Innholdsfortegnelse:
Video: How to Use Gmail Filters and Labels (Tutorial) (Oktober 2024)
Denne uken følger jeg opp en melding fra en leser som tidligere skrev om hvordan du ikke kan bli låst ute av kontoene dine når du bruker tofaktorautentisering, eller 2FA. Jeremy fra Capetown har også skrevet inn for å spørre om det er mulig å bruke 2FA for å holde Google utenfor Gmail. Brevet hans er redigert for kortfattethet.
Er det satt opp en slags sikkerhet som man kan implementere som kan forhindre at Google selv får tilgang til Gmail?
Hva er tofaktorautentisering?
Å gjennomgå: tofaktorautentisering er når du bruker to autentiseringsfaktorer fra en liste over en mulig tre: Noe du vet, noe du har eller noe du er. Et passord, for eksempel, er noe du vet og et fingeravtrykk er noe du er. Når du bruker de to sammen, bruker du 2FA.
Rent praktisk innebærer 2FA et ekstra skritt du tar etter å ha lagt inn passordet ditt for absolutt å bevise at du er den du sier du er. Dette innebærer ofte bruk av en engangskode generert fra en app eller sendt via SMS, men det er mange andre alternativer, inkludert tap-to-login-apper som Duo eller maskinvaresikkerhetsnøkler som de fra Yubico og andre produsenter.
2FA er bra. Du bør bruke den. Det er en fin måte å holde skurkene utenfor kontoene dine, men det ser ikke ut til at det vil gjøre mye for å holde Google utenfor.
Hvem ser hva?
Generelt ser det ut til at Google har tilgang til innholdet i e-postene dine. Christopher Cuong Nguyen, som oppgir seg som en tidligere Google-ansatt, skrev på Quora i 2010 at et veldig lite antall ansatte kan få tilgang til e-postinnhold, og at det finnes en svært regulert bane for informasjon som kan hentes. Nå er denne informasjonen nesten et tiår gammel på dette tidspunktet, men det viser at ja, på et tidspunkt var det folk som kunne nå inn på Gmail-kontoen din.
Som et lovlydig selskap sier Google at det er påkrevd å etterkomme juridiske forespørsler om informasjon fra myndigheter og rettshåndhevelse. Dette kan omfatte innholdet i e-postmeldingene dine, selv om Google påpeker at den streber etter å begrense omfanget av forespørsler den mottar og krever en søkeordre før du overleverer dine bilder, dokumenter, e-postmeldinger og mer.
Det er andre måter Google bruker Gmail-informasjonen din. Mens selskapet ikke lenger skanner meldinger for å generere tilpasset annonseinnhold, gjorde det berømt i mange år. Til og med nå analyserer Gmail meldingene dine nok til å trekke frem og fremheve reiseinformasjon, og generere forslag til forhåndsvisning når du skriver meldinger. Avhengig av ditt komfortnivå, kan dette være helt fint eller vilt invasivt.
Google ser ut til å kryptere e-postene dine, men først og fremst mens disse meldingene er i transitt. Selv om disse meldingene er kryptert mens de er i ro på Googles servere, hvis Google administrerer krypteringsnøklene - og det jeg har sett innebærer at det gjør - kan Google fremdeles tenke tilgang til meldingene dine.
2FA er ikke svaret
Jeg kan se hvor Jeremy kommer fra med spørsmålet sitt. Siden jeg kontrollerer min Yubikey, og Google ikke, hvis jeg aktiverer 2FA, skal ikke Google kunne få tilgang til Gmail-kontoen min. Google kan imidlertid gjøre endringer i kontoer som er sikret med 2FA.
Når jeg startet en av mine Gmail-kontoer som ikke er i arbeid, klikket jeg på alternativet Glemt passord. Det hoppet umiddelbart alternative alternativer for pålogging: sende en tekst til telefonen min, bruke min Yubikey, trykke på et varsel på en bekreftet telefon, sende en e-post til gjenopprettings-e-postadressen, svare på et sikkerhetsspørsmål, legge inn datoen jeg opprettet Gmail konto, og deretter til slutt la en e-postadresse der jeg kan nås av Google for å løse problemet mitt direkte. Hvis Google kan gi meg tilgang til min egen konto uten nødvendigvis å ha passordet eller andre faktorer, betyr det at Google kan gjøre det selv.
Selv Googles avanserte beskyttelsesprogram for Gmail har et slags gjenopprettingsalternativ. Når det er aktivert, krever Advanced Protection at du registrerer to forskjellige maskinvaresikkerhetsnøkler - en for innlogging og en annen som sikkerhetskopi. Hvis du mister begge nøklene, sier Google dette om å gjenvinne kontrollen over kontoen for ditt avanserte beskyttelsesprogram:
Hvis du fortsatt har tilgang til en pålogget økt, kan du gå til account.google.com og registrere erstatningsnøkler i stedet for de tapte nøklene. Hvis du har mistet begge nøklene og ikke har tilgang til en pålogget økt, må du sende inn en forespørsel om å gjenopprette kontoen din. Det vil ta noen dager før Google bekrefter at det er deg og gir deg tilgang til kontoen din.
Alt i alt virker det som om 2FA - selv den ekstreme versjonen av den som brukes i Advanced Protection - ikke er nok til å holde Google utenfor e-posten din. For de fleste er det sannsynligvis en god ting. E-postkontoer er en utrolig viktig del av den enkeltes sikkerhetsinfrastruktur. Hvis du mister et passord eller må endre et passord, er en e-post som sendes til en bekreftet konto vanligvis en del av prosessen. Hvis en angriper får tilgang til e-postkontoen din, kan de fortsette å bruke alternativet for gjenoppretting av kontoer på nettsteder for å få tilgang til enda flere kontoer. Det er viktig at brukere har et middel til å gjenvinne kontrollen over kontoene sine.
Virkelig private meldinger
Når vi snakker om hva som kan og ikke kan sees i meldingssystemer, snakker vi om kryptering, ikke autentisering. De fleste tjenester bruker kryptering på forskjellige punkter i prosessen med å sende og lagre en melding. Gmail bruker for eksempel TLS når du sender en melding for å sikre at den ikke blir snappet opp. Når en meldingstjeneste av noe slag beholder nøklene som brukes til å kryptere meldingene dine når de hviler på serveren, er det en sikker forutsetning at selskapet kan få tilgang til disse meldingene selv.
Hvis du vil beholde Gmail-kontoen din, men vil gjøre meldingene dine uleselige, kan du kryptere disse meldingene selv. Det er mange krypteringsprogramtillegg for Chrome, eller du kan konfigurere Thunderbird til å kryptere meldingene dine med PGP, et ofte brukt krypteringsskjema for e-post. De dyrere Yubico-modellene kan også konfigureres til å spytte ut PGP-nøkkelen når det er nødvendig.
Jeg skal bare være ærlig og si at selv om jeg er sikker på at noe av dette fungerer, har jeg aldri klart å forstå dem tilstrekkelig. Skaperen av PGP sa berømt at selv han synes prosessen er for innviklet til å forstå.
Det som kan være enklere er å bruke krypteringsverktøy for å kryptere meldinger, og deretter legge ved eller lime inn den krypterte utdataene i Gmail. Du må koordinere dekrypteringsprosessen i den andre enden, men innholdet i e-posten vil ikke kunne leses for Google eller noen andre for den saks skyld. Keybase.io er en annen tjeneste som kan kryptere, dekryptere eller signere tekst som kan brukes i en e-post.
Hvis du absolutt må være sikker på at ingen, men du har tilgang til e-posten din, er det noen få alternativer. Først og fremst vil være å grøfte Gmail. ProtonMail, fra skaperne av ProtonVPN, er en tjeneste som er ment å respektere personvernet ditt, og gjør det ved å kryptere alle e-postmeldingene dine - inkludert de du sender og mottar fra folk som bruker andre e-postleverandører. Slik beskriver ProtonMail driften:
Alle meldinger i ProtonMail-innboksen lagres kryptert fra ende til annen. Dette betyr at vi ikke kan lese noen av meldingene dine eller overlate dem til tredjepart. Dette inkluderer meldinger som er sendt til deg av brukere som ikke er ProtonMail, men husk at hvis en e-post blir sendt til deg fra Gmail, beholder Gmail sannsynligvis en kopi av meldingen.
- To-faktor autentisering: Hvem har det og hvordan konfigurerer det to-faktor autentisering: Hvem har det og hvordan konfigurerer det
- Google Titan Security Key Bundle. Google Titan Security Key Bundle
- SecurityWatch: Hvordan ikke bli låst ut med to-faktor autentisering SecurityWatch: Hvordan ikke bli låst med to-faktor autentisering
Et annet alternativ er å se utover e-post. På slutten av 2010-tallet førte det til et stort antall meldingsformidlinger som bruker datatilkoblingen din i stedet for SMS-planen din for å sende meldinger mellom enheter. I løpet av de siste årene har mange av disse tjenestene tatt i bruk ende-til-ende-kryptering, noe som betyr at bare du og din tiltenkte mottaker kan lese meldingene dine. Signal er den mest kjente, og en utmerket app i seg selv. WhatsApp tok i bruk Signalprotokollen, og krypterer nå meldingene fra ende til annen. Facebook Messenger bruker litt ironisk nok også Signal-protokollen for sin Secret Messages-modus.
Apples Messages-plattform er kanskje mest kjent for sine klistremerker og animoji-karaoke, men det er også et bemerkelsesverdig sikkert meldingssystem. Det er også bemerkelsesverdig fordi du i motsetning til andre meldingstjenester kan sende og motta meldinger på enten telefonen eller datamaskinen din uten å gi Apple tilgang til innholdet i meldingene dine.
Når det gjelder bruk av Gmail, anbefaler jeg folk å lytte til tarmen. Hvis du er dypt bekymret for at meldingene dine blir lest av mennesker eller roboter, kan du prøve et alternativ. Hvis Gmail virkelig er praktisk for deg, og du liker funksjonene det tilbyr, hold deg med den. Det er absolutt mulig å prøve å bøye Gmail mot å være helt sikker, men det er så mange enklere alternativer. Til slutt er 2FA en flott løsning for å holde skurkene utenfor kontoene dine, og det handler om det. Jeg vil ikke stole på at det låser eieren av en tjeneste.
