12:52
22/6/2021

Nie sposób policzyć, ile razy w ostatnich tygodniach słyszeliśmy to pytanie. Po włamaniu na skrzynkę ministra Dworczyka, wielu Polaków zaczęło się zastanawiać, co mogą zrobić, aby zabezpieczyć swojego “maila”, aby nie podzielić losu ministra. Postanowiliśmy więc przygotować krótki poradnik w formie video.

Jak zabezpieczyć maila?

Nasz poradnik z premedytacją przygotowaliśmy w formie filmiku, bo najwyraźniej dziś tak najlepiej rozchodzą się treści w internecie. Nasz filmik ostrzegający przed oszustami podszywającymi się pod banki w tydzień obejrzało pół miliona osób (!!!), co mamy nadzieję znacznie utrudniło pracę złodziejom.

Temat bezpieczeństwa skrzynki podzieliśmy na dwie części:

  • Co zrobić, żeby się nam nikt nie włamał?
  • Co zrobić jeśli ktoś nam się włamie (i jak sprawdzić czy już się nie włamał)

Każdy z filmików zawiera 5 rad. Dziś udostępniamy pierwszy z nich, ten który pokazuje co warto ustawić na swojej skrzynce, aby zminimalizować ryzyko najpopularniejszych ataków.

Poza radami, na poniższym filmiku zobaczysz demo ataku pokazującego jak krok-po-kroku wygląda ominięcia dwuskładnikowego uwierzytelniania bazującego na kodach SMS lub aplikacji. I właśnie dlatego warto mieć klucz U2F

Prośba!

Prześlij link do powyższego filmiku swoim znajomym. Niech też się zabezpieczą. Jeśli to zrobią, wszyscy na tym skorzystamy. Ty też. Bo przecież nawet jeśli Twoja skrzynka jest już zabezpieczona, to informacje na Twój temat mogą wyciec z niezabezpieczonych skrzynek Twoich znajomych. Morawieckiego nie “zhackowali”, a mimo to wszystko co pisał do Dworczyka jest teraz widoczne…

Warto uświadomić znajomym, że skrzynka e-mail to nasz “cyfrowy paszport”, jeśli ktoś się na nią włamie, to może przejąć w zasadzie wszystkie pozostałe konta ofiary w innych serwisach. Dlatego “mejl” musi być dobrze zabezpieczony, a nasza video-instrukcja w tym pomaga. Więc jeszcze raz, prośba o jej przesłanie bliskim i dalszym znajomym, wrzut na social media, firmowe slacki i osiedlowe fora :) Dzięki! Tu link do skopiowania:

https://youtu.be/f0h_Ow2rw7s

PS. Niebawem opublikujemy drugą część, tę pokazującą jak sprawdzić, czy poza nami ktoś jeszcze czyta naszą pocztę i nas ukradkiem inwigiluje. Oraz jak poprawnie “posprzątać” po przejęciu skrzynki e-mail. Jeśli nie chcesz przegapić publikacji drugiego filmiku, “zasubskrybuj” nasz kanał na YouTube klikając tutaj. Inni, modni jutuberzy mówią żeby kliknąć także na dzwoneczek — my sugerujemy, żeby kliknąć w niego 3 razy, bo patrząc w kod strony YouTube, takie kliknięcie nieźle ogłupi algorytm :-D

Przeczytaj także:

40 komentarzy

Dodaj komentarz
  1. Czy po zastosowaniu 2fa z kluczem yubikey NFC będzie możliwe korzystanie z poczty na androidzie w jakiejkolwiek aplikacji? (Obecnie korzystam z aquamail pro) czy poczta na komórce będzie ograniczona do przeglądania w mobilnej przeglądarce?

    • normalnie poczta gmail działa w aplikacji gmail na androidach z kluczami NFC (o ile masz NFC w telefonie) ;-). A jeśli nie masz NFC, to też możesz dodać takie konto Google przy pomocy komputera, podając jednorazowy kod, wygenerowany po podpięciu klucza. Ogólnie instrukcje na ekranie są bardzo czytelne, jak się próbuje dodać takie konto do telefonu ;)

    • Zależy jaka poczta. Jeśli Gmail, to ten klient obsługuje OAuth2, obsługiwany też przez Gmail. Ewentualnie można ustawić “hasło do aplikacji”, ale to obniżenie bezpieczeństwa.

  2. W poczcie wp można sobie pobrać logi logowań z kilku ostatnich miesięcy.

  3. A będzie też wersja pisana dla wzrokowców?

  4. Protonmail Poproszę

    • Proton nie oferuje nawet obsługi kluczy w standardzie fido, takich jak Ubikey….

  5. Z eksperckich porad skorzysta może 1%, dla całej reszty twórcy przeglądarek mają zapamiętywanie haseł, które w typowym phishingu sprawdza się najlepiej, bo przeglądarka na fałszywej stronie nie podstawi loginu i hasła.

  6. Polecam bezpłatny certyfikat S/MIME na rok z możliwością przedłużenia od firmy Actalis S.p.A – https://www.actalis.it/en/certificates-for-secure-electronic-mail.aspx

    Pozwoli to na szyfrowanie wiadomości oraz potwierdzenie, że e-mail należy do nas.

  7. Skoro klucz U2F chroni w 100% przed atakami phisingowymi to czemu banki tego nie stosują albo zalecają? Nie widzę takiej opcji w ustawieniach kont.

    • Wiemy, że co najmniej jeden się przymierza. Dlaczego wciąż nie stosują – dlatego, że:
      1. Klucz to urządzenie, które trzeba kupić i przekazać klientowi, a klient może je zgubić, więc trzeba obsługiwać proces “zguby”
      2. Klucz U2F jest do uwierzytelnienia, tylko. Do autoryzacji operacji się go nie wykorzysta i przed atakami obecnymi na bankowość nie będzie chronił (tymi, gdzie użytkownik sam się okrada, osobiście wyklikując przelewy)
      3. Sam dostęp do konta klienta (uwierzytelnienie bez klucza) nawet jeśli możliwy, wiele nie daje (zobaczysz historię i kilka detali, ale pieniędzy nie wyprowadzisz) — wciąż trzeba “autoryzować” operację.

      Jednym zdaniem, w bankowości klucz U2F nie ma aż tak wielkiego sensu jak w przypadku kont z danymi (maile, facebooki, etc.)

    • Jak dla mnie banki powinny wprowadzić U2f i jak najbardziej można je wykorzystać do autoryzacji. A mianowicie po 1 podczas logowania standardowo użycie U2f np na komputerze na którym się logujemy, a później jak robimy przelew to autoryzacja w aplikacji mobilnej polegająca na kliknięciu w aplikacji banku oraz przyłożenia klucza nfc do telefonu.
      Bardzo bezpieczne, ale niestety trochę mało wygodne i nie zawsze będzie można wykonać przelew jeśli ktoś nie będzie nosił klucza przy sobie. Banki mogłyby by zrobić jakiś próg kwotowy np do 1000 zł bez użycia klucza U2f, jak robimy większe zakupy to wtedy klucza trzeba użyć. A zwykłe operacje potwierdzenie tak jak do tej pory PINem w aplikacji mobilnej banku. Wtedy będzie i wygodnie i bezpiecznie!
      Cały czas mówi się żeby włączać weryfikację 2 etapową, ale zus gdzie jest nr pesel, nr dowodu, i wszystkie nasze dane dalej jej nie umożliwia, nie da się też wyłączyć logowania hasłem (jak np ma to miejsce w profilu zaufanym), więc co nam po tym, że inne serwisy zabezpieczymy, jak z takim zus nic się nie da zrobić :( Nie rozumiem, dlaczego nie wprowadzą chociażby autoryzacji sms/email już lepsze to niż nie mieć nic.

    • @Piotr – chyba, żeby dać klientowi/użytkownikowi opcję “paranoid” tzn. każdy przelew wymaga dodatkowo autoryzacji.

  8. Czy można prosić, aby w artykułach oprócz filmów umieścić pigułę tekstową poniżej?
    Film trwa 15 minut, przeczytanie trwa 3-5 minut.
    Proszę o rozważenie, wersji tekstowej.

    • Popieram, potwierdzam. Nie wszyscy mają tę wygodę na oglądanie youtube w pracy. Po pracy nie ma czasu na życie osobiste a co dopiero na 15 minut filmu.

  9. to ja poproszę informację dla poczty Interia :)

  10. @odl – niestety za wiele poczt nie ma na telefony z androidem (jeżeli nawet obsługuje telefon z funkcją NFC) obsługujących klucz U2F – nie obsługuje Protonmail oraz Tutanota.

  11. Poczta w nazwa.pl. Macie jakieś rady? Moja firma akurat tam wykupiła hosting i tam trzyma skrzynki swoich pracowników.

  12. Ja także poproszę o wersję pisaną. Nienawidzę filmoporadników, bo to strata czasu.

  13. Jak zabezpieczyć konto pocztowe na home.pl gdzie ostatnie lata obsługa jedynie “przymierza się” do wprowadzenia 2FA (np.: https://forum.home.pl/threads/dodatkowe-zabezpieczenia-konta-przez-uwierzytelnianie-dwuskladnikowe.324 )

  14. Jak zabezpieczyć pocztę na home.pl?
    Opcji dodania 2FA brak :(

  15. […] gdy cały kraj mówi o (nie)bezpieczeństwie skrzynek pocztowych, w najważniejszym narzędziu polskiej e-administracji, Profilu Zaufanym, wciąż mamy poważną […]

  16. Po obejrzeniu tego filmu odniosłem jakieś takie dziwne wrażenie, że Google was sponsoruje. Tak się bowiem składa, że skrzynka pocztowa Tutanota także oferuje U2F, o czym zresztą już pisałem w jakimś wcześniejszym komentarzu. Dla przypomnienia:

    https://tutanota.com/blog/posts/most-secure-email-service – artykuł o prowokacyjnym tytule „Dlaczego Tutanota jest najbezpieczniejszą usługą e-mail”, w którym jest wspomniane o logowaniu U2F w kliencie przeglądarkowym.

    https://tutanota.com/blog/posts/u2f-support-firefox – artykuł z 2019 o wprowadzeniu U2F dla przeglądarki Firefox. Chrome i Opera mogły korzystać z tego uwierzytelniania od 2017.

    https://i.imgur.com/NYthg12.png – jak wygląda dodawanie klucza U2F do klienta przeglądarki.

    • Nie sponsoruje i zarówno na filmie pada Tutanota, jak i w innych artykułach oraz w trakcie naszych szkoleń mówimy i polecamy obok GMaila właśnie Tutanotę.

    • @Piotr Konieczny
      Och, doprawdy? To co tu można zobaczyć: https://youtu.be/f0h_Ow2rw7s?t=432

      „Rada #3 Włącz ochronę zaawansowaną (dostępna tylko na GMailu)”

    • Tu można zobaczyć radę o ochronie zaawansowanej, która jest dostępna tylko na GMailu.

    • @Piotr Konieczny
      To, co nazywasz ochroną zaawansowaną to funkcja, którą udostępnia Google, żeby zwiększyć bezpieczeństwo usług w całej swojej domenie. Funkcja ta to po prostu filtr, który ma sprawić, że będzie pilnować, aby użytkownik nie pobierał np. plików potencjalnie niebezpiecznych. Wielu klientów Google zna podobne funkcje, uniemożliwiające np. w Chrome wejście na strony, które rząd USA oznakował jako zawierające podejrzane informacje. Do takich funkcji należy również zakaz przesyłania zaszyfrowanych plików pocztą GMail. Też są zakazane, bo tak chce rząd USA:
      https://i.imgur.com/OFhxdAi.png

      Rzecz jasna żadne normalne, wolnościowe skrzynki nie będą udostępniać podobnych funkcji. Wręcz przeciwnie.

      A w jaki sposób owa „zaawansowana ochrona” jest chroniona? Otóż kluczem U2F! Przy czym w trakcie jej konfiguracji „Dodaj do swojego konta Google adres e-mail i numer telefonu, by móc łatwo odzyskać dostęp do konta w sytuacji awaryjnej.”
      https://landing.google.com/intl/pl/advancedprotection/faq/

      Dziękuję, nie mam więcej pytań.

    • Który potem (patrz kolejna rada) możesz odpiąć, do czego zachęcam.

      I nie kupuje Twojego “żadne wolnościowe skrzynki nie będą udostępniać podobnych funkcji”. Mogą. Powinny. W niczym to nie przeszkadza, żeby użytkownika ostrzec przed zagrożeniem.

      A zaszyfrowane pliki przez Gmaila jak najbardziej da się wysłać. Teoria spiskowa “bo rząd USA tak chce” upada… :)

  17. GMail nie jest bezpieczny!

    GMail nie jest bezpieczny, odkąd na życzenie rządu USA, Google udostępnił FBI backdoor do poczty e-mail (i nie tylko) swoich użytkowników.

    Było to w 2010. CNN opublikowało notatkę na ten temat:
    http://edition.cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html

    …powołując się na opinię Bruce Schneier, że to chińscy hakerzy odkryli i przejęli tylne drzwi, które Google, zgodnie z amerykańskim prawem, musiał udostępnić FBI. Jeżeli wierzycie, że jakikolwiek dostawca, który ma serwery na terenie USA, nie będzie udostępniał swoich danych rządowi tego kraju, to jesteście w błędzie!

    • Przeczytałeś to, co przytaczasz? To nie są “tylne drzwi” tylko standardowy system do obsługi wniosków z prokuratur i służb. W Polsce i innych krajach u innych dostawców usług pocztowych funkcjonuje to podobnie i jest regulowane. Domyślnie dostęp uzyskują służby nie do treści a do metadanych.

      Każdy kto nie szyfruje poczty musi sie z tym liczyć. Niebezpiecznik w artykule o GMailu wspominał o tym zagrożeniu (https://niebezpiecznik.pl/post/gmail-najbezpieczniejszy/). I mimo to, z czym ja się zgadzam, rekomenduje GMaila większości. Bo niestety nie ma lepszej, bardziej dopracowanej, chroniącej przed większą ilością ataków usługi pocztowej dla użytkownika końcowego.

      Prywatność to zupełnie inna kwestia. Większość osób woli nie stracić pieniędzy i nie dać się zainfekować przez atak mailowy, niż ochronić informacje na temat tego w jakich sklepach i co kupują przed Google. I to jest dobry wybór dla większości. Nie wspomne już o tym, że GMail jest bezpłatny a Tutanota płatna jeśli chce się z niej aktywnie korzystać, co dla wielu od razu jest nie do przeskoczenia. Ja płacę. Ty pewnie też. Ale czytelnicy niebezpiecznika to nie jest ogół społczeństwa.

      Pamiętaj, że nawet Ty, kiedy korzystasz z Tutanoty to nie zachowasz 100% prywatności, chyba, że wszyscy z którymi wymieniasz maile to uzytkownicy Tutanoty. A na bank nie ;)

    • @Snowden „Niebezpiecznik w artykule o GMailu wspominał o tym zagrożeniu”

      Masz na myśli obsuwę z „Google+”? Tak, też to czytałem. Co zaś do tego, co naprawdę udostępnia Google służbom specjalnym USA, to dowiemy się więcej, gdy zostanie przeanalizowana całość danych z ubiegłorocznej afery BlueLeaks. Są tam również raporty policji i FBI z ostatnich 10 lat.

      Co zaś do komunikacji z osobami, które nie mają Tutanoty, to przy tematach wrażliwych używam po prostu plików szyfrowanych symetrycznie.

  18. Wszystko fajnie i pięknie a jak konto firmowe w ramach hostingu nie obsługuje dwuskładnikowego uwierzytelniania?
    Ponadto wydaje mi się, że sporo (albo brak mi wiedzy co również możliwe ;) ), stron z uwierzytelnianiem nie obsługuje kluczy U2F.
    A co jeśli klucz nam padnie (pisze ktoś trzeba mieć drugi), ale skoro działa to jak pen to pamiętam jak za swego czasu kupowałem pendrive’a corsair-a po czym okazał się padnięty, dostałem nowy na gwarancji (bez sprawdzania w sklepie), przyszedłem do domu i również padnięty. Dopiero 3 był ok. I co poszyfruję wszystko co się da i po ptokach?
    A co jak wybuchnie pożar i mi spali oba klucze, albo wybuchnie gaz w domu itp. itd.?
    W sumie te klucze mogłyby być trzymane na serwerze firmy która produkuje klucze, ale jak uwierzytelnić, że to ja a nie sąsiad który chce wykraść dane,

    To już lepsze jakieś uwierzytelnianie biometryczne. Wystarczyłby czytnik linii lub siatkówki oka.

    Bardziej mi się podoba tymi sms-ami bo jak telefon zgubię to wyrobię nową kartę i też będzie, no ale mogę telefon zapomnieć z domu wziąć (jak również kluczy). W firmie ok może być w sejfie i wydawane z kluczami i do zdania po wyjściu w prywatnej poczcie to już gorsza sprawa.

    Banki po co mają sobie utrudniać wydają klucze generujące co 1 min. nowy klucz a jak zgubisz to Ci nowy wydadzą (i to uważam za bezpieczne o ile sam komputer/telefon czy na czym tam wchodzisz jest czysty). A jeśli chcesz sms-em to możesz też tak, ale uważam to za mniej bezpieczne zawsze istnieje opcja podania się za kogoś i wyrobienie duplikatu sim lub inne metody.

    Osobiście hasła trzymam w KeePass i mam go na telefonie, kompie dodatkowo dropbox, no ale to nie jest dwuskładnikowe, ale zdarzyło mi się że uszkodziła się baza w telefonie.

  19. Rozumiem, że zalecane jest posianie dwóch kluczy U2F, ale czy dla siebie i dziewczyny mogę kupić 3 klucze (2 normalne i 1 zapasowy dla nas obojga)? Zastanawiam się, czy Gmail lub inna firma, przyjmie ten sam klucz dla dwóch różnych kont.

  20. Proszę o poradnik poczta: home.pl, klient: Windows10 + outlook 2019,

  21. […] Poza ogarnięciem swoich wycieków danych, warto też poprawnie zabezpieczyć dostęp do swojej skrzynki pocztowej, bo przejęcie nad nią kontroli to z reguły game over. Rzućcie okiem na te 5 darmowych porad. […]

  22. Zastanawiam się, dlaczego nigdzie nie znalazłem następującej porady we wszystkim co piszecie, na Waszym szkoleniu (byłem) również:
    “Zlikwiduj i nie zakładaj niepotrzebnych kont na portalach, w sklepach internetowych. Jeśli coś kupujesz w necie, kup bez zakładania konta.”
    Przecież to są potencjalne miejsca wycieku, a jak ktoś ma takich kont w sklepach netowych dziesiątki, to zwyczajnie nie jest w stanie pamiętać wszystkich unikalnych loginów/haseł i zaczyna stosować to samo w wielu miejscach. I sam prosi się o kłopot.
    Czemu nie doradzacie minimum higieny?

    • To że nie zakładasz konta (lub je kasujesz), nie znaczy, ze Twoje dane z danego serwisu nie wyciekną :)

    • @Tomek “A jak ktoś ma takich kont w sklepach netowych dziesiątki, to zwyczajnie nie jest w stanie pamiętać wszystkich unikalnych loginów/haseł i zaczyna stosować to samo w wielu miejscach. I sam prosi się o kłopot.”

      Od prawie 10 lat uzywam menedzera hasel KeePass i nie pamietam zadnych innych hasel niz haslo glowne do KeePassa i haslo do chmury, gdzie trzymam kopie bazy na wszelki wypadek. Ten “wszelki wypadek” to troche na wyrost, bo KeePassa z ta sama baza mam na 3 komputerach i 2 telefonach. Do kazdego serwisu mam unikalne haslo o dlugosci co najmniej 16 znakow i naprawde nie znam tych hasel, bo nawet jak otwieram KeePassa to hasla sa ukryte, a ja tylko uzywam autowklejania lub uzywam metody drag & drop.

      Jesli kupujesz w jakims sklepie internetowym, to nawet bez zakladania konta sklep musi przez jakis czas (bodajze 5 lat) trzymac dane o transakcji do celow podatkowych. I byc moze w tych danych sa tez twoje dane adresowe. Konto sluzy tylko po to, zeby gromadzic wszystkie zamowienia jednego klienta w jednym miejscu w bazie i zeby klient mial w to wglad. Przy okazji mozna klientowi proponowac rabaty, jesli robi zakupy powyzej pewnego pulapu.

  23. Co niebezpiecznik.pl sądzi o działaniach operatorów darmowych skrzynek e-mail, jak Onet, WP, Tlen, którzy likwidują możliwość posiadania indywidualnego hasła do każdej skrzynki – wymyślili sobie coś takiego co nazwali “O!konto”? Napiszcie jak to się ma do waszych rad dotyczących bezpieczeństwa skrzynki e-mail, o których mówicie w poradniku “https://youtu.be/f0h_Ow2rw7s”.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: