Fråga:
I PC för alla nr 1 finns en artikel med titeln ”E-posten har ingen framtid”. Ett särskilt problem enligt författaren är bredbandsoperatörer som erbjuder sina kunder en egen e-posttjänst: ”det slarvas ordentligt med säkerheten på sina håll”. Detta låter otrevligt för mig som använder en sådan tjänst. Vore tacksam för mer information!

Bertil


Karl Emil Nikka
Foto: Ulf Edvinsson / CC BY 2.5 SEKarl Emil Nikka, säkerhetsexpert på Nikka Systems.

Karl Emil Nikka, säkerhetsexpert på Nikka Systems svarar:
Det största problemet är att det fortfarande finns flera operatörsdrivna e-posttjänster som låter användarna logga in via okrypterade anslutningar. Det gör att angripare lätt kan kapa inloggningsuppgifterna och därmed läsa användarnas mejl.

På grund av den roll som e-posten fyller i lösenordsåterställningssammanhang kan angriparna därigenom också komma åt alla andra webbtjänster där användarna loggar in med de berörda e-postadresserna.

Om adressen till din e-posttjänsts webbmejl börjar med HTTP:// i stället för HTTPS:// är något allvarligt fel. Samma sak gäller ifall din e-postapp ansluter till e-postservern utan att inställningen som kallas TLS eller SSL är påslagen. Denna inställning brukar finnas under rubriken för inkommande- och utgående e-post.

Eftersom e-postkontot är så viktigt att skydda rekommenderar vi att slå på tvåstegsverifiering. Vid inloggning från en ny dator eller mobil måste då både rätt lösenord och en sexsiffrig kod anges. Den sexsiffriga koden gäller bara i 30 sekunder och kan enbart genereras från en betrodd mobil, vilket förhindrar attacker som den ovannämnda på ett synnerligen effektivt vis.

Problemet är att få operatörers e-posttjänster stöder tvåstegsverifiering, vilket gör att användarna inte kan aktivera det. På de stora e-posttjänsterna, till exempel Microsoft Outlook och Google Gmail, är funktionen tillgänglig för alla och dessutom helt kostnadsfri.