Bezpečnost emailu

Dnes jsme si řekli, že se trochu zaměříme na bezpečnost emailových schránek a pro náš test jsme použili koho jiného, než českou jedničku na českém internetu Seznam.cz. Použili jsme již existující schránku, která je běžně používána. Nechtěli jsme vytvářet novou, abychom zbytečně nezatěžovali server zbytečnými daty. Navíc jsme očekávali, že pokud schránka existuje již delší dobu, třeba 10 let, bude operátor ochotnější než u schránek starých jen několik hodin. Zvolili jsme tedy starší emailovou schránku pouze za účelem otestování toho, jak helpdesk Seznamu je ochotný řešit kterýkoliv z problémů, se kterým se na něj uživatel obrátí. Ale začneme od začátku.

Položili jsme na helpdesk jednoduchou otázku a to v podání tak, aby byla pochopitelná i pro toho nejprostčího člověka. Otázka se týkala toho, co dělat v případě, že neoprávněná osoba nějakým způsobem se dostane do emailové schránky a změní přístupové heslo. Ihned jsme však byli odkázání na nápovědu seznamu, kde se má vyplnit formulář, který dopomůže k zapomenutému heslo, jenže ejhle…

Když se vám do emailové schránky dostane nezvaný návštěvník a nebude mít zrovna co na práci, tedy číst vaší emailovou korespondenci a zapojí trochu fantazii, už se do emailu nikdy nedostanete. Ptáte se proč? Pokud daný útočník totiž změní grafický kabátek schránky, změní kontrolní otázku a pak v tom nejhorším případě si autorizuje dokonce svůj mobil, daný formulář vám nepomůže… Formulář od vás chce jen totiž ty informace, co lze změnit, tedy pokud útočník ví co dělá, máte smůlu. a co hůř! Ani operátor vám v takovém případě nebude ochotný pomoci… bude vás totiž do nekonečna odkazovat na jeden a ten samý formulář aniž by pořádně četl, o co vlastně jde. A i když mu naprosto jasně a zcela výstižně vysvětlíte k čemu došlo, že útočník změnil kontrolní otázku, popřípadě vzhled emailové schránky a daný formulář vám prostě nedovede pomoci. Udělá operátor Seznamu to jediné co umí… odkáže vás na daný formulář… Nakonec vše pravděpodobně s velkým potleskem kolegů, kteří také problém nechtějí řešit zakončí slovy, že seznam to jinak nez přes formulář neumí a vy s tím neuděláte nic.

Pokud se tedy stanete terčem útoků někoho, kdo chce přístup do vaší emailové schránky, mějte na paměti několik věcí a to:

  1. odpověď na kontrolní otázku nesmí nikdo vědět. Za žádných okolností… a také by neměla nikomu dojít. Pokud například dáte město, odkud pochází matka a sami teď v tom městě bydlíte, je velmi pravděpodobné, že to bude první, co útočník zkusí. Ne tedy že by tam zrovna tato otázka byla, nicméně jistě chápete, kam tím mířím.
  2. Heslo by mělo být jedinečné. To samé heslo by jste neměli používat na několik dalších služeb, jako Facebook, internetové bankovnictví či účet od vašeho Android/iOS zařízení. Pokud totiž útočník zná heslo na kteroukoliv jinou službu, rozhodně to v případě emailu také zkusí.
  3. Ověřujte vše přes mobil. Pokud máte k dispozici vlastní mobilní telefon, je dobré jej pro autorizaci použít. Pokud se tedy dostanete do chvíle, že se vám někdo do schránky pokusí dostat, je více než vhodné, aby požadavek na změnu hesla přišel na váš telefon (pokud k němu útočník nemá přístup).
  4. Svůj email, pokud je to jen trochu možné nikde nezveřejňujte. Na sociálních sítích jde email skrýt. Je to i z toho důvodu, že nejrůznější crawlery (programy na vyhledávání/stahování informací) email nenajdou a nebudete tak neustále bombarováni nejrůznějšími spamy.
  5. A na závěr. Pokud se dostanete k počítači třeba v knihovně, kde se o něj dělí mnoho uživatelů, tak se do emailu, pokud to jde nepřihlašujte. Tyto stroje můžou mít nainstalované keyloggery (programy na zachytávání stisků klávesnice), díky kterým se snadno stanete terčem. Nicméně právě o této problematice pojednává tento článek.