BSIのプロセスは良好ですか? ((不明な/異なるアカウントの)アドレス/パスワードが盗まれたことを電子メールアドレスの所有者に通知する)
ドイツ語 BSI(連邦情報セキュリティ局)主張 個人情報の盗難の結果であると思われる1800万の電子メールアドレスとパスワードのリストを取得しました。
自分のメールアドレスがこの(または古い)リストの一部であるかどうかを確認できます。これは次のように機能します。
- https://www.sicherheitstest.bsi.de/ にメールアドレスを入力してください
- 送信後、4桁のコードが表示されます。
- 入力したメールアドレスがリストに含まれていない場合:何も起こりません。
- 入力した電子メールアドレスがリストに含まれている場合:BSIは、入力したアドレスに電子メールを送信します。
- openPGPキーで署名されており、
- 件名に4桁のコードが含まれています。
- (メールにはパスワードが含まれていません。)
OpenPGP署名と件名のコードにより、電子メールが実際にBSIから送信されていることが確認されます(フィッシング詐欺師はすでにBSIの名前で電子メールを送信しています)。
しかし、それ以外に、このプロセスは本当に良い習慣ですか?
私が見る限り、2つの問題があります。
- リストにメールプロバイダーまたは他のサイト(ショップなど)のログインが含まれているかどうかは不明です。しかし、ifこれらは電子メールアカウントのログインになります(または、同じパスワードを使用している場合)、泥棒は電子メールアカウントを制御し、 BSIでしょ?したがって、これらの人々は、自分のデータがBSIのリストに含まれていることに気付くことはありません。
- そのため、メールを受け取らない人は、自分のデータがリストにないのか、メールが傍受されたのかを確認できません(テストでメールアドレスを入力する前にパスワードを変更しない限り)。
- また、リストに含まれているパスワードを送信しないため、(サイトごとに一意のパスワードを使用する)ユーザーは自分のアカウントのwhichが影響を受けていることを知ることができません(→多くのサイトがメールアドレスをユーザー名として使用しています。
- そのため、allサイトで、メールアドレスをユーザー名として使用してパスワードを変更する必要があります。
私は正しいですか?それとも、彼らがそれをそのように扱う正当な理由がありますか?
プロセスを改善できますか? (単一のプロバイダーからだけでなく)多くの異なるサービスのデータが関係するような状況のベストプラクティスはありますか?
これは程度の問題だと思います。このリストは多くの人に役立ちますが、全員ではないかもしれません。ただし、誰かがすでにあなたの電子メールを管理している場合は、とにかく大きな問題があります。
少なくとも大多数の人は必要に応じて詳細を見つけて変更できるので、まったく見つけられないよりはましです。
私が考えることができる唯一の改善は、最初に事前確認を行うことです。あなたがあなたのアドレスを入力すると、システムはあなたが見たことのないコードであなたに電子メールを送ります。コードを入力すると、メールアドレスをある程度管理できることが確認できます。次に、情報を送信します。ハッキングされたアカウントは、最初の電子メールを通過させるために、より高度な監視とフィルタリングを必要としますが、2番目の電子メールは通過させません。誰にとってもそれだけの価値はありません。