadi sehingga tidak ada yang bisa mengetahui apa artinya

Yakin:

  • Mesin Anda aman
  • Sertifikat SSL Yahoo belum dipalsukan
  • Tidak ada kerentanan di komputer Anda atau di server Yahoo
  • Tidak ada MITM serangan (misalnya, seseorang memperoleh kunci pribadi untuk sertifikat Yahoo SSL, memperoleh akses ke router dan bisa membaca email Anda ketika dia membaca aliran)
  • Tidak ada karyawan nakal di Yahoo
  • Anda memiliki kata sandi yang sangat aman dengan panjang minimum 16 karakter yang berisi huruf besar dan kecil serta angka tambahan. Untuk kekuatan ekstra, tambahkan tanda.
3
Lucas Kauffman

Hanya untuk menunjukkan apa yang belum disebutkan, kata sandi bisa bocor

  • Jika ada keylogger di mesin Anda, maka kata sandi akhirnya akan direkam.
  • Jika kata sandi yang sama dimasukkan ke situs yang kurang aman yang diretas (@Lucas menyentuh ini)
    (bisa jadi orang dalam yang menggunakan kata sandi Anda, belum tentu peretas)
  • Atau situs yang mirip yang mengendalikan seorang hacker. Untuk mencegah kunjungan yang mirip, selalu kunjungi situs web menggunakan bookmark, untuk memastikan Anda berada di hal yang nyata. Tentu saja Anda dapat melihat nama domain, yang biasanya berwarna lebih gelap daripada URL lainnya. Pastikan setiap huruf cocok (misalnya, mail.google.com tidak sama dengan mail.googole.com, atau mail.google.com.checkinbox123.example.com, karena ada banyak kesalahan ketik yang rumit, lebih mudah menggunakan bookmark), idenya adalah untuk tidak tertipu menjadi mirip oleh tautan di email yang dikirim seseorang kepada Anda, atau situs web lain.

    Contoh Halaman yang mirip , saya menempatkan ini bersama dalam waktu kurang dari 15 menit, dengan beberapa jam lagi, saya dapat mengirimkannya ke server sebagai sandi dalam kendali saya, dan Anda mungkin tidak menyadarinya.

  • Jika Anda menggunakan Outlook atau klien surat lain yang mengunduh pesan ke komputer Anda, maka tentu saja pesan tersebut disalin ke komputer Anda, dan kata sandi mungkin tidak diperlukan.

Dan kenapa yahoo mail meminta saya untuk memberi tahu mereka teman dan folder saya untuk mengembalikannya kepada saya setelah dicuri?

Harap tautkan ke tempat Anda melihat ini, saya akan menganggap itu adalah bagian dari proses pemulihan manual, dan jika Anda tidak dapat menjawab pertanyaan ini, mereka dapat membuang permintaan Anda. Tapi mungkin ada lebih banyak aturan, saya tidak tahu.

3
Bryan Field

Saya pikir Lucas Kauffman membuat poin yang sangat penting dalam jawabannya: "Pastikan mesin Anda aman".

Saya ingin sedikit memperluas ini, karena ini adalah masalah kritis yang cenderung diabaikan orang.

Salah satu contoh skenario tidak aman (dan yang cukup umum) adalah administrator domain di lingkungan perusahaan memiliki akses ke sumber daya komputer karyawan. Dalam skenario ini seseorang dapat mencuri cookie browser Anda (yang biasanya disimpan di hard drive dalam teks biasa) dan, asalkan Anda masuk di beberapa situs web, pada dasarnya dapat mencuri sesi Anda.

Jadi, dalam hal email web seperti Yahoo, seseorang bisa dapat mengakses akun Anda untuk membaca dan bahkan mengirim email, tanpa mengetahui kata sandi Anda.

0
Cristian Lupascu

Integritas keamanan email Anda dibatasi oleh tautan terlemah. Itu mencakup semua jawaban lain plus akses fisik ke duplikat apa pun dengan metode ekstraksi kunci untuk kata sandi.

Jadi, dapatkan audit keamanan oleh para profesional jika konten itu layak.

( CounterPane Internet Security adalah salah satu grup profesional yang sekarang dimiliki oleh BT Group )