Miliardi di e-mail vengono inviate ogni giorno, inondando le caselle di posta con qualsiasi cosa, dalle domande di vendita e dall'assistenza clienti allo spam e alla pubblicità.
L'e-mail non è stata progettata in modo particolare tenendo conto della sicurezza, della privacy e della crittografia. Gli attori delle minacce come governi, ISP, hacker e grandi aziende possono accedere al tuo account e leggere le tue e-mail. La buona notizia è che puoi utilizzare servizi di posta elettronica sicuri per proteggere le tue e-mail da occhi indiscreti.
Che tu sia un utente domestico o lavori per una grande azienda, è bene conoscere le funzionalità di sicurezza del tuo provider di posta elettronica. Inoltre, non tutti i provider di posta elettronica che affermano di essere sicuri sono sicuri e privati. Ecco un elenco di funzionalità che ci si aspetta in un provider di posta elettronica sicuro.
1. Metodo di crittografia
Molti provider di posta elettronica offrono sicurezza di base come la protezione da spam e virus. Ma a seconda del tuo settore e giurisdizione, potresti anche voler proteggere le tue comunicazioni e-mail con la crittografia.
Le e-mail non crittografate sono responsabili di numerose e importanti violazioni negli ultimi anni, della perdita di messaggi e credenziali e della perdita di milioni di dollari di entrate. I provider di posta elettronica lo sanno, quindi normalmente spiegheranno le crittografie che offrono sul loro sito web.
L'invio di un'e-mail su una rete crittografata altera il testo normale dell'e-mail, rendendo impossibile la lettura del messaggio senza una chiave di crittografia.
I criminali informatici possono facilmente intercettare le tue e-mail se il tuo provider di posta elettronica non offre (o scarsa) crittografia. I provider standard, come Gmail, utilizzano la crittografia del trasporto per crittografare i messaggi tra il tuo dispositivo e il server. Sul server, Google crittografa i messaggi a livello di rete. Ma Google può accedere ai dati.
L'e-mail lascia quindi il server di Google e si dirige verso la sua destinazione. Se anche il provider di posta elettronica del destinatario utilizza la crittografia del trasporto, l'e-mail continuerà a essere protetta lungo il percorso. In caso contrario, l'e-mail non sarà crittografata e sarà facile da intercettare.
Tuttavia, Google esegue la scansione dei dati di Gmail per offrire esperienze personalizzate e assistive come Smart Compose e Smart Reply.
I provider più sicuri utilizzano la crittografia end-to-end per proteggere le tue e-mail. Ciò significa che i messaggi vengono crittografati sul dispositivo del mittente e solo il destinatario previsto può decrittografarli.
Con la crittografia end-to-end, l'unica persona che può leggere l'e-mail che stai inviando è il destinatario. Nemmeno il provider di posta elettronica può accedere alle tue e-mail.
Provider di posta elettronica sicuri, come Tutanota e ProtonMail, usa Pretty Good Privacy (PGP) per e-mail crittografate end-to-end. In questo modo nessuno potrà leggere le tue email e i tuoi dati non verranno mai utilizzati per la pubblicità. Per comunicazioni interne più sicure, potresti evitare del tutto le e-mail e utilizzarle app di messaggistica crittografate, come Segnale o Cavo.
La crittografia end-to-end funziona in due modi: simmetrica e asimmetrica. La crittografia simmetrica utilizza un'unica chiave per crittografare il testo normale e decrittografare il testo crittografato.
La crittografia asimmetrica, nota anche come crittografia a chiave pubblica, crittografa e decrittografa i dati utilizzando due set di chiavi univoci. In quanto tale, è il più efficace dei due. Per saperne di più su queste crittografie, dovresti rispolverare come funziona la crittografia e cosa fa.
2. Registri
I provider di posta elettronica conservano i registri per vari motivi, come la protezione DDoS. I log conservati possono includere indirizzi IP e tempi di connessione.
La quantità di dati registrati e il modo in cui tali registri vengono archiviati dovrebbero influenzare la tua decisione. Ogni volta che un servizio di posta elettronica archivia i registri, questi dati potrebbero finire con terze parti.
I provider di posta elettronica più sicuri non archiviano i registri, quindi nulla può essere ricondotto a te. Il provider dovrebbe anche rimuovere gli indirizzi IP dalle e-mail inviate e ricevute.
Con un indirizzo IP, un utente malintenzionato può conoscere il tuo provider Internet e l'indirizzo fisico. Considera l'utilizzo di una buona VPN per nascondere il tuo indirizzo IP e la tua posizione in modo efficace.
3. Autenticazione a due fattori
I dettagli di accesso vengono spesso trapelati o violati e utilizzati per accedere agli account delle vittime. Autenticazione a due fattori (2FA) significa che il furto di nome utente e password non sarà sufficiente per accedere al tuo account di posta elettronica.
2FA dipende da due cose: qualcosa che conosci, come una password, e qualcosa che hai, come un telefono cellulare. Una delle forme più comuni di autenticazione a due fattori è il tuo provider di posta elettronica che ti invia un codice via SMS da utilizzare insieme al tuo nome utente e password.
Ogni email ha metadati—bit di informazioni che gli aggressori potrebbero estrarre. I metadati possono contenere informazioni sul tuo computer, browser web, rete e destinatario e-mail. I servizi di posta elettronica sicuri di solito rimuovono queste informazioni.
Sebbene i piccoli frammenti di informazioni sembrino abbastanza inutili, per un utente malintenzionato è il primo passo per saperne di più sulle tue conversazioni. Ad esempio, un hacker può utilizzare i metadati per estrarre informazioni sulla tua vita, abitudini e preferenze.
5. Posizione del server
La posizione in cui si trova il tuo servizio di posta elettronica può influire sulla sicurezza e sulla privacy dei tuoi dati poiché determina come il provider gestirà le richieste di dati del governo.
Paesi, come le nazioni dei Cinque Occhi e altri, raccolgono e condividono i dati di intelligence raccolti dai server di posta elettronica. Alcune nazioni, inclusi gli Stati Uniti e il Regno Unito, hanno leggi sulla conservazione dei dati che richiedono ai provider di posta elettronica di archiviare i dati per un certo periodo.
I provider negli Stati Uniti possono essere costretti a concedere al governo l'accesso diretto ai propri server per la sorveglianza delle comunicazioni e delle informazioni archiviate. Le richieste di dati possono essere accompagnate da ordini di bavaglio, vietando al provider di rivelare agli utenti ciò che sta accadendo.
A seconda della minaccia alla sicurezza della posta elettronica, la posizione del server potrebbe essere una considerazione importante. Ad esempio, se sei un attivista, giornalista o informatore che può aspettarsi le loro comunicazioni per essere citato in giudizio dal governo, lo sarebbe un provider di posta elettronica con sede in Germania e Svizzera ideale. Tutti hanno leggi sulla privacy più severe.
6. Piani a pagamento
Il modello di business illimitato "libero" è fondamentalmente imperfetto. I provider di posta elettronica gestiscono e gestiscono server, offrono assistenza clienti e altro ancora. Queste cose costano denaro, quindi un buon provider di posta elettronica probabilmente addebiterà un account.
Molti servizi di posta elettronica gratuiti potrebbero fare più male che bene. I provider di posta elettronica gratuiti possono raccogliere i tuoi dati e monetizzarli con annunci.
I fornitori sicuri in genere guadagnano vendendo piani premium e non annunci o dati. Alcuni di questi servizi ti consentono di pagare in modo anonimo utilizzando Bitcoin.
Mantieni le conversazioni private utilizzando provider di posta elettronica sicuri
L'e-mail è uno dei modi meno privati per inviare e ricevere contenuti online. Per mantenere le tue comunicazioni al sicuro, considera l'utilizzo di un provider di posta elettronica sicuro.
Ci sono alcuni servizi di posta elettronica sicuri là fuori, ognuno con un diverso set di funzionalità. Per questo motivo, quando si sceglie un provider di posta elettronica, è necessario prestare attenzione a funzionalità come la crittografia end-to-end, l'autenticazione a due fattori e la posizione del data center.
