想想如果有人进入你的电子邮箱会发生什么。不仅仅是阅读你的邮件——而是把它当作钥匙使用。因为这正是它的本质。你的电子邮件地址是你在线拥有的几乎每个账户的万能钥匙。银行。社交媒体。云存储。工作工具。政府服务。一切都与那一个电子邮件地址和其"忘记密码"链接相连。

这次攻击不需要单独黑入每个服务。它只需要控制一个电子邮箱。一旦有人访问你的邮件，他们就可以在每个关联服务触发"忘记密码"流程，直接接收重置链接。每次重置大约需要两分钟。

"忘记密码"问题

几乎每个在线服务都使用电子邮件进行账户恢复。这是有意设计的——它简单且通用。但这个设计中隐藏着巨大的含义：谁控制你的邮箱，谁就控制使用电子邮件进行恢复的每个账户。

你的电子邮件账户安全性实际上是你在线拥有的一切的安全上限。如果你的电子邮件账户使用弱的重用密码，那么你银行账户上强大的唯一密码毫无意义——因为你的银行账户可以通过电子邮件重置。

与你的邮件实际相连的内容

• 银行和金融账户 — 密码重置、交易提醒
• 社交媒体 — Facebook、Instagram、LinkedIn、X/Twitter都使用电子邮件进行账户恢复
• 云存储 — Google Drive、Dropbox、OneDrive — 通常包含几TB的个人文档
• 工作工具 — Slack、GitHub、Jira、薪资系统
• 电子商务账户 — Amazon、PayPal — 保存了支付方式
• 政府和医疗门户 — 税务申报、健康保险、处方
• 域名注册商和主机提供商 — 对于任何在线运营网站或企业的人

一个现实的场景

想象一下，有人通过几年前你使用的服务数据泄露获得了你的电子邮件密码——你重用了那个密码。他们登入你的邮件。首先，他们浏览你的收件箱来绘制你的数字生活地图：你使用哪家银行？哪些云服务？

Have I Been Pwned的创始人、安全研究员Troy Hunt广泛记录了这种模式。攻击者通常不会直接针对账户——他们针对解锁所有其他账户的电子邮件账户。

为什么电子邮件安全是最高优先级

在任何其他地方启用双重认证之前，先在你的电子邮件账户上启用它。尽可能使用身份验证器应用而不是短信。ProtonMail为希望最大隐私和安全的用户提供端到端加密电子邮件。

攻击面问题

持有你真实电子邮件地址的每个服务都是潜在的泄露点。Have I Been Pwned是一个免费服务，可让你检查邮件地址是否出现在已知数据泄露中。对于非必要注册，使用临时电子邮件地址可将真实地址保留在另一个数据库之外。

实用安全习惯

• 为电子邮件设置强大唯一的密码。 由密码管理器生成。绝不在其他地方重用。
• 使用身份验证器应用进行双重认证。 如果可以避免，不要使用短信。先于其他一切启用。
• 定期检查OAuth应用权限。 哪些第三方应用可以访问你的电子邮件？
• 对非必要注册使用临时邮件地址。 网上商店、论坛、免费工具。
• 定期检查Have I Been Pwned。 每三到六个月或订阅监控警报。

泄露与入侵：理解区别

泄露意味着你的电子邮件地址出现在了违规数据库中——可以管理。更改受影响服务的密码，检查重用情况，启用2FA。入侵意味着有人目前对你的收件箱有积极访问权——严重。立即更改密码，终止所有会话，启用2FA，检查转发规则。FTC垃圾邮件指南也涵盖了泄露后该怎么办。

电子前沿基金会发布实用安全指南。数字安全不需要成为专家。它需要理解真正重要的事情并一致地做几件事。你的电子邮箱是万能钥匙。像对待它一样保护它。