Votre adresse e-mail est le centre de votre vie numérique. Si vous êtes comme moi, vous avez une adresse e-mail principale que vous utilisez pour tout.
Les comptes de réseaux sociaux comme Facebook, Twitter et Pinterest se résoudront à mon compte Gmail principal. Tous les services que je paie comme Spotify et Netflix, j'entre également dans mon compte Gmail principal.
Dans certains cas, j'utilise l'astuce + (si vous mettez [email protected], l'e-mail parvient toujours à [email protected], ce sera juste avoir le +service afin que vous sachiez si cette adresse est utilisée de manière non officielle) mais le + truc concerne plus le classement et la gestion que Sécurité. Les gens savent que votre adresse e-mail principale est [email protected].
Le problème est que je l'utiliserais également pour d'autres choses, comme lorsque je me suis brièvement inscrit sur Adobe.com pour utiliser leurs services cloud. Il s'avère que moi et 153 millions de mes amis Internet les plus proches ont eu nos e-mails, nom d'utilisateur, mot de passe crypté et indices de mot de passe piratés en octobre 2013. Le cryptage était faible, donc les mots de passe étaient
très facilement converti en texte clair (la répartition des mots de passe est assez fascinante… « iloveyou » est un mot de passe très populaire !).J'ai la chance d'utiliser des mots de passe différents pour tous les comptes, donc quand j'ai appris que mon compte Adobe avait été piraté, tout allait bien.
Après ce moment, j'ai décidé de pare-feu mon système de messagerie.
- Une seule adresse e-mail pour le matériel « classifié » de haute sécurité – services financiers et informations sensibles.
- Une seule adresse e-mail pour les services non sécurisés et peu sécurisés.
Emprunter une page à l'USG
Le gouvernement des États-Unis a des systèmes classifiés et non classifiés et le principe de base est que les deux ne se rencontreront jamais. Les informations sensibles et importantes vivent dans le monde classifié. Des informations moins importantes et moins sensibles vivent dans le monde non classifié.
Si le système non classifié est violé d'une manière ou d'une autre, seules les informations les moins importantes et les moins sensibles sont révélées. Le système classifié est sûr.
Vos informations bancaires et de courtier sont sensibles et importantes. Votre page Facebook peut sembler importante… mais elle ne l'est pas. Vous ne pourrez peut-être pas vivre sans Pinterest ou Playstation, mais ceux-ci ne sont pas importants. 🙂
Je dirais que les informations sur les cartes de crédit ne sont PAS considérées comme importantes, car les protections en matière de responsabilité des consommateurs sont exceptionnellement solides. Toutes mes cartes de crédit ont une responsabilité de 0 $. De plus, le point d'accès est souvent la carte elle-même, et non le compte en ligne.
Règles d'une adresse e-mail classifiée
Voici mes règles :
- Utilisez votre adresse e-mail classifiée pour les comptes où une sécurité élevée est indispensable - banques, courtiers, etc. (pas les cartes de crédit !)
- N'utilisez votre e-mail classifié que dans vos circonstances strictes, jamais ailleurs.
- Accédez à ce compte uniquement lorsque vous accédez aux comptes financiers sous-jacents - depuis votre domicile et jamais depuis un autre endroit comme la maison de vos amis, le centre d'affaires de l'hôtel, la salle de sport, etc.
- Ne transférez pas votre e-mail classifié vers votre e-mail non classifié, les deux ne se rencontreront jamais.
- Utilisez un mot de passe fort. De préférence un gestionnaire de mots de passe comme 1Mot de passe.
Vous pouvez pousser chaque idée à son extrême logique en fonction de votre désir de sécurité vs. commodité. Par exemple, vous pouvez créer une adresse e-mail unique pour chaque compte ou vous pouvez enregistrer un ancien ordinateur uniquement pour accéder à ces comptes (sans programmes installés qui pourraient être des logiciels malveillants). Que je vous laisse.
L'objectif est de garder cette adresse e-mail aussi cachée que possible afin qu'elle ne puisse jamais être piratée à moins que la banque ne soit piratée.
La meilleure chose à ce sujet est qu'une fois que vous l'avez configuré, cela vous donne la tranquillité d'esprit. Si votre adresse e-mail non classifiée est divulguée lors d'une violation, vous savez que votre adresse e-mail classifiée est en sécurité. Et vous ne serez jamais trompé par un e-mail de phishing car aucun de vos comptes n'est lié à votre adresse e-mail non classifiée.
De plus, les adresses e-mail sont gratuites! Le seul coût est dans la gestion.
Puis-je rechercher des hacks ?
La plupart des piratages/violations touchent des systèmes où la sécurité n'est pas une priorité.
j'utilisais haveibeenpwned.com pour voir si mon adresse e-mail a été compromise. Le site est géré par Chasse à Troie, un professionnel de la sécurité fiable et réputé, et il collecte toutes les données personnelles accessibles au public et les rend consultables.
Si vous regardez les 10 principales violations, aucune n'était ce que vous considéreriez comme des systèmes de haute sécurité. Adobe, Ashley Madison, certains sites de jeux, VTech et forums. Si vous regardez tous les brèches, vous commencez à voir quelques sites financiers indirects (principalement des systèmes de jeu et de paiement) mais vous ne voyez pas de banques ou de courtiers.
Une fois qu'un pirate informatique obtient votre adresse e-mail, il est facile de commencer à envoyer des e-mails de phishing pour obtenir un meilleur accès au compte. Avec 152 millions d'adresses email dans le hack d'Adobe, un taux de réussite de 0,001% est encore 1 520 comptes !
Gmail est assez efficace pour filtrer les e-mails de phishing, mais une meilleure solution consiste à conserver une adresse e-mail secrète uniquement pour les services financiers et autres systèmes de haute sécurité.
(et rappelez-vous, des sites comme haveibeenpwned.com ne recherchent que les violations qui ont été rendues publiques, beaucoup ne sont pas divulguées)
Deux autres choses que je fais…
Utilisez des noms d'utilisateur uniques. Aucune raison pour que votre nom d'utilisateur World of Warcraft soit le même que votre Wells Fargo. 🙂 Lorsque Adobe a été piraté, il a révélé des noms d'utilisateur et des mots de passe cryptés (mais faiblement cryptés). Si vous avez des noms d'utilisateur et des mots de passe, il est encore plus facile d'essayer les informations d'identification dans chaque banque.
Activez la 2FA !Activer l'autorisation à deux facteurs sur tous vos comptes financiers. L'autorisation à deux facteurs est cruciale et c'est facile avec les smartphones. Vous devez l'utiliser.
Utilisez-vous des adresses e-mail distinctes pour sécuriser un peu plus les choses ?