没有密码可以访问我的电子邮件帐户吗?它有多安全?

信息安全 验证 电子邮件
2021-09-07 18:44:58

可以在没有密码的情况下访问我的电子邮件帐户吗?如果我在其中存储个人文档,电子邮件的安全性如何?

雅虎邮箱怎么会在被盗后要求我告诉他们我的朋友和文件夹名称并归还给我?

4个回答
  • 通常,您的电子邮件提供商(例如雅虎)可以在不知道您的密码的情况下阅读您电子邮件中的所有内容。
  • 他们将根据法律要求以及可能在其他情况下向执法部门和政府提供副本。
  • 攻击者也有可能破坏雅虎的服务器并以这种方式访问​​您的电子邮件。
  • 攻击者可能会以各种方式获取您的密码,在这种情况下,攻击者可以访问您的电子邮件。或者,攻击者可能能够猜出您的安全问题的答案,这也足以让攻击者访问您的电子邮件帐户。
  • 最后,重要的是要提到电子邮件不仅仅是电子邮件服务器上的文档;它们也在发送给您的人的电子邮件服务器上,可能缓存在您的客户端上,也可能在他们的客户端上,并在不同的地方备份,并且它们通过网络传播。大量副本意味着攻击者可以在很多地方获取副本。(您的问题暗示您可能只是将文档存储在电子邮件中而不发送它们,在这种情况下,这不是一个问题。)

现在,所有这些听起来都非常可怕,但了解风险级别和您的风险偏好在安全方面很重要。没有什么是 100% 安全的 - 所以你必须问自己: - 这些数据对我有多大价值?如果发生违约,我会付出什么代价?- 什么样的攻击者可能会尝试得到它?他们有什么资源和能力?

如果数据不是很有价值,而且任何可能想要它的人都不是很有能力,那么你就不需要太多的安全性。

我不确定这是否非常实用,所以这里有一些简单的提示将帮助您提高存储电子邮件的安全性:

  • 选择一个好的密码——不在字典里,不在名字或日期里,尽可能长,混合小写、大写、符号。
  • 不要在其他任何地方使用相同的密码;不要写下来或告诉任何人,并使用与您无关的随机事物。
  • 小心你对安全问题的回答,以确保没有人能够猜到它们。如果看起来有人可能能够猜出您的一个安全问题的答案之一,您可以考虑撒谎(选择一个无法猜到的随机答案),并将其写下来以备不时之需。
  • 考虑加密文档(使用与您的电子邮件不同的密码)。有很多很好的工具:我喜欢http://www.sophos.com/en-us/products/free-tools/sophos-free-encryption.aspx不要依赖 Word 或 WinZip 中的内置密码,使用专用的加密工具。

没有密码通常无法访问您的帐户,因为它是最常用的用户身份验证系统。但是电子邮件提供商倾向于添加一种方法来恢复对帐户的访问,这种方法可以导致在没有密码的情况下进行控制:“安全问题”。

这在安全性方面是一种耻辱。假设您将您母亲的娘家姓定义为安全问题。我所要做的就是找到您的 Facebook 帐户(运气好的话,您会公开所有详细信息),查找您的母亲是否在您的朋友中,并获取有关她的信息,包括她的娘家姓和BOOM,我可以访问您的电子邮件帐户。这已经得到证明,包括像莎拉佩林这样的名人,只要存在这种固有的不安全问题,它仍然是可能的。

为了防止这种情况,您有两种可能性:

  1. 输入一个随机值作为答案,知道您将永远无法使用此方法恢复您的帐户,但攻击者也不能。
  2. 创建您自己的问题/答案,使其难以在网络上找到。

Gmail 还建议了一种更好的替代方法来访问您的帐户,称为双重身份验证这种方式登录需要您的密码和通过 SMS(或您手机上的 Google Authenticator 应用程序)提供给您的代码。启用此功能可确保您的帐户获得更高级别的安全性。

只是为了指出尚未提及的内容,密码可能会泄露

  • 如果您的机器上有键盘记录器,那么密码最终会被记录下来。
  • 如果相同的密码被输入到一个不太安全的网站被黑客入侵(@Lucas 谈到了这一点)
    (可能是内部人员使用你的密码,不一定是黑客)

  • 或由黑客控制的相似网站。为防止访问相似的网站,请始终使用书签访问网站,以确保您访问的是真实网站。您当然可以查看域名,它通常比 URL 的其余部分颜色更深。确保每个字母都匹配(例如,mail.google.com不与mail.googole.com, 或相同mail.google.com.checkinbox123.example.com,因为有很多棘手的拼写错误,使用书签要容易得多),这样做的目的是不要被某人发给您的电子邮件或其他网站中的链接。

    Example Look-alike page,我在 15 分钟内完成了这个,再过几个小时,我可以让它在我控制的服务器上发送密码,你可能没有意识到。

  • 如果您使用 Outlook 或其他将邮件下载到计算机的邮件客户端,那么邮件当然会复制到您的计算机,并且可能不需要密码。

雅虎邮件为什么要我告诉他们我的朋友和文件夹名称,以便在被盗后还给我?

请链接到您看到此内容的位置,我认为这是手动恢复过程的一部分,如果您无法回答这些问题,他们可能会拒绝您的请求。但可能还有更多规则,我不知道。

不,这是不可能的(除非您是对您拥有的每个帐户都使用相同密码的人之一)。访问您的帐户将非常安全。

雅虎会询问这些信息,以确保您是假装的人。

如果这不明显:

  • 雅虎的任何人都可以访问您的帐户
  • 确保您真的在 Yahoo 上(验证 SSL 证书)
  • 您的安全问题应该如此私人,没有人能够找出它们的意思

确定:

  • 您的机器是安全的
  • 雅虎的 SSL 证书没有被欺骗
  • 您的计算机或雅虎的服务器中没有任何漏洞
  • 没有任何MITM攻击(例如,有人获得了 Yahoo SSL 证书的私钥,获得了对路由器的访问权限,并且可以在读取流时读取您的电子邮件)
  • 雅虎没有流氓员工
  • 您有一个非常安全的密码,长度至少为 16 个字符,包含大小写字母和数字。为了获得额外的力量,请添加标志。
其它你可能感兴趣的问题
上一篇可以监视语音聊天吗? 下一篇为什么 Google 不能直接向用户推送 Android 安全更新?