如果你的电子邮件被黑了,一切都会

2020-08-12 02:43:28

几周前,我读到马丁·卡萨多(Martin Casado)的一篇博客文章,内容是关于a16z资助了一家名为Material Security的新创业公司。

读到他的帖子后,我反思了个人数字安全是多么迫切需要改进。

如果我的电子邮件被黑客攻击,攻击者可以重置我大多数其他帐户的密码。

这意味着您的数字安全级别仅与您的主电子邮件帐户的安全级别一样高。

想想看。你买了一个密码管理器,你虔诚地生成了15位以上的密码,你在任何地方都启用了2FA,也许你甚至买了一个硬件安全密钥。

现在,你可能在想:“我有很多账户没有提供我的电子邮件地址。我使用第三方身份提供商登录,比如Facebook或GitHub。“。

当然行。不幸的是,如果攻击者入侵了您的电子邮件,他们可以重置您的Facebook密码。然后,他们就可以登录到你使用Facebook登录的任何应用程序。

任何系统的安全程度取决于其最易受攻击的路径。对于电子邮件,您可能认为“我的电子邮件帐户启用了2FA,所以我是安全的。”

但请记住,如果攻击者入侵了您的恢复电子邮件,您的电子邮件帐户的密码也可以重置。

您的数字安全级别仅与您最弱的恢复电子邮件帐户的安全级别一样强。

你检查过吗?如果Google向您发送一封电子邮件,通知您有人试图从可疑位置登录到您最弱的恢复电子邮件,您会看到该电子邮件吗?

在你的生活中,你有没有把电子邮件和密码写在一张纸上?

你有没有用明文给自己发过密码?发电子邮件了吗?把它草草记在iNotes或谷歌文档里?

您是否将密码保存在任何计算机的任何Web浏览器中?你刚刚登录了那个电子邮件账户吗?如果是这样的话,你有没有把电脑解锁过?

您是否使用可能被盗和破解的旧智能手机或平板电脑登录该帐户?

核心问题是,在线服务需要让用户自助重置密码。

但是,如果用户没有您用来验证他们的东西(他们的密码),您会验证他们的身份吗?

因此,在线服务假定只有您可以访问您的电子邮件帐户,并将重置代码或URL发送到您的电子邮件帐户。

或者,如果我们用另一层验证来补充电子邮件,会怎么样?如果在线服务具有这样的设置,即用户在请求密码重置之前必须使用TOTP代码、MFA推送、硬件安全密钥或特殊密码进行身份验证,该怎么办?

或者,如果我们根本不使用电子邮件作为验证方法呢?我们能设计一长串难以猜测的安全问题来填补这个角色吗?如果我们让用户向在线服务出示电子公证印章作为身份证明,会怎么样?

就像Gmail将你的电子邮件分为社交、促销、更新和论坛一样,它还可以为“密码重置”增加另一个标签。

要访问此选项卡,用户必须使用TOTP代码、MFA推送、硬件安全密钥或特殊密码进行身份验证。

如果你真的是偏执狂,你应该设置这个,这样你的两个身份验证因素和一个访问密码重置电子邮件的因素都是唯一的。

例如,您可以使用密码(您知道的)和电话(您拥有的)进行身份验证,以及一个特殊的密码-您将其写在纸上并存储在保险箱中-用于访问您的密码重置电子邮件(也是您拥有的)。

仅仅基于阅读他们的网站,Material Security似乎采取了一种方法,自动识别您收件箱中的密码重置电子邮件,并迫使您在查看密码重置电子邮件之前接受MFA推送。

我有兴趣了解它们如何替换您收件箱中的电子邮件,以及它们是否屏蔽了密码重置电子邮件的主题行。毕竟,许多网站(包括Facebook)都会在主题行中包含您的恢复代码。