E-mailprivatliv handler ikke om at være paranoid — det handler om at være omtænksom. Din e-mailadresse er en af de mest udbredt delte stykker personlige oplysninger online, og et par konsekvente vaner gør en reel forskel i, hvor mange af dine oplysninger der ender i de forkerte hænder. Dette er ikke en teknisk guide til sikkerhedsforskere. Det er praktiske råd til enhver, der bruger e-mail, skrevet i håbet om, at i det mindste et par af disse vaner sætter sig fast.
Ifølge Statistas e-mailstatistik sendes der milliarder af spam-e-mails hver eneste dag — og de fleste af dem når frem til folks indbakker, fordi deres e-mailadresser endte på lister, de aldrig gav samtykke til. At forstå, hvordan det sker, er det første skridt til at forhindre det. Den gode nyhed er, at de mest effektive beskyttelser også er de enkleste at gennemføre.
Forstå, hvad du beskytter, og hvorfor
Din e-mailadresse er dit identitetsanker online. Hvert "glemt adgangskode"-forløb går igennem den. Tofaktor-godkendelseskoder ankommer der. Kontonotifikationer, kontoudtog, offentlig korrespondance, journaler — alt er knyttet til din indbakke. Dette er ikke abstrakt: hvis nogen får adgang til din primære e-mailkonto, har de reelt nøglerne til det meste af dit digitale liv. De kan nulstille adgangskoder på dine andre konti, opfange bekræftelseskoder og udgive sig for at være dig over for personer og institutioner, der stoler på e-mail som bevis på identitet.
Den virkelighed bør præge, hvor omhyggeligt du deler din adresse. De fleste behandler deres e-mailadresse som noget, de deler ud frit — hver registreringsformular, hvert nyhedsbrev, hver konkurrencedeltagelse. Men hver gang du deler den, tilføjer du endnu en post til endnu en database, og hver af disse databaser er et potentielt databrud-mål. Jo flere steder din e-mail findes, jo flere muligheder er der for, at den ender et sted, du ikke havde til hensigt.
Electronic Frontier Foundation har fremført dette punkt i årevis: din e-mail er rygraden i din digitale identitet. At behandle den med samme omhu, som du ville give et telefonnummer eller en hjemmeadresse, er ikke overdrevet — det er proportionalt med, hvor meget skade en kompromittering kan forårsage.
Brug forskellige e-mailadresser til forskellige formål
Den enkeltvis mest virkningsfulde vane, du kan tage til dig, er e-mailsegmentering — at bruge forskellige adresser til forskellige kategorier af aktivitet. Tænk på det som opdeling i rum for dit digitale liv. Hvis ét rum bliver ramt af et databrud, forbliver de andre sikre. Her er en praktisk trelagstilgang, der fungerer godt for de fleste:
Lag 1 — Primær e-mail: Denne er til bankforretninger, offentlige tjenester, sundhedsvæsen, rejsereservationer, din arbejdsgiver og alt, der sender virkelig vigtig kommunikation. Denne adresse bør deles med så få tjenester som overhovedet menneskeligt muligt. Det er den adresse, der er knyttet til dine mest følsomme konti, og at beskytte den betyder at holde den ude af så mange databaser som muligt.
Lag 2 — Sekundær e-mail: Denne er til almindelig shopping, app-abonnementer, sociale medier, tjenester du bruger ugentligt. Det er stadig en rigtig adresse, der tilhører dig, men den er adskilt fra Lag 1. Hvis denne adresse dukker op i et databrud — hvilket er sandsynligt over tid, i betragtning af hvor mange tjenester du deler den med — spreder skaden sig ikke til dine bank- og myndighedskonti. Du skifter den sekundære adresse og kommer videre. Din primære adresse forbliver urørt.
Lag 3 — Midlertidig e-mail: Denne er til engangstilmeldinger, gratis prøveperioder, download af låst indhold, udviklertest og alt, hvor du ikke har brug for løbende kommunikation. Til alt i dette lag tager en midlertidig e-mail fem sekunder og holder din primære adresse helt ude af ligningen. Adressen eksisterer i en time, håndterer det, du havde brug for den til, og forsvinder derefter. Ingen opfølgnings-e-mails, ingen marketingkampagner, ingen data at blive ramt af et databrud.
Aktivér tofaktor-godkendelse på din e-mailkonto
Dette er den enkeltvis mest virkningsfulde sikkerhedshandling, du kan foretage. Tofaktor-godkendelse betyder, at selv hvis nogen får fat i din adgangskode — gennem et databrud, phishing eller brute force — kan de stadig ikke få adgang til din konto uden den anden faktor. Det forvandler din e-mail fra et enkelt fejlpunkt til noget, der er meningsfuldt sværere at kompromittere.
Brug en godkendelses-app frem for SMS, hvor det er muligt. SIM-swapping — hvor en angriber overbeviser dit mobilselskab om at overføre dit telefonnummer til deres SIM-kort — er en reel og dokumenteret angrebsvektor. Godkendelses-apps som Google Authenticator, Authy eller Microsoft Authenticator genererer koder lokalt på din enhed og er ikke sårbare over for SIM-swapping. Hvis din e-mailudbyder understøtter hardware-sikkerhedsnøgler, er det endnu bedre.
Grunden til, at dette betyder noget specifikt for e-mail — mere end for næsten enhver anden konto — er, at e-mail er gendannelsesmekanismen for alt andet. Hvis nogen kompromitterer din konto på sociale medier, gendanner du den via e-mail. Hvis nogen kommer ind på din shoppingkonto, går kodeordsnulstillingen til e-mail. Din e-mailkonto er hovednøglen. At beskytte den med tofaktor-godkendelse er ikke valgfrit, hvis du overhovedet går op i sikkerhed.
Brug en stærk, unik adgangskode
Genbrug aldrig din e-mailadgangskode nogen steder. Dette er det mest gentagne stykke sikkerhedsråd, der findes, og det gentages, fordi folk bliver ved med at ignorere det. Hvis den samme adgangskode optræder på en anden tjeneste, der bliver ramt af et databrud, vil angribere prøve den på din e-mailkonto øjeblikkeligt. Dette kaldes credential stuffing, og det er en af de mest almindelige angrebsmetoder i brug i dag. Automatiserede værktøjer prøver lækkede brugernavn-adgangskode-par mod tusindvis af tjenester inden for timer efter, at et databrud bliver offentligt.
Have I Been Pwned — skabt af sikkerhedsforskeren Troy Hunt — sporer milliarder af lækkede loginoplysninger. Omfanget er svimlende: de fleste menneskers e-mailadresser optræder i flere databrud. Hvis din e-mailadgangskode er den samme som din adgangskode på nogen af disse ramte tjenester, er din e-mailkonto i umiddelbar fare.
Brug en adgangskodeadministrator. Din e-mailadgangskode bør være den længste, mest tilfældige adgangskode, du har — noget du umuligt kunne huske, genereret af en adgangskodeadministrator og gemt sikkert. Du behøver kun at huske én adgangskode: den, der låser op for din adgangskodeadministrator. Alt andet bør være unikt og tilfældigt.
Tjek din eksponering for databrud jævnligt
Have I Been Pwned lader dig tjekke, om din e-mailadresse er dukket op i kendte databrud. Det er gratis, det er troværdigt, og det tager omkring ti sekunder. Du indtaster din e-mailadresse, og den fortæller dig, hvilke databrud den er dukket op i, hvilke data der blev eksponeret, og hvornår databruddet fandt sted.
Endnu vigtigere er, at du kan opsætte gratis overvågning af databrud. Indtast din e-mailadresse én gang, bekræft den, og tjenesten underretter dig automatisk, hvis din adresse dukker op i fremtidige databrud. Dette er reelt værdifuldt — mange finder først ud af databrud måneder eller år efter, at de sker, og på det tidspunkt er skaden sket. Tidlig notifikation giver dig et vindue til at skifte adgangskoder og sikre konti, før angribere kan udnytte databruddet.
Når du finder din e-mail i et databrud, er reaktionen ligetil: skift din adgangskode på den berørte tjeneste øjeblikkeligt, og hvis du brugte den samme adgangskode andre steder (hvilket du ikke burde have, men lad os være realistiske), så skift den overalt. Aktivér tofaktor-godkendelse, hvis du ikke allerede har gjort det. Tjek din konto for enhver uautoriseret aktivitet. Og overvej, om du overhovedet stadig har brug for en konto på den tjeneste.
Gennemgå hvilke apps har OAuth-adgang til din e-mail
"Log ind med Google" og lignende OAuth-forløb er praktiske, men de giver applikationer varierende niveauer af adgang til din konto. Nogle apps får kun dit navn og din e-mailadresse, hvilket er fint. Andre anmoder om tilladelse til at læse dine e-mails, tilgå dine kontakter eller administrere din kalender — langt mere tilladelse, end de har brug for til den tjeneste, de leverer. Du klikkede hurtigt på "Tillad" under tilmeldingsprocessen, og nu har en tredjeparts-app adgang til din indbakke.
Gennemgå dine forbundne apps jævnligt. For Google-konti: gå til myaccount.google.com, derefter Sikkerhed, derefter "Tredjepartsapps med kontoadgang". Du finder sandsynligvis apps, du havde glemt, apps fra tjenester du ikke længere bruger, og muligvis apps du slet ikke genkender. Tilbagekald adgang for alt, der falder i disse kategorier. Dette tager fem minutter og er værd at gøre hver par måneder.
Princippet her er enkelt: minimér antallet af tjenester, der kan tilgå din e-mail. Hver app med adgang er en yderligere angrebsflade. Hvis den app bliver ramt af et databrud, kan dine e-maildata blive eksponeret, selv om din e-mailkonto i sig selv ikke blev kompromitteret.
Frameld dig ordentligt — filtrér ikke bare
At filtrere uønskede e-mails skjuler problemet, mens mailinglisten bliver ved med at vokse. Din e-mailadresse forbliver på den virksomheds liste og fortsætter med at blive delt, solgt eller eksponeret i databrud. At framelde dig fjerner dig faktisk fra listen. Brug afmeldingslinket i bunden af marketing-e-mails — legitime afsendere er juridisk forpligtet til at efterkomme afmeldingsanmodninger inden for ti dage i de fleste jurisdiktioner. Dette er et FTC-krav i USA og er tilsvarende påbudt i henhold til GDPR i Den Europæiske Union.
For spam fra afsendere, du aldrig abonnerede på i første omgang, skal du bruge din e-mailudbyders "rapportér spam"-knap frem for blot at slette beskeden. At rapportere hjælper din e-mailudbyder med at forbedre sin spamfiltrering for alle og kan udløse handling mod afsenderen. At slette spam gør ingenting for at forhindre fremtidige beskeder.
Vanen med midlertidig e-mail
Før du tilmelder dig noget, så stil dig selv ét spørgsmål: "Har jeg faktisk brug for, at dette kommer til min rigtige indbakke?" Hvis svaret er nej — og for et overraskende antal tilmeldinger er det — så brug en midlertidig adresse i stedet. En prøveperiode for en tjeneste, du evaluerer, en engangsdownload, en webinartilmelding, en formular der kræver en e-mail bare for at få adgang til indhold, udviklertest med nye konti — ingen af disse har brug for din rigtige e-mailadresse.
Vanen er enkel: åbn en midlertidig e-mail-indbakke, kopiér adressen, brug den til det, du har brug for, og luk fanen. Indbakken og alt i den forsvinder automatisk efter en time. Ingen oprydning, ingen afmelding, ingen nye poster i din spammappe. Din rigtige adresse var aldrig involveret, så der er intet at administrere senere.
Denne vane alene, anvendt konsekvent, reducerer markant, hvor mange steder din rigtige e-mailadresse findes. Færre poster i færre databaser betyder færre muligheder for databrud. Det er en af de enkleste og mest effektive indbakke-hygiejnepraksisser, der findes, og det koster ingenting — ikke penge, ikke tid, ikke bekvemmelighed. Fem sekunders opsætning sparer potentielt årevis af spam.
Overvej videresendelse af e-mail nøje
At videresende al din e-mail til en tredjepartstjeneste betyder, at dine e-mails passerer gennem deres servere. For de fleste hverdagsbrugere er dette fint — bekvemmeligheden opvejer den teoretiske risiko. Men vær opmærksom på, hvad du dirigerer gennem videresendelsestjenesten. Kodeordsnulstillings-e-mails, tofaktor-godkendelseskoder, finansielle notifikationer, fortrolige beskeder fra din arbejdsgiver eller advokat — alle disse rejser gennem videresendelsesudbyderens infrastruktur.
Hvis du bruger videresendelse af e-mail, så forstå, hvilken adgang du giver. Læs videresendelsestjenestens privatlivspolitik. Tjek, om de krypterer e-mail under transport og i hvile. Og overvej, om de mest følsomme e-mails i dit liv virkelig behøver at passere gennem en yderligere tredjepart. For mange er direkte levering det enklere og sikrere valg til deres primære e-mail.
Privatlivsfokuserede e-mailudbydere
ProtonMail tilbyder end-to-end-krypteret e-mail, hvilket betyder, at selv e-mailudbyderen selv ikke kan læse dine beskeder. Til hverdagskommunikation — at bekræfte middagsplaner, modtage leveringsnotifikationer, chatte med venner — er din nuværende e-mailudbyder sandsynligvis fin. Men til følsom kommunikation — juridisk korrespondance, finansielle drøftelser, medicinske oplysninger, alt du reelt vil holde privat — er en krypteret e-mailudbyder værd at overveje seriøst.
GDPR giver også EU-borgere specifikke rettigheder vedrørende deres personoplysninger, herunder retten til at anmode om sletning af deres e-mailadresse og tilknyttede data fra enhver tjeneste, der har den. At forstå dine rettigheder i henhold til gældende privatlivslovgivning er også en del af e-mailprivatliv — at vide, hvad du kan bede virksomheder om at slette, og faktisk bede om det, er en meningsfuld form for beskyttelse.
At sætte det hele sammen
Ingen af disse praksisser kræver teknisk ekspertise. Aktivér tofaktor-godkendelse — det er den største enkeltforbedring. Brug en adgangskodeadministrator med en unik, lang adgangskode til din e-mail. Tjek din eksponering for databrud på Have I Been Pwned og opsæt overvågning. Gennemgå dine forbundne apps. Frameld dig lister, du ikke læser. Og brug en midlertidig e-mailadresse til alt, der ikke behøver at komme til din rigtige indbakke.
Electronic Frontier Foundation rammesætter privatliv som en grundlæggende rettighed, ikke en luksus. Den rammesætning betyder noget, fordi den minder os om, at det at tage skridt til at beskytte vores personlige oplysninger ikke er paranoia — det er det rimelige, proportionale svar på, hvordan internettet faktisk fungerer i dag. Din e-mailadresse behøver ikke at være overalt. Med et par konsekvente vaner behøver den ikke at være noget sted, hvor den ikke reelt behøver at være.