邮件
加密

给创业者的电子邮件安全指南

下一篇文章

雅虎开始鼓励 Chrome 用户 “升级至” 火狐

给创业者的电子邮件安全指南

索尼影业遭到黑客攻击的影响正一步步展现在我们面前,因此我们也注意到,业务运营安全对任何公司来说都非常关键。无论你是否传输有较高价值的数据,如果认为你的服务器足够安全,或者你的数据没有什么价值,那么都是愚蠢的。你将会遭到攻击,这将带来损失。

大部分黑客攻击的一个主要目标是电子邮件。如果你的 IT 部门和防火墙能够正常工作,那么后端遭到攻击的可能性是极低的。这样的攻击可能会发生,但最有价值的信息存在于你的电子邮件记录中。你的员工通过电子邮件发起会话,你的信用卡卡号和密码存在于电子邮件之中,而许多具有破坏性的一次性文件也出现在电子邮件里。简而言之,关于对电子邮件的信任,我们都是傻瓜。不过,我们可以通过一些方式使自己不是太愚蠢。

以下是你可以采取的两步措施,使你的公司更安全。

删除你的电子邮件

尽管你可能有很多理由,在收件箱中保存大量邮件,但我们大部分人在花费一定时间后,都可以导出这些信息。“这里有重要的客户信息!” 你会这样为自己辩护。不过,情况并非如此,你可以将这些信息保存在客户信息管理(CRM)系统内。“我建立了强大的文件夹和活动项目系统!” 你可能还会这样说。实际上也不是这样。你有一大堆电子邮件。如果你必须保存自己的电子邮件,那么可以将其导出至 DevonThink 等可搜索的数据库中,使邮件离开你的邮件服务器。用颜色进行标记的活动文件夹真的对你很重要?买一本笔记本,将这些信息写下来。我删除了自己的 98% 电子邮件。如果邮件还在那里,那么肯定是一次意外,或者说,我会在未来 1 小时内对其进行操作。电子邮件记录是一大堆垃圾,但其中存在许多黑客感兴趣的信息。删除它。

加密你的电子邮件

对于 OS X 用户,我会建议使用 GPGTools 作为加密解决方案。当然,你也可以下载 Mailvelope 用于跨平台的 Gmail 加密。不过,GPGTools 是一款功能全面的系统,能帮助用户在外出时加密文件,而这是 Mailvelope 做不到的。如果你使用 Windows 系统,那么将会有其他选择,包括 GPG4Win。聪明的 Linux 用户可以安装自己的 PGP 解决方案。为了简单起见,我们这里专注于 OS X。

1. 安装 GPGTools。从这里下载这些工具,并进行安装。

2. 生成公钥/密钥对。你将安装名为 GPG Keychain 的工具。这其中将包含你的所有公钥和密钥。公钥是公开的,你可以与所有其他人分享,而密钥只能由你一个人知晓。请不要将其提供给其他任何人,在导出时也请保持谨慎。

screen-shot-2014-12-12-at-3-04-03-pm-e1418423195757

当你生成公钥和密钥时,请使用复杂的密码串。这可以是 “I love the song 99 Luftballoons!!”,也可以是 “d4D99AX!0^xpork is my password”,但 “I like mom” 和 “porkninja” 这样的密码串过于简单。这是你会经常使用的密码,因此请确保你可以很容易地记忆并快速输入。对于良好的密码保护来说,最大的敌人在于你缺乏耐心。在你生成公钥和密钥之前,请勾选 “上传公钥”。随后,公钥将被上传至热门的公钥服务器,例如 PGP.MIT.EDU 或 Keybase.io。通过这些服务,用户可以查找自己的公钥,随后使用公钥进行邮件签名。

3. 启动苹果 Mail 应用。现在,在你发送电子邮件时,邮件应当自动得到签名。这意味着,你已经加入到公钥加密系统中。通过用公钥为电子邮件进行签名,你不仅可以证明自己就是电子邮件的真实发送者,你发起对话的对方也可以以加密方式向你发送邮件。你不需要与使用 PGP 的其他用户交换密钥。

从核心来看,PGP 系统使用公钥和对称加密技术。简单来说,如果鲍勃和艾莉丝正在对话,鲍勃的公钥和艾莉丝的密钥配对,而鲍勃的密钥和艾莉丝的公钥配对,那么这两串密码将可以被用于创建一个独一无二的密码。这将确保,只有鲍勃和艾莉丝能解密这些消息。你也可以对群组消息进行加密,而大部分平台应当都支持这样的功能。不过,支持的消息数量可能会有所不同。

screen-shot-2014-12-12-at-4-47-17-pm

你已经做好了准备:这两个蓝色图标表明,电子邮件将得到签名,并且是安全的。我和娜塔莎之间的邮件将永远安全!

4. 将 PGP 用于所有内部邮件。请务必这样做。你的电子邮件记录对黑客来说将不再有价值,私人信息将永远私密。我知道,你无法与所有人一同使用 PGP,但如果你认为某一邮件包含机密信息,那么请不要在没有 PGP 加密的情况下发送邮件。鼓励你的生意伙伴加入你的 PGP 系统,同时鼓励其他创业者阅读这篇内容,从而确保安全。

尽管我知道,索尼的此次事件中可能有多个未获得保护的邮件账号遭到攻击,但邮件服务器记录被导出的可能性也很大。大部分这些电子邮件都只是简单的文本信息,而我们的目标是使其中不再存在任何简单文本。

准备好了吗?下面是 TC 部分编辑的加密公钥:

John Biggs
Natasha Lomas
Frederic Lardinois
Catherine Shu
Jon Russell
Matthew Panzarino

翻译:维金(@LiWei)

The Founder’s Guide To Email Security