web-dev-qa-db-ja.com

パスワードなしでメールアカウントにアクセスできますか?どのくらい安全ですか?

メールアカウントにパスワードなしでアクセスできますか?個人のドキュメントをアカウントに保存すると、メールはどの程度安全ですか?

そして、どうして Yahoo Mail は、私の友人やフォルダの名前を教えられ、盗まれた後に返却するように求められますか?

11
rezx
  • 通常、メールプロバイダー(Yahooなど)は、パスワードを知らなくてもメールのすべてを読み取ることができます。
  • また、法律で要求され、場合によっては他の状況でも、法執行機関および政府にコピーを提供します。
  • 攻撃者がYahooのサーバーを危険にさらし、その方法であなたの電子メールにアクセスする可能性もあります。
  • また、攻撃者はさまざまな方法でパスワードを入手できる可能性があります。その場合、攻撃者はあなたの電子メールにアクセスできます。または、攻撃者がセキュリティの質問への回答を推測できる可能性があります。これは、攻撃者がメールアカウントにアクセスするのに十分です。
  • 最後に、電子メールは電子メールサーバー上の単なるドキュメントではないことを言及することが重要です。それらはあなたにそれを送った人の電子メールサーバーにもあり、おそらくあなたのクライアントに、そしておそらく彼らのクライアントにキャッシュされ、そして様々な場所にバックアップされ、彼らはネットワーク上を移動します。多くのコピーは、攻撃者がコピーを手に入れることができる多くの場所を意味します。 (あなたの質問は、あなたがそれらを送信せずに電子メールに単に保存しているかもしれないことを示唆しています、その場合これは問題の少ないです。)

さて、これはすべて恐ろしいように聞こえますが、リスクのレベルとリスク選好度を理解することはセキュリティ上重要です。 100%安全なものは何もありません。そのため、次のことを自問する必要があります。-このデータは私にとってどのくらい価値がありますか?違反があった場合、どのくらいの費用がかかりますか? -どんな種類の攻撃者がそれを試みて取得する可能性がありますか?彼らはどのようなリソースと機能を持っていますか?

データの価値があまり高くなく、データを必要とする可能性のある人があまり能力がない場合は、セキュリティはそれほど必要ありません。

これが非常に実用的であるかどうかはわかりません。ここに、保存された電子メールのセキュリティを向上させるのに役立つ簡単なヒントをいくつか示します。

  • 小文字、大文字、記号を組み合わせた、可能な限り、辞書や名前や日付ではなく、適切なパスワードを選択してください。
  • 同じパスワードを他の場所で使用しないでください。それを書き留めたり、他の人に教えたりしないでください。そして、自分に関係のないランダムなものを使用してください。
  • セキュリティの質問に対する回答には注意してください。誰もそれらを推測できないようにしてください。誰かがセキュリティの質問の答えの1つを推測できるように見える場合は、うそをつく(推測できないランダムな答えを選択する)ことを検討し、必要に応じてどこかに書き留めます。
  • ドキュメントを暗号化することを検討してください(電子メールに使用するパスワードとは異なるパスワードを使用)。これには良いツールがたくさんあります:私は http://www.sophos.com/en-us/products/free-tools/sophos-free-encryption.aspx が好きです。 WordまたはWinZipの組み込みパスワードに依存せず、専用の暗号化ツールを使用します。
28
Graham Hill

ユーザーの認証に最もよく使用されているシステムであるため、通常、パスワードなしではアカウントにアクセスできません。しかし、メールプロバイダーは、パスワードなしで制御を取得することにつながる可能性のあるアカウントへのアクセスを回復する方法を追加する傾向があります:「セキュリティの質問」。

これはセキュリティの面で残念です。母の旧姓をセキュリティの質問として定義したとします。私がしなければならないのは、あなたのFacebookアカウントを見つけ(運が良ければ、すべての詳細を公開します)、母親が友達の中にいるかどうかを見つけ、旧姓や[〜#〜] boom [〜#〜]、あなたのメールアカウントにアクセスできます。 Sarah Palin のような有名人を含め、これはすでに実証されており、そのような本質的に安全でない質問が存在する限り、それはまだ可能です。

これを防ぐには、2つの方法があります。

  1. この方法を使用してアカウントを回復することはできませんが、攻撃者にはできません。
  2. 独自の質問/回答を作成し、Webで見つけられないように十分に困難にします。

Gmailでは、アカウントにアクセスするためのより優れた代替手段として 2要素認証 を提案しています。このようにログインするには、パスワードとSMS(または携帯電話のGoogle認証システムアプリ)から提供されたコードの両方が必要です。これを有効にすると、アカウントのセキュリティレベルが向上します。

4
Cyril N.

いいえ、それはできません(あなたが自分の所有するすべてのアカウントに同じパスワードを使用する人でない限り)。アカウントにアクセスするのと同じくらい簡単です。

ヤフーは、あなたがあなたのふりをする人であることを確認するために、この情報を尋ねます。

これが明らかでない場合:

  • yahooの誰でもあなたのアカウントにアクセスできます
  • あなたが本当にYahooにいることを確認してください(SSL証明書を確認してください)
  • あなたのセキュリティの質問は、誰もがそれが何を意味するのかを知ることができないような個人的なものでなければなりません

確認してください:

  • あなたのマシンは安全です
  • YahooのSSL証明書は偽装されていません
  • お使いのコンピュータやYahooのサーバーに脆弱性はありません
  • [〜#〜] mitm [〜#〜] 攻撃はありません(たとえば、誰かがYahoo SSL証明書の秘密鍵を取得し、ルーターへのアクセス権を取得して、メールを読むことができます)彼がストリームを読んだとき)
  • ヤフーには悪質な従業員はいません
  • 小文字と大文字、さらに数字を含む、最低16文字の非常に安全なパスワードを持っている。余分な強さのためにサインを追加します。
3
Lucas Kauffman

まだ言及されていないことを指摘するだけで、パスワードが漏洩する可能性があります

  • マシンにキーロガーがあった場合、パスワードは最終的に記録されます。
  • ハッキングされた安全性の低いサイトに同じパスワードが入力された場合(@Lucasがこれに触れました)
    (パスワードを使用するインサイダーである可能性があり、必ずしもハッカーではない)
  • または、ハッカーの制御下にある類似したサイト。類似訪問を防ぐには、常にブックマークを使用してWebサイトにアクセスし、本物であることを確認してください。もちろん、ドメイン名を見ることができます。これは通常、URLの他の部分よりも暗い色です。すべての文字が一致していることを確認してください(たとえば、mail.google.commail.googole.comまたはmail.google.com.checkinbox123.example.comと同じではありません。誤解を招く入力ミスが多いため、ブックマークを使用する方がはるかに簡単です) )、アイデアは、だれかがあなたに送信したメールや他のWebサイトのリンクに似た形に騙されることではありません。

    Look-alikeページの例 、これを15分以内にまとめると、さらに数時間かかります。自分の制御下にあるサーバーにパスワードを送信することができたので、気付かないかもしれません。

  • メッセージをコンピューターにダウンロードするOutlookまたはその他のメールクライアントを使用している場合は、当然、メッセージはコンピューターにコピーされるため、パスワードは不要な場合があります。

そして、ヤフーメールが盗まれた後に私にそれを返すために私の友人とフォルダ名を彼らに言うように私に尋ねるのはなぜですか?

これが表示されている場所にリンクしてください。これは手動の復旧プロセスの一部であると思います。これらの質問に答えられない場合は、リクエストが破棄される可能性があります。しかし、もっと多くのルールがあるかもしれません、私にはわかりません。

3
Bryan Field

ルーカス・カウフマンは彼の答えで非常に重要なポイントを作ったと思います:「あなたのマシンが安全であることを確認してください」。

これについてはもう少し詳しく説明したいと思います。これは、人々が見落としがちな重要な問題であるためです。

安全でないシナリオ(およびかなり一般的なシナリオ)の1つの例は、企業環境のドメイン管理者が従業員のコンピューターリソースにアクセスできることです。このシナリオでは、誰かがブラウザのCookie(通常はプレーンテキストでハードドライブに保存されています)を盗む可能性があり、一部のWebサイトにログインしている場合、基本的にセッションを盗む可能性があります。

したがって、YahooのようなWebメールの場合、誰かがパスワードを知らなくても、アカウントにアクセスしてメールを読んだり送信したりする可能性があります。

0

電子メールセキュリティの整合性は、最も弱いリンクによって制限されます。これには、他のすべての回答に加えて、パスワードのキー抽出方法を使用して複製に物理的にアクセスすることが含まれます。

コンテンツに価値がある場合は、専門家によるセキュリティ監査を受けてください。

CounterPane Internet Securityは、現在BT Groupが所有しているそのようなプロフェッショナルグループの1つです