È possibile accedere al mio account e-mail senza la password? Quanto è sicuro?

• In genere, il tuo provider di posta elettronica (Yahoo, ad esempio) può leggere tutto nella tua e-mail senza conoscere la tua password.
• E, come richiesto dalla legge e potenzialmente in altre circostanze, forniranno copie alle forze dell'ordine e al governo.
• È anche possibile che un utente malintenzionato possa compromettere i server di Yahoo e accedere alla tua posta elettronica in questo modo.
• E un utente malintenzionato potrebbe riuscire a ottenere la password in vari modi, nel qual caso l'utente malintenzionato può accedere alla tua email. Oppure, un utente malintenzionato potrebbe essere in grado di indovinare le risposte alle domande di sicurezza, il che è anche sufficiente per consentire a un utente malintenzionato di accedere al proprio account di posta elettronica.
• Infine, è importante ricordare che le email non sono solo documenti sul tuo server di posta elettronica; sono anche sul server di posta elettronica della persona che lo ha inviato a te, e magari memorizzato nella cache sul tuo client, e forse sul loro client, ed eseguito il backup in vari punti, e viaggiano sulla rete. Un sacco di copie significa un sacco di posti in cui un attaccante può entrare in possesso di una copia. (La tua domanda suggerisce che potresti semplicemente archiviare i documenti in e-mail senza inviarli, nel qual caso questo è meno di un problema.)

Ora tutto ciò sembra molto spaventoso, ma è importante per la sicurezza comprendere il livello di rischio e la vostra propensione al rischio. Niente è sicuro al 100%, quindi devi chiederti:  - Quanto sono preziosi questi dati per me? Quanto mi costerà se c'è una violazione?  - Che tipo di aggressore potrebbe provare a prenderlo? Quali risorse e capacità hanno?

Se i dati non sono molto validi, e chiunque sia disposto a volerlo non è molto capace, allora non hai bisogno di molta sicurezza.

Non sono sicuro che sia molto pratico, quindi ecco alcuni semplici suggerimenti che ti aiuteranno a migliorare la sicurezza della tua email archiviata:

• Scegli una buona password - non in un dizionario, non un nome o una data, il più a lungo possibile, con una combinazione di lettere minuscole, maiuscole e simboli.
• Non usare la stessa password da nessun'altra parte; non annotarlo o dirlo a nessuno, e usa qualcosa di casuale che non è collegato a te.
• Fai attenzione alle tue risposte alle domande di sicurezza, per assicurarti che nessuno possa indovinarle. Se sembra che qualcuno sia in grado di indovinare una delle risposte a una delle tue domande di sicurezza, potresti considerare di mentire (scegli una risposta casuale che sarà inconcepibile) e scriverla da qualche parte nel caso tu ne abbia bisogno.
• Considera la crittografia dei documenti (con una password diversa da quella utilizzata per la tua email). Ci sono molti buoni strumenti per questo: mi piace link . Non fare affidamento su password incorporate in Word o WinZip, utilizzare uno strumento di crittografia dedicato.

Normalmente non è possibile accedere al tuo account senza la tua password poiché è il sistema più utilizzato per l'autenticazione degli utenti. Ma i provider di posta elettronica tendono ad aggiungere un modo per recuperare l'accesso a un account che può portare a prendere il controllo senza la password: la "Domanda di sicurezza".

Questa è una vergogna in termini di sicurezza. Supponiamo di aver definito il nome da nubile della madre come domanda di sicurezza. Tutto quello che devo fare è trovare il tuo account Facebook (con un po 'di fortuna, lascerai tutti i dettagli disponibili al pubblico), trova se tua madre è nei tuoi amici e ottieni informazioni su di lei, incluso il suo nome da nubile e BOOM , ho accesso al tuo account di posta elettronica. Questo è già stato dimostrato, anche per celebrità come Sarah Palin e sarà ancora possibile finché esistano domande intrinsecamente insicure .

Per proteggerti hai due possibilità:

1. Inserisci un valore casuale per la risposta sapendo che non sarai mai in grado di recuperare il tuo account con questo metodo, ma nessuno dei due può attaccare.
2. Crea la tua domanda / risposta e rendila abbastanza difficile da non farlo essere trovato sul web.

Gmail suggerisce anche un'alternativa migliore per accedere al tuo account chiamato autenticazione a due fattori . In questo modo il login richiede sia la tua password sia un codice che ti è stato dato via SMS (o l'app Google Authenticator sul tuo telefono). Abilitare questo ti garantisce un ulteriore livello di sicurezza per il tuo account.

Solo per segnalare ciò che non è già stato menzionato, la password potrebbe essere trapelata

• Se sul tuo computer ci fosse un keylogger, allora la password verrebbe registrata.
• Se la stessa password è stata inserita in un sito meno sicuro che è stato violato (@Lucas ha toccato questo)
  (Potrebbe essere un insider che usa la tua password, non necessariamente un hacker)

• O un sito simile a quello che aveva il controllo di un hacker. Per evitare la visita di sosia, vai sempre sul sito web usando un segnalibro, per assicurarti di essere sul serio. Ovviamente puoi guardare il nome del dominio, che di solito è un colore più scuro rispetto al resto dell'URL. Assicurati che ogni lettera corrisponda (ad esempio, mail.google.com non è uguale a mail.googole.com o mail.google.com.checkinbox123.example.com , poiché ci sono molti errori di battitura complicati, è molto più facile usare un segnalibro), l'idea non è per essere ingannato da un link in una email inviata da qualcuno o da un altro sito Web.

  Esempio di pagina simile allo sguardo , l'ho messo insieme in meno di 15 minuti, con qualche ora in più, avrei potuto inviando password a un server sotto il mio controllo e potresti non rendertene conto.

• Se utilizzi Outlook o un altro client di posta che scarica i messaggi sul tuo computer, ovviamente i messaggi vengono copiati sul tuo computer e la password potrebbe non essere necessaria.

And how come yahoo mail ask me to tell them my friends and folders names to give it back to me after stolen?

Si prega di collegarsi a dove si vede questo, suppongo che faccia parte di un processo di recupero manuale, e se non è possibile rispondere a queste domande, possono inviare la richiesta. Ma potrebbero esserci più regole, non lo so.

No, non è possibile (a meno che tu non sia una di quelle persone che usano la stessa password per ogni singolo account che possiedi). Sarà tanto sicuro quanto più facile è accedere al tuo account.

Yahoo chiederà queste informazioni per assicurarti che tu sia quello che fingi di essere.

Questo non dovrebbe essere ovvio:

• tutti gli utenti di Yahoo possono accedere al tuo account
• assicurati di essere realmente su Yahoo (verifica il certificato SSL)
• Le tue domande di sicurezza dovrebbero essere così personali che nessuno sarebbe mai in grado di scoprire cosa significano

Assicurati che

• Il tuo computer è sicuro
• Il certificato SSL di Yahoo non è stato falsificato
• Non ci sono vulnerabilità nel tuo computer o nei server di Yahoo
• Non ci sono attacchi MITM (ad esempio, qualcuno ha ottenuto la chiave privata per il certificato SSL Yahoo, ottenuto l'accesso a un router e può quindi leggere le tue e-mail quando legge il flusso)
• Non ci sono dipendenti canaglia su Yahoo
• Hai una password molto sicura di almeno 16 caratteri contenente lettere maiuscole e minuscole e numeri aggiuntivi. Per forza extra aggiungi segni.

L'integrità della sicurezza della tua e-mail è limitata da qualsiasi link più debole. Ciò include tutte le altre risposte più qualsiasi accesso fisico a qualsiasi duplicato con i metodi di estrazione delle chiavi per le password.

Quindi ottenere un controllo di sicurezza da parte di professionisti se il contenuto è valsa la pena.

( CounterPane Internet Security era uno di questi gruppi professionali ora di proprietà di BT Group )

Penso che Lucas Kauffman abbia fatto un punto molto importante nella sua risposta: "Assicurati che la tua macchina sia al sicuro".

Vorrei espandermi un po 'su questo, perché è un problema critico che le persone tendono a trascurare.

Un esempio di uno scenario non sicuro (e abbastanza comune) è che gli amministratori di dominio in un ambiente aziendale hanno accesso alle risorse del computer dei dipendenti. In questo scenario, qualcuno potrebbe rubare i cookie del browser (che in genere sono memorizzati sul disco rigido in testo normale) e, a condizione di aver effettuato l'accesso su alcuni siti Web, possono fondamentalmente rubare le sessioni.

Pertanto, nel caso di email web come Yahoo, qualcuno potrebbe essere in grado di accedere al tuo account per leggere e persino inviare e-mail, senza conoscere la tua password.

La risposta alla tua domanda dipende da quali passi hai preso per proteggere il tuo account, ma non solo in base a una password. In poche parole, le password sono la forma di sicurezza del passato e non sono più sufficienti. Se sei veramente preoccupato per il tuo account di posta elettronica, quello che vorrei fare è cercare fornitori che offrono 2FA (autenticazione a due fattori) in cui puoi telesign nel tuo account. Ho anche contattato alcune organizzazioni per vedere se prevedono di fornire 2FA. Quando ho questo, mi dà la sicurezza che il mio account non verrà compromesso e le mie informazioni personali non sono vulnerabili. E questa è un'opzione disponibile dal tuo provider.