Twój adres e-mail to centrum Twojego cyfrowego życia. Jeśli jesteś podobny do mnie, masz jeden główny adres e-mail, którego używasz do wszystkiego.
Konta w mediach społecznościowych, takie jak Facebook, Twitter i Pinterest, zostaną przywrócone do mojego głównego konta Gmail. Wszelkie usługi, za które płacę, jak Spotify i Netflix, wpisuję też na swoje główne konto Gmail.
W niektórych przypadkach używam triku + (jeśli wstawisz [email protected] e-mail nadal trafia na [email protected], to po prostu mieć usługę +, aby wiedzieć, czy ten adres jest używany poza rezerwacją), ale sztuczka + polega bardziej na archiwizacji i zarządzaniu niż bezpieczeństwo. Ludzie wiedzą, że Twój główny adres e-mail to [email protected].
Problem polega na tym, że używałbym go również do innych rzeczy, na przykład gdy na krótko zarejestrowałem się na Adobe.com, aby korzystać z ich usług w chmurze. Okazuje się, że ja i 153 miliony moich najbliższych internetowych znajomych zhakowaliśmy nasze e-maile, nazwę użytkownika, zaszyfrowane hasło i podpowiedzi do hasła w październiku 2013 roku. Szyfrowanie było słabe, więc hasła były
bardzo łatwo przekonwertować na zwykły tekst (podział haseł jest fascynujący… „iloveyou” to bardzo popularne hasło!).Mam szczęście, że używam różnych haseł do wszystkich kont, więc kiedy dowiedziałem się, że moje konto Adobe zostało naruszone, było „w porządku”.
Po tym momencie postanowiłem zapora mój system poczty e-mail.
- Jeden adres e-mail dla materiałów o wysokim poziomie bezpieczeństwa, „niejawnych” – usług finansowych i informacji wrażliwych.
- Jeden adres e-mail dla niezabezpieczonych usług o niskim poziomie bezpieczeństwa.
Pożyczanie strony z USG
Rząd Stanów Zjednoczonych ma utajnione i niesklasyfikowane systemy, a podstawowym założeniem jest to, że oba te systemy nigdy się nie spotkają. Informacje wrażliwe i ważne żyją w świecie niejawnym. Mniej ważne, mniej wrażliwe informacje żyją w niesklasyfikowanym świecie.
Jeśli niesklasyfikowany system zostanie w jakiś sposób naruszony, ujawnione zostaną tylko mniej ważne i mniej wrażliwe informacje. Tajny system jest bezpieczny.
Twoje informacje bankowe i brokerskie są poufne i ważne. Twoja strona na Facebooku może wydawać się ważna… ale tak nie jest. Możesz nie być w stanie żyć bez Pinteresta lub Playstation, ale to nie jest ważne. 🙂
Twierdzę, że informacje o karcie kredytowej nie są uważane za ważne, ponieważ ochrona odpowiedzialności konsumenta jest wyjątkowo silna. Wszystkie moje karty kredytowe są odpowiedzialnością 0 USD. Ponadto punktem dostępu jest często sama karta, a nie konto online.
Zasady niejawnego adresu e-mail
Oto moje zasady:
- Używaj swojego tajnego adresu e-mail do kont, na których wysoki poziom bezpieczeństwa jest koniecznością – banki, brokerzy itp. (nie karty kredytowe!)
- Używaj tajnego e-maila tylko w ściśle określonych okolicznościach, nigdy gdzie indziej.
- Uzyskaj dostęp do tego konta tylko wtedy, gdy masz dostęp do podstawowych kont finansowych – z domu, a nigdy z innego miejsca, takiego jak dom znajomych, hotelowe centrum biznesowe, siłownia itp.
- Nie przesyłaj tajnych e-maili na niesklasyfikowane e-maile, obaj nigdy się nie spotkają.
- Użyj silnego hasła. Najlepiej menedżer haseł, taki jak 1Hasło.
Możesz doprowadzić każdy pomysł do logicznego ekstremum, w zależności od pragnienia bezpieczeństwa vs. wygoda. Na przykład możesz utworzyć unikalny adres e-mail dla każdego konta lub zapisać stary komputer wyłącznie w celu uzyskania dostępu do tych kont (bez zainstalowanych programów, które mogą być złośliwym oprogramowaniem). To pozostawiam tobie.
Celem jest ukrycie tego adresu e-mail w jak największym stopniu, aby nigdy nie mógł zostać zhakowany, chyba że zhakuje się bank.
Najlepsze w tym jest to, że po skonfigurowaniu zapewnia spokój ducha. Jeśli Twój niesklasyfikowany adres e-mail zostanie ujawniony w wyniku naruszenia, wiesz, że Twój niejawny adres e-mail jest bezpieczny. I nigdy nie zostaniesz oszukany przez e-mail phishingowy, ponieważ żadne z Twoich kont nie jest powiązane z Twoim niesklasyfikowanym adresem e-mail.
Dodatkowo adresy e-mail są bezpłatne! Jedyny koszt to zarządzanie.
Czy mogę wyszukiwać hacki?
Większość hacków/naruszeń atakuje systemy, w których bezpieczeństwo nie jest priorytetem.
używałem haveibeenpwned.com aby sprawdzić, czy mój adres e-mail został naruszony. Witryna jest prowadzona przez Polowanie na Troję, zaufany i szanowany specjalista ds. bezpieczeństwa, zbiera wszystkie publicznie dostępne dane osobowe i umożliwia ich przeszukiwanie.
Jeśli spojrzysz na 10 najczęstszych naruszeń, żaden z nich nie należy do systemów o wysokim poziomie bezpieczeństwa. Adobe, Ashley Madison, niektóre witryny z grami, VTech i fora. Jeśli spojrzysz na wszystko w przypadku naruszeń, zaczynasz widzieć kilka stron internetowych o charakterze stycznym (głównie systemów hazardowych i płatniczych), ale nie widzisz banków ani brokerów.
Gdy haker zdobędzie Twój adres e-mail, rozpoczęcie wysyłania wiadomości phishingowych w celu uzyskania większego dostępu do konta jest banalnie proste. Z 152 milionami adresów e-mail zhakowanych przez Adobe, wskaźnik sukcesu wynoszący 0,001% nadal wynosi 1520 kont!
Gmail całkiem nieźle radzi sobie z filtrowaniem wiadomości phishingowych, ale lepszym rozwiązaniem jest utrzymywanie tajnego adresu e-mail tylko dla usług finansowych i innych systemów o wysokim poziomie bezpieczeństwa.
(i pamiętaj, witryny takie jak haveibeenpwned.com wyszukują tylko naruszenia, które zostały publicznie udostępnione, wiele z nich nie jest ujawnianych)
Dwie inne rzeczy, które robię…
Używaj unikalnych nazw użytkowników. Nie ma powodu, dla którego twoja nazwa użytkownika World of Warcraft powinna być taka sama jak twoja Wells Fargo. 🙂 Po zhakowaniu Adobe ujawniono nazwy użytkowników i zaszyfrowane (ale słabo zaszyfrowane) hasła. Jeśli masz nazwy użytkownika i hasła, jeszcze łatwiej jest wypróbować dane uwierzytelniające w każdym banku.
Włącz 2FA!Włącz autoryzację dwuskładnikową na wszystkich Twoich rachunkach finansowych. Autoryzacja dwuskładnikowa jest kluczowa i jest łatwa w przypadku smartfonów. Musisz go użyć.
Czy używasz oddzielnych adresów e-mail, aby zapewnić trochę większe bezpieczeństwo?