Blog

E-Mail-Anbieter können mehr tun, um ihre Benutzer zu schützen. Hier ist wie

Old-School-Spam



E-Mail ist einer der sensibelsten Teile unserer Online-Identität. Alle unsere Konten – Amazon, PayPal, Facebook usw. – sind mit unserer E-Mail-Adresse verknüpft. Dies macht E-Mails zu einem Hauptziel für Hacker. Wir haben Matthias Pfau, Gründer der secure, gefragt Post Service Tutanota, was E-Mail-Anbieter und Benutzer tun müssen, um ihre E-Mail-Konten zu schützen. Ihm zufolge könnte es an der Zeit sein, Gmail und Yahoo hinter sich zu lassen.

Q:E-Mail ist eines der wichtigsten Online-Tools. Jeder hat ein E-Mail-Konto und die meisten von uns haben in ihren E-Mails Informationen gespeichert, die andere nicht sehen sollen. Wie ist es möglich, dass es zu massiven Passwort-Hacks wie dem Yahoo-Hack kommen kann?



A:Das Hauptproblem sind E-Mail-Anbieter. Viele Anbieter sichern die Passwörter ihrer Benutzer nicht so gut, wie sie sollten. Der Yahoo-Hack ist leider ein sehr gutes Beispiel. In den Jahren 2013 und 2014 verschafften sich böswillige Angreifer Zugriff auf 3 Milliarden Yahoo-Passwörter und das Unternehmen hat seine Benutzer nicht einmal benachrichtigt .

Deshalb Sicherheitsorientierte E-Mail-Dienste wie Tutanota gewinnen an Bedeutung . Wir verstehen, dass wir als Entwickler sicherstellen müssen, dass Passwort-Hacks unmöglich sind. E-Mail-Dienste sollten niemals Zugriff auf die Passwörter ihrer Benutzer haben. Der Grund ist einfach: Wenn wir keinen Zugriff auf das Passwort haben, können böswillige Angreifer uns das Passwort nicht stehlen. Mit der richtigen Sicherheitseinrichtung ist es nicht notwendig, das einfache Passwort tatsächlich auf dem Server zu speichern, um Personen in ihren Postfächern anzumelden. Es reicht aus, einen Hash zu speichern – einen Code, der das richtige Postfach entsperrt –, der nicht in das Passwort zurückgerechnet werden kann. Jeder, der den Hash stiehlt, würde am Ende mit leeren Händen dastehen. Die meisten E-Mail-Dienste erlauben ihren Benutzern auch, sich mit schwachen Passwörtern anzumelden, die leicht durch Brute-Force-Angriffe geknackt werden können. Der durchschnittliche Benutzer möchte nicht über Sicherheit und deren Erreichung nachdenken. Der E-Mail-Dienst muss das für sie erledigen, und das tun wir bei Tutanota bereits.



Q:Bei Tutanota haben Sie nicht nur keinen Zugriff auf die Passwörter der Benutzer, sondern auch keinen Zugriff auf den Inhalt der Postfächer der Benutzer. Alle Daten werden verschlüsselt. Warum ist es Ihrer Meinung nach wichtig, alle E-Mails zu verschlüsseln?

A:Die E-Mail-Sicherheit ist von Natur aus fehlerhaft. Aufgrund der offenen Gestaltung von E-Mails ist es äußerst erfolgreich. Jeder kann jedem eine E-Mail senden, unabhängig davon, wo die E-Mails gehostet werden. Es ist ein sehr einfaches Tool, um mit jedem auf der Welt Kontakt aufzunehmen. Aufgrund des offenen Designs ist es jedoch nahezu unmöglich, E-Mails ausreichend zu sichern.

Grundsätzlich sollten alle E-Mails mit einer SSL-Verschlüsselung geschützt werden. Jeder E-Mail-Dienst sollte beispielsweise über sehr gute SSL-Bewertungen verfügen SSLLabs oder weiter securityheaders.io . Ohne SSL kann jeder alle Ihre E-Mails kopieren und lesen. Nicht nur der Secret Service, sondern jeder böswillige Angreifer, der den gesamten E-Mail-Verkehr einer Person kopieren kann. Dann scannen sie die Daten nach Wörtern wie „Kreditkarte“. Es ist wirklich so einfach.

Für eine ausreichende E-Mail-Sicherheit benötigen wir jedoch eine Ende-zu-Ende-Verschlüsselung, da die SSL-Verschlüsselung lediglich einen Tunnel aufbaut, durch den die E-Mails gesendet werden. Leider sind Verschlüsselungsstandards wie PGP oder S/MIME für viele zu kompliziert und haben sich daher nie großer Beliebtheit erfreut. Aus diesem Grund haben wir bei Tutanota beschlossen, E-Mails von Grund auf neu zu erstellen, einschließlich automatischer Ende-zu-Ende-Verschlüsselung. Mit der integrierten Verschlüsselung von Tutanota können Sie absolut sicher sein, dass niemand außer dem beabsichtigten Empfänger Ihre E-Mails lesen kann. Nur Sie und der Empfänger haben Zugriff auf den Schlüssel zum Öffnen der E-Mail. Mainstream-E-Mail-Anbieter wie Gmail und Yahoo verfügen nicht über eine automatische Ende-zu-Ende-Verschlüsselung.

Q:Grundsätzlich sagen Sie, dass E-Mail-Dienste die E-Mail-Konten ihrer Benutzer viel besser schützen müssen als die meisten von ihnen. Wenn jedoch Nachrichten über Passwort-Hacks bekannt werden, wird den Benutzern mitgeteilt, dass sie ihre Konten ordnungsgemäß sichern müssen. Gibt es nichts, was ein Benutzer tun kann?

A:Eigentlich gibt es eine Menge. Ich möchte jedoch darauf hinweisen, dass dies auch in unserer Verantwortung als Entwickler liegt. Wir müssen einen E-Mail-Dienst entwickeln, der einfach zu verwenden und zu sichern ist – ein Dienst, der die Sicherheit für den Benutzer übernimmt.

Wenn dies erledigt ist, können und sollten Benutzer einige einfache Schritte unternehmen, um ihre Online-Konten zu sichern:

  1. Erstellen Sie starke Passwörter . Melden Sie sich nicht mit Passwörtern wie „123456“ an. „123456“ ist derzeit das am häufigsten verwendete Passwort . Das muss aufhören, denn Menschen brauchen nicht einmal rohe Gewalt, um ein solches Passwort herauszufinden. Jeder kann es erraten – Ihr Nachbar, Ihr Arbeitgeber – und dann alle Ihre E-Mails lesen.
  2. Aktivieren Sie 2FA. Die beste Option für die Zwei-Faktor-Authentifizierung ist U2F, ein physisches Gerät, das Sie benötigen, um sich bei Ihrem Konto anzumelden. Zwei-Faktor-Authentifizierung schützt Ihr E-Mail-Konto auch in einem Yahoo-ähnlichen Szenario, in dem Angreifer die Passwörter aller Benutzer stehlen.
  3. Seien Sie vorsichtig, wenn Sie einen öffentlichen PC verwenden. Melden Sie sich immer ab und speichern Sie Ihre Anmeldedaten niemals im Browser.
  4. Schützen Sie Ihre E-Mail-Adresse. Veröffentlichen Sie Ihre E-Mail-Adresse nicht in Blog-Kommentaren oder in sozialen Medien.
  5. Verwenden Sie Aliase. Alias-E-Mail-Adressen sind sehr praktisch, wenn Sie Ihre Haupt-E-Mail-Adresse verbergen möchten. Verwenden Sie Aliase, um sich für Newsletter usw. anzumelden. Wenn diese E-Mail-Adresse von Spammern missbraucht wird, können Sie sie einfach löschen, ohne Ihre Haupt-E-Mail-Adresse ändern zu müssen.
  6. Vorsicht vor Phishing. Meistens Phishing-E-Mails sind leicht zu erkennen . Sie werden immer aufgefordert, auf einen Link zu klicken und Ihre Anmeldedaten einzugeben. Tun Sie dies niemals.
  7. Verwenden Sie Verschlüsselung. Verschlüsseln Sie Nachrichten mit vertraulichen Informationen vor dem Senden.
  8. Wählen Sie den richtigen Service. Alle sieben hier genannten Schritte sind nutzlos, wenn Ihr E-Mail-Anbieter nicht dafür sorgt, dass Ihr E-Mail-Konto sicher eingerichtet ist. Ich bin diesbezüglich voreingenommen, aber ich empfehle es Tutanota .

SPAM der alten Schule ” von G M lizenziert unter CC BY 2.0

^