Jak zabezpieczyć pocztę elektroniczną? Najlepiej postawić na 2FA

Poczta elektroniczna jest jedną z najpopularniejszych usług internetowych. To ona zapewnia komunikację pomiędzy internautami na najbardziej podstawowym poziomie, jednak wspomaga również budowę architektury bezpieczeństwa. Inaczej niż w przypadku mediów społecznościowych, za pomocą protokołu SMTP możemy wysyłać wiadomości do każdej osoby lub firmy w Internecie, a nie tylko do znajomych (trafianie naszej korespondencji do spamu jest zupełnie inną kwestią).

Maile służą również do rejestracji użytkowników w innych usługach, od e-commerce, przez bankowość, aż po streamingi. To czyni je atrakcyjnym łupem dla hakerów. Po przejęciu skrzynki cyberprzestępcy mogą bowiem próbować resetu hasła, co może nas odciąć od najważniejszych serwisów, jak również zostać wykorzystane do kradzieży tożsamości.

Podstawowym rozwiązaniem jest skorzystanie ze skomplikowanego hasła. Powinno zawierać co najmniej 8 znaków, duże i małe litery, cyfry i znaki specjalne. Nie może składać się z wyrazów, które łatwo znaleźć w słowniku. Choć hasła można zapamiętywać, to najlepiej skorzystać programów, które zrobią to za nas i zsynchronizują je pomiędzy różnymi urządzeniami.

Innym sposobem na ochronę dostępu są klucze U2F (Universal 2nd Factor), które można podłączyć do komputera za pomocą USB. Dopiero gdy urządzenie wykryje obecność klucza, a użytkownik potwierdzi swoją tożsamość odciskiem palca, dostęp do konta zostanie odblokowany. Dobrą praktyką w przypadku kluczy U2F jest posiadanie duplikatu – jeden klucz nosimy ze sobą, a drugi trzymamy w zapasie na czarną godzinę.

W przypadku kluczy U2F musimy pamiętać, aby zawsze mieć je na podorędziu. Nieco wygodniejszym rozwiązaniem jest skorzystanie z urządzenia, które i tak prawie zawsze nosimy w kieszeni. Przyjrzyjmy się zatem możliwości wykorzystania SMS-a do autoryzacji na przykładzie hostingu nazwa.pl.

Użytkownicy korzystają dziś z poczty e-mail za pomocą różnych interfejsów. Jednym wystarczy webmail, będący aplikacją pocztową otwieraną jako karta w przeglądarce. Inni preferują klientów, bazujących na protokołach IMAP4 lub POP3. W przypadku naszego hostingu mechanizm 2FA można włączyć na dwa sposoby. Pierwszy polega na wykorzystaniu Google Authenticatora, a drugi na podaniu numeru telefonu komórkowego. To na niego przesyłane będą wiadomości tekstowe z kodem do autoryzacji przy logowaniu do webmaila. W przypadku klientów pocztowych otrzymamy link. Po jego otworzeniu potwierdzimy, że dany adres IP należy do nas. Autoryzacji możemy dokonać na 1, 4, 8 lub 24 godziny i zarządzać nią w dowolny sposób.

Dwuskładnikowe uwierzytelnianie jest dziś standardem w przypadku zakupów w sieci lub korzystania z bankowości. Dzięki konieczności podania dodatkowego kodu haker nie będzie w stanie skorzystać z naszego konta nawet po poznaniu hasła. Jeśli zaś dostaniemy SMS-a z kodem, choć sami wcale się nie logowaliśmy, to będzie to znak, że ktoś niepowołany próbował się dostać na nasze konto i czas zmienić hasło.

Dostępności mechanizmów zabezpieczających pocztę różni się u dostawców hostingu. To jedna z kluczowych kwestii, którą warto zweryfikować przed zdecydowaniem się na współpracę z daną firmą. Szczegóły typów autoryzacji przedstawia poniższa tabela.

Niektórzy usługodawcy dają możliwość skorzystania z 2FA jedynie przy logowaniu do panelu zarządzania, inni natomiast wyłącznie do webmaila. Wówczas, w najlepszym przypadku, wyłączany będzie dostęp przez POP3/IMAP4. Użytkownik nie może więc korzystać z poczty za pomocą programu i za każdym razem musi otwierać dedykowaną stronę internetową. Takiemu rozwiązaniu daleko do wygody, co może przełożyć się ostatecznie rezygnację całkowitą rezygnację ochrony. A przecież właśnie tego chcieli uniknąć architekci bezpieczeństwa.