Quanto è sicuro usare Gmail personale e l'account Google al lavoro?

Naviga le tue risposte
6

Due domande strettamente correlate:

1) Il mio capo ha detto che è ok per noi andare sulla nostra email personale durante le nostre pause. Se faccio questo, l'azienda può rubare qualsiasi informazione al di là di ciò che è visualizzabile sullo schermo? Questo significa che se non invio o visualizzo alcuna email privata / confidenziale, questo dovrebbe essere ok? Poiché Gmail utilizza una connessione crittografata, significa che qualcuno che controlla la rete può ottenere la mia password?

2) I computer al lavoro ripristinano tutte le impostazioni di ogni disconnessione. Ho trovato estremamente utile accedere a Chrome con il mio account Gmail. Questo è così le schede, i segnalibri e la cronologia vengono salvati. Quali precauzioni di sicurezza dovrei seguire considerando che qualcun altro potrebbe potenzialmente utilizzare lo stesso computer (sebbene non abbia effettuato l'accesso all'account della mia finestra)? Devo disconnettermi da Chrome dopo ogni utilizzo o devo modificare alcune impostazioni per non sincronizzare elementi specifici?

Ho attivato l'autenticazione a 2 fattori.

    
posta JohnD 25.05.2017 - 12:53
fonte

4 risposte

6

Puoi monitorare qualsiasi cosa in una rete che controlli. Ciò significa che la webmail privata può essere monitorata dal tuo datore di lavoro.

Legalmente (noi) sono autorizzati a farlo quando si utilizzano attrezzature o risorse aziendali.

Il monitoraggio viene generalmente effettuato sul traffico, quindi tutte le informazioni su ogni pagina caricata sono suscettibili all'intercettazione. Ciò richiede un software specifico e un sacco di tempo, quindi è fatto solo da aziende più grandi o nel caso in cui un dipendente specifico sia sospetto.

Quindi, stai dalla parte della sicurezza e non usare la posta privata se hai una ragione per credere che il tuo datore di lavoro sia interessato a te in modi che non ti piacciono. Usa il tuo telefono (non via WiFi).

    
risposta data 25.05.2017 - 13:32
fonte
1

Assumi sempre che il tuo traffico sia monitorato se:

  • Non sei il proprietario del computer / dispositivo che stai utilizzando;
  • Non sei l'amministratore della rete a cui sei connesso.

Risposta 1: Di solito devi presumere che tutto che fai sul tuo posto di lavoro sia monitorato. Forse non sta davvero accadendo, ma assumiamo il peggio.
Non è così difficile leggere il traffico non criptato su ogni rete. Se non possiedi né la tua macchina né la rete a cui sei connesso, il tuo datore di lavoro potrebbe leggere efficacemente anche il traffico crittografato HTTPS.
È facile per un amministratore di rete che ha accesso al tuo computer / account (vero?) Impostare un certificato "falso" su di esso ed eseguire un attacco MITM (Man-in-the-Middle). Ciò significa che, ad esempio, quando visiti gmail.com e inserisci la tua password, questa verrà inviata prima al tuo amministratore di rete, quindi la invierà a gmail.com . Così ogni pagina web o i dati inviati / ricevuti attraverso la pagina possono essere rubati in modo efficace.

Giusto per chiarire:

Since Gmail uses an encrypted connection, does this mean someone monitoring the network can get my password?

La connessione crittografata non è correlata alla tua password! La crittografia quando visiti una pagina web (o invii i dati attraverso di essa) è gestita tramite certificati . La tua password "solo" protegge l'accesso al tuo account.

Risposta 2: Data la risposta alla domanda 1 e il fatto che il computer si resetta dopo ogni uscita, penso che, supponendo che tutte le informazioni vengano distrutte al logout, non devi fare nulla altro. Per ogni evenienza, controlla la cartella Utente per vedere se alcuni file Chrome non vengono eliminati al logout. Il percorso dovrebbe essere qualcosa come C:\Users\YOUR_NAME\AppData\Local\Google\Chrome\User Data

    
risposta data 25.05.2017 - 19:34
fonte
1

La preoccupazione maggiore qui è che probabilmente utilizzi un computer con un lavoro, il cui software è stato installato dal tuo dipartimento IT. Dal momento che sono in grado di installare tutto ciò che vogliono sul tuo computer, possono installare quello che è lo spyware su di esso. Se non ti puoi fidare che il tuo computer emesso per lavoro sia sicuro, non puoi fare affidamento su nessuna delle sue funzionalità di sicurezza per proteggerti contro il tuo datore di lavoro.

Ad esempio:

Since Gmail uses an encrypted connection, does this mean someone monitoring the network can get my password?

Questo è vero solo se puoi fidarti del tuo computer di lavoro . Se hai un avversario che può modificare la configurazione del tuo computer, come il tuo datore di lavoro, può intercettare il tuo traffico GMail crittografato. Esistono infatti prodotti commerciali progettati per consente alle aziende di ispezionare le connessioni crittografate dei propri dipendenti . Molti di questi funzionano utilizzando una combinazione di due componenti:

  1. Installa un proxy trasparente sulle connessioni di rete in uscita della società, che intercetta tutto il traffico in uscita e si comporta come un "uomo nel mezzo" per tutte le connessioni.
  2. Configurazione dei computer di lavoro dei dipendenti per affidare il proxy incondizionatamente a tutte le connessioni crittografate (installando il cosiddetto certificato radice ). Ciò significa che il computer del dipendente consentirà al proxy di impersonare il sito remoto.

Tecniche simili sono anche utilizzate da alcuni venditori di adware, in particolare il famigerato Superfish adware che Lenovo preinstallato sui suoi laptop alcuni anni fa .

Quindi prima di arrivare a domande su come uscire da Chrome e così via, devi decidere se fidarti del computer del tuo datore di lavoro in primo luogo. Francamente, con la diffusione degli smartphone negli ultimi dieci anni, non mi preoccupo più, ho appena letto la mia posta personale sul mio telefono personale.

    
risposta data 25.05.2017 - 22:33
fonte
0

1) Sì, la società potrebbe monitorare tutto ciò che scrivi / visualizza / invia su un computer aziendale. È importante che l'azienda possa proteggersi, non farti del male -

La mia azienda utilizza firewall che gestiscono "Man-In-The-Middle" tutte le connessioni in entrata / uscita, ovvero il firewall decodifica tutto il traffico crittografato, lo ispeziona e quindi lo crittografa in modo tale da sembrare ancora crittografato all'utente finale . Non lo facciamo perché noi di Infosec siamo malvagi, ma perché vogliamo sapere se le persone stanno inviando documenti protetti via webmail o scaricano accidentalmente virus o altro malware. Inoltre, blocchiamo l'accesso a molti siti e domini (inclusi gli annunci pubblicitari) per ridurre il numero di infezioni che riceviamo sui sistemi degli utenti.

Se stai guardando cose sensibili che non vuoi che il tuo datore di lavoro sappia (personale, assistenza sanitaria, impiego, ecc.), usa un telefono o tablet e il tuo piano dati cellulare per tenerlo al sicuro.

2) Se il computer è impostato per cancellare le impostazioni tra un uso e l'altro, dovresti essere relativamente sicuro nell'usare il computer per accedere, usare i segnalibri e fare tutto pulito al logout - ma un amministratore malintenzionato potrebbe raccogliete le vostre informazioni mentre il sistema pretende di essere ripulito, oppure qualcuno potrebbe collegare un "keylogger" hardware che raccolga i colpi di chiave dal computer.

Devi aggiungere "Google 2 Factor Authentication" al tuo account Gmail. Ciò significa semplicemente che quando effettui il login, fornisci la password e un codice PIN che viene inviato al tuo telefono al momento dell'accesso. Rende molto più difficile l'accesso al tuo account, anche se qualcuno ha afferrato la tua password, perché è necessario che il codice generato sul tuo telefono effettui il login.

    
risposta data 25.05.2017 - 22:01
fonte

Leggi altre domande sui tag

È sicuro utilizzare un eseguibile di Windows con certificato SHA256 scaduto ma un certificato SHA1 valido? Potrei cancellare i file .csr una volta che la chiave è stata firmata da CA.