Jak zabezpieczyć pocztę e-mail?

Poczta elektroniczna (e-mail) to jedna z najpowszechniejszych form komunikacji w Internecie. Z roku na rok powiększa się grono osób preferujących wymianę informacji za pomocą mobilnych komunikatorów internetowych, jednak to właśnie posiadanie poczty e-mail jest często warunkiem koniecznym, by zarejestrować konto w większości portali internetowych (na przykład Netflix, Facebook czy Epic Games). Poczta elektroniczna jest też wykorzystywana jako podstawowy środek komunikacji w procesie resetu hasła użytkownika wielu serwisów. Warto zatem zadbać, by była bezpieczna.

Artykuł powstał w ramach współpracy z magazynem Programista Junior (https://programistajr.pl) i został opublikowany w numerze 05/2021. 

Dowiesz się

• Dlaczego warto dbać o bezpieczeństwo poczty elektronicznej.
• Jakie mechanizmy bezpieczeństwa warto włączyć w swojej poczcie e-mail.

Potrzebna wiedza

• Posiadanie poczty e-mail.

Dlaczego warto dbać o bezpieczeństwo poczty elektronicznej?

Włamania na skrzynki pocztowe to codzienność dla cyberprzestępców. Również tobie może przydarzyć się to, o czym do tej pory wyłącznie słyszałeś/-aś od znajomych lub czytałeś/-aś w Internecie. Czy tworząc konto poczty e-mail ustawiłeś/-aś jako hasło popularne słowo? A może w chwili nieuwagi kliknąłeś/-aś na link prowadzący do fałszywej strony serwisu poczty elektronicznej? Te i wiele innych sytuacji mogą sprawić, że nieupoważnione osoby uzyskają dostęp do Twojej poczty e-mail i zaczną przeglądać jej zawartość.

Przestępca, analizując historię twojej korespondencji elektronicznej, z powodzeniem może wytypować serwisy internetowe, w których założyłeś/aś konto, podając jako login swój adres e-mail. Tym samym może w tych serwisach skorzystać z procesu resetowania hasła, tak by zmienić je na wybrane przez siebie. Dzięki dostępowi do twojej skrzynki pocztowej nie będzie stanowiło to dla niego problemu, ty natomiast utracisz do nich dostęp, a wraz z nim wszystkie powiązane z nim informacje (dane, przedmioty, gry i tak dalej).

Skrzynka elektroniczna to nie tylko zbiór wiadomości wysyłanych do nas przez liczne serwisy internetowe. To także komunikacja wymieniana między tobą, a różnymi instytucjami (szkołą, bankiem, pracodawcą), która w swojej treści (lub w załączniku) zawierać może cenne dla przestępców informacje. To również prywatne rozmowy ze znajomymi, które często chcielibyśmy zachować dla siebie. Im dłużej korzystamy z danego adresu e-mail, tym większa kolekcja rozmów i wrażliwych danych na nasz temat się w niej gromadzi.

Należy też pamiętać, że dostęp do konta e-mail użytkownika często otwiera przestępcy wrota do całego ekosystemu dostawców usług. Logując się do klienta pocztowego, użytkownik jest jednocześnie uwierzytelniany w kalendarzu, powiązanej usłudze do przechowywania i synchronizacji plików (np. dysk Google (ang. Google Drive)), czy historii jego lokalizacji.

Jakiego dostawcę poczty e-mail wybrać?

Istnieje wielu dostawców poczty elektronicznej. Jeżeli zaczynasz swoją przygodę z poruszaniem się po Internecie i nie czujesz się na siłach, by postawić i konfigurować swój własny serwer pocztowy, to proponuję założyć konto u jednego ze sprawdzonych dostawców poczty e-mail. Prywatnie rekomenduję pocztę Gmail, ponieważ:

• doskonale filtruje niechciane wiadomości (ang. SPAM),
• celnie identyfikuje ataki phishingowe na użytkowników,
• skanuje załączniki pod kątem wirusów i złośliwego oprogramowania,
• ma szereg mechanizmów, które możesz skonfigurować na swojej poczcie, by
• zwiększyć jej bezpieczeństwo (część z nich włączona jest domyślnie).

Gmail oczywiście nie jest jedynym dostawcą poczty, który oferuje takie możliwości, jest on jednak sprawdzony i polecany zarówno przez osoby techniczne, jak i nietechniczne. Po prostu działa.

O czym pamiętać, zabezpieczając pocztę?

Kilka prostych zasad pozwoli nam zwiększyć bezpieczeństwo naszej elektronicznej skrzynki pocztowej:

1. Używaj silnego, unikalnego hasła

O sile hasła decydują w głównej mierze dwa czynniki: jego długość i unikalność. Tworząc hasło do swojej poczty, zadbaj o to, by miało co najmniej 12 znaków i było na swój sposób „oryginalne”. Krótkie hasła można złamać stosując tak zwany atak siłowy (ang. brute force attack), które polegają na sprawdzeniu każdej możliwej kombinacji znaków dla wybranej długości hasła. Jeżeli natomiast twoje hasło do serwisu internetowego to popularny zwrot, fraza lub ciąg znaków, to możesz być narażony na tak zwany atak słownikowy (ang. dictionary attack), w trakcie którego przestępca próbuje odgadnąć hasło do twojej poczty korzystając z bazy popularnych, przygotowanych wcześniej, wyrażeń. Pod żadnym pozorem nie używaj tego samego hasła na innych stronach i w różnych aplikacjach. Gdybyś używał/-a tych samych haseł i nastąpiłoby włamanie na jedno z twoich kont, przestępcy mogliby również zalogować się tym hasłem do twojej poczty.

Ciekawostka

W internecie można znaleźć bazy popularnych haseł wykorzystywanych przez użytkowników portali internetowych. Powstają one poprzez zebranie w jeden plik haseł, które wyciekły z serwisów, do których dokonano włamania. Przykładem takiej bazy jest zbiór o nazwie „RockYou”. Do najpopularniejszych haseł znajdujących się tej bazie należą takie kombinacje jak: „123456”, „Qwerty”, „abc123”, „Password” czy „iloveyou”.

2. Uruchom weryfikację dwuetapową (2FA)

W jednym z poprzednich artykułów mogłeś/-aś przeczytać o tym, czym jest dwuskładnikowe uwierzytelnianie i jak uruchomić je na platformie Epic Games. Proces włączania dwuskładnikowego uwierzytelniania w innych serwisach wygląda bardzo podobnie. W zależności od serwisu mogą być dostępne różne metody, na przykład zapasowy kod bezpieczeństwa, powiadomienie „push” na telefon, kod z aplikacji mobilnej (Ilustracja 1), klucz Yubikey czy kod dostarczany w wiadomości e-mail lub SMS. Włączenie tego mechanizmu sprawi, że znajomość jedynie hasła do konta nie pozwoli atakującemu na uzyskanie dostępu do twojego konta. Informację, jak to zrobić w Gmail, znajdziesz na stronie https://www.google.com/landing/2step/.

Warto wiedzieć

Przy włączonym mechaniźmie weryfikacji dwuetapowej użytkownik będzie proszony o podanie jednorazowego kodu dostępowego przy każdym logowaniu do serwisu, chyba że zdecyduje się dodać urządzenie do zaufanych (w koncie google poprzez zaznaczenie okienko „Nie pytaj ponownie na tym urządzeniu” podczas wprowadzania kodu jednorazowego). W takim wypadku dla danego urządzenia (na przykład domowego komputera) zostanie stworzony wyjątek, ale mechanizm będzie aktywny dla wszystkich innych przypadków.

3. Włącz powiadomienia bezpieczeństwa

Niektórzy dostawcy usług pocztowych pozwalają na włączenie funkcji informującej użytkownika (na przykład za pomocą wiadomości e-mail lub powiadomienia „push”) o tym, że ktoś właśnie loguje się na konto z nieznanego wcześniej komputera lub urządzenia. Warto takie powiadomienia włączyć i dokładnie weryfikować tego typu ostrzeżenia. W poczcie Gmail funkcja ta jest domyślnie włączona (Ilustracja 2). Po zalogowaniu do poczty Gmail na stronie https://myaccount.google.com/notifications możesz sprawdzić wszystkie notyfikacje z ostatnich 28 dni.

4. Szyfruj ważne dla ciebie informacje

Pamiętaj, że nawet jeżeli ty dbasz o bezpieczeństwo swojej skrzynki, nie możesz być pewny poziomu bezpieczeństwa poczty osoby, z którą korespondujesz. Jeżeli przesyłasz dokumenty zawierające wrażliwe dla Ciebie dane, zastanów się czy nie warto zaszyfrować ich przed wysłaniem. Jeżeli przestępca uzyska dostęp do twojej skrzynki pocztowej lub skrzynki osoby, z którą korespondujesz, nie będzie mógł przeczytać informacji zawartych w pliku bez znajomości ustalonego przez Ciebie hasła do zaszyfrowanych plików. Do szyfrowania samych załączników przed ich dodaniem do wiadomości e-mail możesz skorzystać z takich programów jak na przykład 7-Zip. Jeżeli chcesz szyfrować całe wiadomości e-mail skorzystaj z mechanizmu PGP/GPG dostępnego dla wybranego dostawcy usług pocztowych jako plugin do twojej przeglądarki.

5. Okresowo weryfikuj, jakie urządzenia mają dostęp do twojej poczty.

Wiele serwisów pozwala na weryfikację, czy na dane konto ktoś (poza tobą) jest obecnie zalogowany. Co więcej, funkcja ta pozwala na „odłączenie” niechcianego urządzenia od twojego konta. Jeżeli okaże się, że na liście urządzeń znajdziesz takie, którego nie rozpoznajesz, usuń je, a następnie zmień hasło do poczty oraz włącz mechanizm dwuskładnikowego uwierzytelnienia (jeśli jeszcze z niego nie korzystasz). W poczcie Gmail informacje o tym, jakie urządzenia zalogowane są na twoją pocztę, sprawdzisz na stronie https://myaccount.google.com/security-checkup.

Warto wiedzieć

Większość dostawców poczty e-mail wymaga, aby użytkownik miał co najmniej 13 lat, by założyć internetowe konto pocztowe. W przypadku konta Google w Polsce wymagane jest 16+ lat. Jeżeli nie spełniasz wymogów wiekowych by założyć skrzynkę e-mail, poproś rodziców lub opiekunów, żeby asystowali ci podczas zakładania konta.

6. Ustaw działanie na wypadek nieaktywności konta

Niektórzy dostawcy usług pocztowych pozwalają na zaplanowanie akcji, która wykona się w przypadku dłuższego okresu braku aktywności się na skrzynce pocztowej. Jeżeli korzystasz z poczty Gmail, pod linkiem https://myaccount.google.com/inactive możesz wskazać okres czasu, po którym Google uzna twoje konto za nieaktywne, i zaplanować co zrobić ze znajdującymi się na nim danymi. Masz możliwość udostępnić dostęp do skrzynki pocztowej komuś zaufanemu lub poprosić o usunięcie znajdujących się na niej danych.

Ciekawostka

Codziennie wysyłanych jest około 319.6 miliarda wiadomości e-mail. Daje to około 3.7 miliona wiadomość elektronicznych wysyłanych co sekundę! Szacuje się, że do 2025 roku liczba wiadomości e-mail wysyłanych w ciągu dnia wzrośnie do 376.4 miliardów.

Podsumowanie

Dbając o nasze bezpieczeństwo w Internecie, powinniśmy przykładać szczególną wagę do bezpieczeństwa naszej poczty elektronicznej. Uzyskanie dostępu do naszej skrzynki pocztowej przez nieupoważnione osoby daje intruzom nie tylko możliwość czytania naszej korespondencji, lecz również umożliwia resetowanie haseł do powiązanych serwisów internetowych (Netflix, Facebook, Epic Games) i powiązanych z pocztą usług (na przykład Google Drive czy historii lokalizacji, jeśli mamy ją włączoną). Gorąco zachęcamy do zapoznania się z wszystkimi funkcjami bezpieczeństwa konta Google pod adresem
https://myaccount.google.com/security

Zapamiętaj

• Ustaw silne, unikatowe hasło do swojej poczty.
• Włącz dwuskładnikowe uwierzytelnianie.

Ćwicz w domu

• Wypróbuj różne narzędzia do dwuskładnikowego uwierzytelniania.
• Skonfiguruj powiadomienia bezpieczeństwa na swojej poczcie.

Zapraszamy do zapoznania się z innymi artykułami przygotowanymi przez bezpieczny.blog dla magazynu Programista Junior:

• Nie daj przestępcy ukraść swojego konta gamingowego, czyli co to jest dwuskładnikowe uwierzytelnianie i dlaczego jest ważne?
• Jak rozpoznać phishing?
• Zabezpieczamy domową sieć przed stronami wyłudzającymi od nas dane - gościnny wpis w serwisie Sekurak.pl
• Używamy managera haseł
• O czym pamiętać konfigurując router
• Znajdź wirtualną flagę
• Uczymy się szyfrować pliki
• Kopia bezpieczeństwa
• Bezpieczeństwo systemów satelitarnych
• Piractwo komputerowe
• Czym jest honeypot?

Wiktor

Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.