אבטחת מייל - הבסיס שכולם צריכים¶
תיבת המייל שלכם היא כנראה החשבון החשוב ביותר שיש לכם באינטרנט, ורוב האנשים לא מתייחסים אליה ככה. למה זה כל כך קריטי? כי כמעט כל חשבון אחר - בנק, רשתות חברתיות, קניות, עבודה - משתמש במייל שלכם לאיפוס סיסמה. מי ששולט בתיבת המייל שלכם, יכול בפועל לאפס סיסמה ולהשתלט על כמעט כל חשבון אחר שיש לכם.
למה מייל הוא נקודת התורפה המרכזית¶
תארו לעצמכם שמישהו משיג גישה לתיבת המייל שלכם. הצעד הראשון שהוא יעשה הוא לגשת לאתר הבנק, ללחוץ "שכחתי סיסמה", ולקבל את קישור האיפוס - ישר לתיבה שהוא כבר שולט בה. אותו דבר ברשתות חברתיות, בחשבונות קניות, כמעט בכל מקום. זו הסיבה שכדאי להתייחס לאבטחת המייל ברמת רצינות גבוהה יותר מכמעט כל חשבון אחר.
סיסמה חזקה וייחודית - התנאי הבסיסי¶
סיסמת המייל צריכה להיות ארוכה, ייחודית לגמרי (לא בשימוש בשום אתר אחר), ורצוי שתיווצר ותישמר על ידי מנהל סיסמאות ולא תוקלד מהזיכרון. אם משתמשים באותה סיסמה גם במייל וגם באתר אחר שדולף, המייל בסכנה מיידית.
אימות דו-שלבי - חובה, לא המלצה¶
אם יש חשבון אחד שבו אימות דו-שלבי הוא לא אופציונלי, זה חשבון המייל. גם אם הסיסמה דולפת בדרך כלשהי, אימות דו-שלבי עוצר את רוב ניסיונות ההשתלטות, כי נדרש גם קוד או אישור ממכשיר פיזי שרק לכם יש גישה אליו.
עדיף אפליקציית אימות (כמו Google Authenticator או Authy) על פני קבלת קוד ב-SMS, כי הודעות SMS פגיעות יותר להתקפות שבהן תוקף "משכפל" את מספר הטלפון שלכם (Sim Swap). לא כל שירותי המייל תומכים באפליקציית אימות, אבל כדאי לבחור באפשרות הכי חזקה שזמינה.
מגדירים דרכי שחזור עדכניות¶
בהגדרות כל חשבון מייל יש אפשרות להגדיר מספר טלפון או מייל חלופי לצורך שחזור גישה. חשוב לוודא שהפרטים האלה עדכניים - מספר טלפון ישן שכבר לא בשימוש הופך את שחזור החשבון שלכם למסובך במיוחד אם יום אחד תצטרכו אותו.
בודקים מדי פעם מכשירים מחוברים¶
רוב שירותי המייל הגדולים מציגים בהגדרות רשימה של מכשירים ומיקומים שבהם החשבון פעיל כרגע. הצצה מדי כמה חודשים ברשימה הזו, וניתוק כל מכשיר שאינו מוכר, היא הרגל טוב. אם רואים כניסה ממדינה שמעולם לא ביקרתם בה, זה סימן ברור שמשהו לא בסדר.
זהירות עם הרשאות לאפליקציות צד שלישי¶
הרבה שירותים מבקשים הרשאת "התחברות עם גוגל" או גישה לתיבת המייל לצרכים שונים - יבוא אנשי קשר, סנכרון יומן, ועוד. עם הזמן מצטברות הרשאות לעשרות שירותים שכבר לא זוכרים בכלל. שווה לבדוק פעם ברבעון בהגדרות האבטחה של חשבון המייל אילו אפליקציות מחוברות, ולבטל גישה לכל מה שלא בשימוש פעיל.
חשוד בכל בקשה לפרטי מייל בהודעה¶
בנקים, רשויות, וחברות אמיתיות לא מבקשות מכם "לאמת" את פרטי חשבון המייל דרך קישור בהודעה. אם מגיעה בקשה כזו, בין אם היא נראית רשמית ובין אם לא, זו כנראה ניסיון פישינג שמטרתו בדיוק להשתלט על אותה תיבה שכל שאר החשבונות שלכם תלויים בה.
שוקלים תיבת מייל נפרדת לדברים רגישים במיוחד¶
מי שרוצה שכבת הגנה נוספת יכול לשקול תיבת מייל נפרדת, שמשמשת רק לחשבונות פיננסיים ורגישים (בנק, ביטוח), נפרדת מהתיבה הרגילה שמשמשת להרשמות יומיומיות ופחות קריטיות. כך גם אם התיבה הרגילה נפגעת בדרך כלשהי, החשבונות הרגישים ביותר מבודדים יותר.
המסקנה¶
אבטחת המייל היא אולי הפעולה היחידה עם התועלת הגבוהה ביותר ביחס למאמץ בכל עולם האבטחה האישית, כי היא בעצם מגנה בעקיפין על כל שאר החשבונות שתלויים בה. סיסמה ייחודית וחזקה, אימות דו-שלבי, ומעקב תקופתי אחרי מכשירים מחוברים - שלושה צעדים שביחד סוגרים את רוב הדלת.
אם הנושא הזה מסקרן אתכם¶
אם אתם סקרנים איך תוקפים בפועל מנסים להשתלט על חשבונות מייל, ואילו טכניקות הגנה עומדות מולם, זה חלק מרכזי בעולם אבטחת המידע. יש לנו קורס פריצת אתרים חינמי שנכנס לעומק גם בנושאים כאלה.
ואם יש לכם שאלה על אבטחת חשבון המייל שלכם - הקהילה שלנו כאן בשבילכם.