ProtonBlog
Iscriviti con RSS
0

[E2E Tests]Quanto è sicura l’email?

Condividi questa pagina

Ciao Mondo!

Ecco un video:

Ecco una GIF:

Questa è una citazione

Un tipo sconosciuto.
Intestazione 1Intestazione 2
Cella 1Cella 2
Cella 3Cella 4
Tabella dimostrativa
Esempio ProtonContacts(new window)Scarica
DDOS-151125-v1(new window)Scarica

Tutti ci affidiamo all’email per comunicare nella nostra vita professionale e personale. Dagli eventi del calendario alle conferme di volo e ricevute di acquisti online, la nostra casella di posta contiene dati privati sul nostro programma, interessi e abitudini. La nostra dipendenza dall’email potrebbe sorprenderti nell’apprendere che inizialmente non è stata progettata per essere sicura.

Nonostante ci siano rischi associati alla comunicazione via email, puoi comunque adottare misure per mantenere sicura la tua casella di posta. Questo articolo ti mostra cosa puoi fare per rendere sicura la tua email e confronta gli standard di sicurezza dell’email tra i fornitori di posta elettronica più popolari.

Minacce alla sicurezza dell’email

Poiché l’email è così ampiamente utilizzata, è il principale obiettivo degli attacchi informatici. Ecco alcune minacce comuni alla sicurezza della tua email.

Phishing

I cybercriminali utilizzano email di phishing per ingannarti e ottenere informazioni sensibili, come i dettagli della tua carta di credito e le password degli account online. Queste email false sembrano provenire da autorità affidabili, come la tua banca, la compagnia della carta di credito, o anche da rivenditori online popolari, come eBay o Amazon. Alcune email di phishing sono estremamente sofisticate e convincenti, motivo per cui oltre il 90% delle violazioni dei dati(new window) avviene a causa delle truffe phishing.

Malware

Il termine Malware(new window) si riferisce a qualsiasi file o codice progettato per ottenere accesso non autorizzato a un computer o a una rete informatica. Ad esempio, potresti ricevere un’email con un allegato(new window) che sembra urgente o relativo a te, come il famigerato worm ILOVEYOU che ha infettato oltre 10 milioni di computer nei primi anni 2000. Quando un attacco malware ha successo, gli aggressori dirottano computer e server, accedono a informazioni sensibili, spiano le attività degli utenti e compiono altre azioni malevole.

Spam e email indesiderate

Le email di spam sono uno dei tipi più comuni di minacce via email. Mentre la maggior parte delle email di spam sono semplicemente fastidiose, altre contengono link maligni verso siti web fraudolenti. Ecco alcuni tipici esempi di email di spam che potresti incontrare:

  • Annunci non richiesti
  • Bufale
  • Truffe finanziarie
  • Avvisi falsi di malware
  • Spam pornografico
  • Lettere a catena

Accesso non autorizzato alla casella di posta

Se non utilizzi una password robusta per proteggere la tua casella di posta, potrebbe essere hackerata da aggressori che utilizzano attacchi brute-force. Dotato di un supercomputer, un attaccante brute-force lavora attraverso tutte le combinazioni possibili per indovinare le tue credenziali di accesso. A seconda della lunghezza e complessità della tua password, scoprirla potrebbe richiedere solo pochi secondi.

Inoltre, se riutilizzi le password su più account online, basta che uno di questi servizi subisca un attacco informatico o una perdita di dati per mettere a rischio tutti i tuoi altri account online.

Spionaggio e monitoraggio

Una volta che un hacker ottiene accesso alla tua casella di posta, potrebbe facilmente spiare le tue email, raccogliere informazioni private su di te e ricattarti. Un esempio molto più invasivo di spionaggio della tua casella di posta è rappresentato dai pixel tracker incorporati nelle email di marketing. Questi tracker spia raccolgono informazioni come:

  • Se l’email contenente il tracker è stata aperta
  • Data e ora di apertura
  • Tipo di dispositivo e sistema operativo
  • Il tuo indirizzo IP e posizione geografica

Queste informazioni vengono poi inviate al mittente e utilizzate per proporti annunci pubblicitari personalizzati.

Come rendere sicura la tua email

Nonostante queste minacce, puoi comunque prendere precauzioni per mantenere sicura la tua casella di posta e ridurre il rischio di un attacco informatico.

Attiva l’autenticazione a due fattori

Ove possibile, dovresti sempre attivare l’autenticazione a due fattori (2FA) sul tuo account email. La maggior parte dei metodi 2FA richiede di inserire un codice temporaneo monouso generato da un’app di autenticazione sul tuo telefono, ma puoi anche utilizzare chiavi di sicurezza hardware. Se hai attivato il 2FA, anche se un hacker dovesse scoprire la tua password, non potrà accedere alla tua casella di posta a meno che non abbia anche accesso al tuo dispositivo 2FA.

Utilizzare una password forte

Avere una password forte è fondamentale per mantenere sicura la tua casella di posta. Il modo più semplice per creare password forti e uniche è utilizzare un gestore di password open-source che genera e salva per te le credenziali di accesso. In questo modo, tutto ciò che devi ricordare è una frase d’accesso forte che sblocca il tuo gestore di password.

Cos’è la crittografia delle email?

Il livello di sicurezza e privacy della tua email dipende anche dal metodo di crittografia che utilizzi per proteggerla. È la prima linea di difesa contro il furto di dati ed è uno dei modi più efficaci per impedire al tuo provider di email di leggere i tuoi messaggi. Poiché le tue email contengono molte informazioni sensibili su di te, sei meno soggetto a essere bersaglio di annunci pubblicitari, spam e attacchi malware quando le tieni al sicuro. Utilizzando la crittografia delle email, proteggi anche i tuoi messaggi da modifiche e manomissioni.

Ecco i tipi più comuni di crittografia delle email.

TLS

Transport Layer Security (TLS) è un protocollo crittografico utilizzato per proteggere le comunicazioni web su una rete. Grazie alla sua versatilità, il TLS viene utilizzato anche per connettersi a siti web e inviare messaggi istantanei ed email. Il TLS è utile perché impedisce a terze parti di intercettare e manomettere i tuoi messaggi durante il loro transito.

Tuttavia, il solo TLS non fornisce una sicurezza adeguata per le tue email. Una volta che la tua email arriva al server ricevente, viene immediatamente decrittata ed è compito del provider di email del destinatario criptare e proteggere i tuoi messaggi.

Crittografia a zero accesso

La crittografia a zero accesso è un metodo di crittografia che protegge i tuoi dati a riposo rendendoli inaccessibili al provider di email. Con la crittografia a zero accesso, quando ricevi un’email non crittografata, il tuo provider di email avrà brevemente accesso al messaggio dopo che la crittografia TLS è stata rimossa. Viene poi immediatamente crittografato utilizzando la tua chiave pubblica. I dati crittografati possono essere decrittati solo localmente sul tuo dispositivo con la tua chiave di crittografia privata.

Poiché il tuo provider di email non ha accesso alla tua chiave di crittografia privata, non può essere decrittato da nessuno oltre a te.

Crittografia end-to-end

Rispetto ad altri metodi di crittografia, la crittografia end-to-end (E2EE) garantisce la protezione della tua privacy e sicurezza online. È un metodo sicuro per codificare i dati delle email in modo che solo il destinatario che intendi possa decifrare le informazioni. La tua email viene crittografata localmente sul tuo dispositivo utilizzando la chiave pubblica del destinatario e rimane crittografata fino a quando non raggiunge il dispositivo del destinatario, dove viene decrittografata usando la sua chiave privata.

Con l’E2EE, nessuno — nemmeno Proton — può leggere la tua email a meno che non abbia anche accesso fisico al dispositivo dove è conservata la chiave privata del destinatario.

Ci sono due principali protocolli di crittografia che forniscono E2EE: S/MIME e PGP.

S/MIME

S/MIME è l’acronimo di Secure/Multipurpose Internet Mail Extensions. S/MIME utilizza una coppia di chiavi matematicamente correlate — una chiave pubblica e una privata — per proteggere le email. Quando invii un’email utilizzando un certificato S/MIME, l’email viene crittografata usando la chiave pubblica del destinatario. Il destinatario può decifrare l’email solo utilizzando la chiave privata associata alla chiave pubblica.

Mentre i certificati S/MIME crittografano le tue email e dimostrano che le hai scritte e inviate, solo un’autorità di certificazione (CA) può emettere certificati S/MIME. Questo significa che dovrai contrattare la tua CA per convalidare la tua identità digitale.

PGP

Pretty Good Privacy (PGP) è un altro metodo per implementare l’E2EE ed è uno dei sistemi di crittografia email più utilizzati al mondo.

PGP funziona generando prima una chiave di sessione casuale e unica. Questa chiave viene usata per crittografare il contenuto della tua email. La chiave di sessione viene poi crittografata utilizzando la chiave pubblica del destinatario e inviata al destinatario (insieme all’email crittografata). Una volta che l’email arriva, il destinatario decifra la chiave di sessione usando la propria chiave privata. La chiave di sessione può quindi essere utilizzata per decrittografare l’email.

Anche se PGP può sembrare complicato, è un protocollo di crittografia estremamente robusto. Quando implementato correttamente, PGP funziona in modo fluido fornendo un alto livello di sicurezza, privacy e autenticazione per le tue email.

Non è un segreto che la maggior parte dei fornitori di email più popolari non offra una protezione adeguata per le tue email. Qui esaminiamo i diversi tipi di crittografia utilizzati dai fornitori di email più popolari e come puoi scegliere il miglior fornitore che risponde alle tue esigenze di privacy.

Gmail

Gmail utilizza TLS per crittografare tutte le email per impostazione predefinita. Ciò significa che il tuo messaggio è protetto mentre è in transito dal tuo dispositivo ai server di Gmail. Tuttavia, TLS funziona solo se anche il provider di email del destinatario supporta la crittografia TLS.

Sebbene TLS offra una certa sicurezza per le tue email, non è forte come l’E2EE (poiché protegge le email solo quando sono in transito, non quando sono memorizzate nei server di posta elettronica). Per questo motivo, Gmail offre anche la crittografia S/MIME per gli utenti che necessitano di una sicurezza avanzata, ma solo se sono disposti a pagare per un account Google Workspace. Ma anche se crittografi le tue email usando S/MIME di Gmail:

  • Google mantiene il controllo della tua chiave di crittografia, il che significa che può decrittografare e leggere le tue email a proprio piacimento.
  • S/MIME funziona solo se anche il destinatario ha abilitato S/MIME.
  • A differenza di PGP, S/MIME si basa sulle autorità di certificazione per convalidare tutte le identità digitali, quindi dovrai ottenere il tuo certificato S/MIME e caricarlo su Gmail.

Outlook

Similmente a Gmail, anche Outlook utilizza TLS per crittografare le tue email. Se cerchi una protezione aggiuntiva per le email utilizzando S/MIME, dovrai pagare per diventare un utente Microsoft 365 Premium o Microsoft Office 365 E3.

Inoltre, Outlook supporta S/MIME solo se stai utilizzando un desktop Windows. La crittografia S/MIME di Outlook non è disponibile su Mac, iOS, Android e altri dispositivi non Windows, il che limita notevolmente la frequenza con cui puoi utilizzare la funzionalità.

Yahoo Mail

Yahoo Mail utilizza TLS per crittografare le email ma non offre supporto nativo per S/MIME o PGP. Per utilizzare E2EE con Yahoo Mail, dovrai usare un plugin di terze parti.

Proton Mail

Come fornitore di servizi email focalizzato sulla privacy e sicurezza, mantenere al sicuro i tuoi dati è la nostra massima priorità, motivo per cui utilizziamo una combinazione di TLS, crittografia a zero accesso e E2EE per proteggere le tue email. Tutta la crittografia di Proton Mail funziona in modo trasparente in background, il che significa che tutto ciò che devi fare è comporre la tua email e premere il pulsante “invia”. E a differenza di altri fornitori di servizi email, solo tu hai il controllo sulla tua chiave privata, il che significa che non possiamo accedere alle tue email o consegnarle a terzi.

Quando utilizzi Proton Mail, puoi anche godere di questi vantaggi di sicurezza e altri ancora:

  • Email Protette da Password: Invia Email Protette da Password a destinatari che non utilizzano Proton Mail. Il destinatario potrà leggere il tuo messaggio solo se inserisce una password concordata in precedenza.
  • Protezione avanzata dal tracciamento: Tutti i tracker spia nelle email promozionali vengono automaticamente rimossi, così puoi caricare in sicurezza le immagini remote senza essere tracciato.
  • Protezione dal phishing: Proton Mail offre protezione anti-phishing grazie a un insieme di funzionalità avanzate progettate specificamente per combattere il phishing.
  • Misure anti-spoofing per domini personalizzati: Per proteggerti dagli attacchi di spoofing, supportiamo SPF, DKIM e DMARC.
  • Sistema intelligente di rilevamento dello spam: Il nostro sistema di rilevamento dello spam riconosce automaticamente le email spam e le indirizza alla tua cartella spam. Per una personalizzazione ulteriore, puoi anche aggiungere e rimuovere indirizzi email dalla tua Lista Bloccati.
  • Autenticazione a due fattori (2FA) e chiavi di sicurezza: Puoi utilizzare 2FA per proteggere il tuo account Proton Mail. Supportiamo codici temporanei generati da app di autenticazione, YubiKey e altre chiavi conformi a U2F/FIDO2.
  • Supporto PGP: Invia email crittografate con PGP anche a indirizzi non Proton Mail.

Poiché crediamo che la privacy online sia un diritto fondamentale per tutti, chiunque può registrarsi per un account Proton Mail gratuito e sicuro.

Altri fornitori di email crittografate

Il crescente numero di fornitori di email crittografate (come Tutanota) è un segno promettente che sempre più persone prendono sul serio la propria privacy digitale. Tuttavia, la maggior parte di questi fornitori è ancora relativamente piccola e non testata. Alcuni non offrono app mobili, rendendo difficile inviare email crittografate in movimento.

Considerazioni finali

Come il più grande fornitore di email al mondo, la nostra visione è quella di costruire un internet dove la privacy sia la norma. Se anche tu sostieni un futuro del genere, unisciti a noi creando un account Proton Mail gratuito. Per godere di funzionalità di sicurezza complete, puoi anche passare a un piano Proton Mail a pagamento e contribuire a un internet migliore.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

compromised passwords
en
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p
Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la