¿Se puede acceder a mi cuenta de correo electrónico sin la contraseña? ¿Qué tan seguro es?

• Por lo general, su proveedor de correo electrónico (Yahoo, por ejemplo) puede leer todo en su correo electrónico sin saber su contraseña.
• Y, según lo exija la ley y, potencialmente, en otras circunstancias, proporcionarán copias a la policía y al gobierno.
• También es posible que un atacante pueda poner en peligro los servidores de Yahoo y acceder a su correo electrónico de esa manera.
• Y un atacante podría obtener su contraseña de varias maneras, en cuyo caso el atacante podrá acceder a su correo electrónico. O bien, un atacante podría adivinar las respuestas a sus preguntas de seguridad, lo que también es suficiente para que el atacante tenga acceso a su cuenta de correo electrónico.
• Por último, es importante mencionar que los correos electrónicos no son solo documentos en su servidor de correo electrónico; también están en el servidor de correo electrónico de la persona que se lo envió, y tal vez se almacenaron en la memoria caché de su cliente, y tal vez en su cliente, y se realizó una copia de seguridad en varios lugares, y viajan a través de la red. Muchas copias significan muchos lugares donde un atacante puede obtener una copia. (Su pregunta sugiere que podría estar almacenando documentos en un correo electrónico sin enviarlos, en cuyo caso esto no es un problema).

Ahora, todo esto suena muy aterrador, pero es importante para la seguridad entender el nivel de riesgo y cuál es su apetito por el riesgo. Nada es 100% seguro, así que debes preguntarte:  - ¿Qué valor tiene esta información para mí? ¿Qué me costará si hay una brecha?  - ¿Qué tipo de atacante podría intentar conseguirlo? ¿Qué recursos y capacidades tienen?

Si los datos no son muy valiosos y alguien que probablemente los quiera no es muy capaz, entonces no necesita mucha seguridad.

No estoy seguro de que esto sea muy práctico, por lo que aquí hay algunos consejos simples que lo ayudarán a mejorar la seguridad de su correo electrónico almacenado:

• Elija una buena contraseña: no en un diccionario, ni en un nombre o una fecha, el mayor tiempo posible, con una mezcla de minúsculas, mayúsculas, símbolos.
• No uses esa misma contraseña en ningún otro lugar; no lo escriba ni se lo diga a nadie, y use algo al azar que no esté conectado a usted.
• Tenga cuidado con sus respuestas a las preguntas de seguridad, para asegurarse de que nadie pueda adivinarlas. Si parece que alguien podría adivinar una de las respuestas a una de sus preguntas de seguridad, podría considerar mentir (elija una respuesta al azar que no se pueda adivinar), y escríbala en algún lugar en caso de que alguna vez lo necesite.
• Considere la posibilidad de cifrar los documentos (con una contraseña diferente a la utilizada para su correo electrónico). Hay muchas buenas herramientas para esto: me gusta enlace . No confíe en las contraseñas integradas en Word o WinZip, use una herramienta de cifrado dedicada.

Normalmente, no es posible acceder a su cuenta sin su contraseña, ya que es el sistema más utilizado para autenticar usuarios. Pero los proveedores de correo electrónico tienden a agregar una forma de recuperar el acceso a una cuenta que puede llevar a tomar el control sin la contraseña: la "pregunta de seguridad".

Esto es una vergüenza en términos de seguridad. Supongamos que ha definido el apellido de soltera de su madre como la pregunta de seguridad. Todo lo que tengo que hacer es encontrar su cuenta de Facebook (con un poco de suerte, dejará todos los detalles a disposición del público), buscar si su madre está con sus amigos y obtener información sobre ella, incluido su apellido de soltera y BOOM , tengo acceso a tu cuenta de correo electrónico. Esto ya se ha demostrado, incluso para celebridades como Sarah Palin y aún será posible mientras existan preguntas intrínsecamente inseguras. .

Para protegerse de esto tienes dos posibilidades:

1. Ingrese un valor aleatorio para la respuesta sabiendo que nunca podrá recuperar su cuenta usando este método, pero tampoco un atacante.
2. Crea tu propia pregunta / respuesta y haz que sea lo suficientemente difícil como para no ser encontrado en la web.

Gmail también sugiere una mejor alternativa para acceder a su cuenta llamada autenticación de dos factores . De esta manera, el inicio de sesión requiere tanto su contraseña como un código que le ha sido dado por SMS (o la aplicación Google Authenticator en su teléfono). Habilitar esto le garantiza un nivel adicional de seguridad para su cuenta.

Solo para señalar lo que no se ha mencionado, la contraseña podría ser filtrada

• Si hubiera un keylogger en su máquina, la contraseña finalmente se registrará.
• Si se ingresó la misma contraseña en un sitio menos seguro que fue hackeado (@Lucas tocó esto)
  (podría ser un usuario interno que use su contraseña, no necesariamente un pirata informático)

• O un sitio similar que estaba en control de un hacker. Para evitar visitas similares, siempre vaya al sitio web con un marcador, para asegurarse de que está en la situación real. Por supuesto, puede mirar el nombre de dominio, que generalmente es un color más oscuro que el resto de la URL. Asegúrese de que todas las letras coincidan (por ejemplo, mail.google.com no es lo mismo que mail.googole.com o mail.google.com.checkinbox123.example.com , ya que hay muchos errores tipográficos complicados, es mucho más fácil usar un marcador), la idea no es para que un enlace en un correo electrónico que alguien te haya enviado, o algún otro sitio web, te engañe para que se parezca.

  Ejemplo de página similar , puse esto en menos de 15 minutos, con unas horas más, podría haber es enviar las contraseñas a un servidor bajo mi control, y es posible que no se dé cuenta.

• Si está utilizando un Outlook u otro cliente de correo que descarga los mensajes a su computadora, por supuesto, los mensajes se copiarán a su computadora y la contraseña podría no ser necesaria.

  

¿Y por qué yahoo mail me pide que les diga los nombres de mis amigos y carpetas para que me los devuelvan después de robarlos?

Por favor, enlace al lugar donde ve esto, supongo que es parte de un proceso de recuperación manual, y si no puede responder a estas preguntas, pueden desechar su solicitud. Pero puede que haya más reglas, no lo sé.

No, no es posible (a menos que usted sea una de esas personas que usan la misma contraseña para cada cuenta que posee). Será tan seguro como fácil de acceder a su cuenta.

Yahoo le pedirá esta información para asegurarse de que usted es quien pretende ser.

Si esto no fuera obvio:

• cualquier persona en Yahoo puede acceder a tu cuenta
• asegúrese de estar realmente en Yahoo (verifique el certificado SSL)
• Sus preguntas de seguridad deben ser tan personales que nadie podrá averiguar lo que significan

Asegúrate:

• Su máquina es segura
• El certificado SSL de Yahoo no se ha falsificado
• No hay ninguna vulnerabilidad en su computadora o en los servidores de Yahoo
• No hay ataques MITM (por ejemplo, alguien obtuvo la clave privada para el certificado SSL de Yahoo, obtuvo acceso a un enrutador y puede leer sus correos electrónicos cuando él lee la transmisión)
• No hay empleados deshonestos en Yahoo
• Tiene una contraseña muy segura de un mínimo de 16 caracteres que contiene letras mayúsculas y minúsculas y números adicionales. Para fuerza adicional agregue signos.

La integridad de la seguridad de su correo electrónico está limitada por cualquier enlace más débil. Eso incluye todas las demás respuestas, además de cualquier acceso físico a cualquier duplicado con métodos de extracción de claves para contraseñas.

Consiga una auditoría de seguridad realizada por profesionales si el contenido vale la pena.

( CounterPane Internet Security era un grupo profesional de este tipo ahora propiedad de BT Group )

Creo que Lucas Kauffman hizo un punto muy importante en su respuesta: "Asegúrese de que su máquina esté segura".

Me gustaría ampliar un poco esto, porque es un problema crítico que las personas tienden a pasar por alto.

Un ejemplo de un escenario inseguro (y bastante común) es que los administradores de dominio en un entorno corporativo tienen acceso a los recursos informáticos de los empleados. En este caso, alguien podría robar las cookies de su navegador (que normalmente se almacenan en el disco duro en texto plano) y, siempre que haya iniciado sesión en algunos sitios web, básicamente puede robar sus sesiones.

Por lo tanto, en el caso del correo electrónico web como Yahoo, alguien podría tener acceso a su cuenta para leer e incluso enviar correos electrónicos, sin saber su contraseña.

La respuesta a su pregunta depende de los pasos que haya tomado para proteger su cuenta, pero no solo en función de una contraseña. En pocas palabras, las contraseñas son la forma de seguridad del pasado y ya no son suficientes. Si está realmente preocupado por su cuenta de correo electrónico, lo que haría sería buscar proveedores que ofrezcan 2FA (autenticación de dos factores) donde pueda iniciar sesión en su cuenta. También me he contactado con algunas de las organizaciones para ver si planean proporcionar 2FA. Cuando tengo esto, me da la confianza de que mi cuenta no será hackeada y que mi información personal no es vulnerable. Y esta es una opción disponible para usted por su proveedor.