通过电子邮件发送个人信息是否比以另一种方式传输相同信息的风险更大?

信息安全 电子邮件 传真
2021-08-22 07:59:36

多年来,银行家、学校管理人员、保险代理人、汽车推销员、房地产经纪人都要求我通过电子邮件向他们发送各种信息。从我的地址和电话号码到信用卡信息和社会安全号码的所有内容,无论是文本还是扫描文件的形式。视情况而定,有时我说不,有时我说是。

我知道普通电子邮件在传输过程中理论上是不安全的,但仅此而已。很多时候,公司/个人似乎只关心便利性,因此很难找到其他发送信息的方式,例如普通邮件或传真。所以我想知道,通过电子邮件发送这些信息的危险是否远大于其他方式的危险?

在提问之前我做了一些功课,这是我目前(但可能存在缺陷)的理解。这里有两类漏洞,任一端点的网络嗅探器和端点之间路由上的不可信服务器。从我读到的内容来看,实际上更大的危险似乎是端点的嗅探器(例如,房地产经纪人在公共咖啡店网络上检查邮件),尽管如果两端的人都在相对安全(即私有)网络上,这种情况会得到缓解和/或使用支持 HTTPS 的网络邮件。

至于另一个威胁,我对网络的理解很模糊,而且我不知道从哪里开始控制实际在起点和终点之间路由电子邮件的机器。那里的危险对我来说感觉较低,因为它似乎在技术上更具挑战性,而且因为这样的机器可能会处理大量邮件,所以通过默默无闻的“安全性”可能适用。

替代品也很难判断。普通邮件似乎是安全的(如果速度很慢),但除非它到达最终收件人,否则它可能会被扫描并以不安全的方式发送电子邮件。传真似乎和电子邮件一样复杂,只是通过不同的网络,但攻击者可能更难以有用的方式“窃听”?

因此,除了我上面的主要问题之外,如果您能纠正我在那里的任何误解,我将不胜感激。

3个回答

希望邮件流量通过 tls 加密,但除非您管理自己的邮件服务器,否则无法强制执行此操作。为了确保您的数据被保存,您必须使用 pgp/gpg,许多公司认为这对他们来说太复杂了。如果他们不准备保护您的数据,您必须决定是否真的想与他们开展业务。作为一种妥协,也许您可​​以发送一个受密码保护的 zip 文件并通过单独的渠道(例如电话呼叫)交换密码。

通过电子邮件发送此信息的危险是否比其他方式的危险大得多?

不可能进行合格的比较,因为有许多可能的情况和变量。然而,一般而言,未加密的电子邮件安全类似于向某人发送明信片:任何处理它的人都可以阅读它的内容。在电子邮件的情况下,这将是它在到达目的地的途中经过的任何机器。

正如@geekamongus 指出的那样,任何沟通方式都存在风险,因此直接比较非常困难。

但是,有几个风险导致我不通过电子邮件发送敏感通信。正如 OP 所提到的,在通信的各个阶段都存在中间人攻击的问题。加密连接可以帮助减轻这种风险,但只能在一定程度上。您的电子邮件只会在传输到通过互联网转发您的电子邮件的邮件服务器时受到保护。一旦转发发生,就不能保证在特殊情况之外它是一路加密的。

传真有其自身的一系列问题,包括窃听它们的通信的能力(re:如果我从不安全的端点发送传真到安全的端点,数据是否安全?),机器有时有最后 X 的记忆传真的数量,有时会自动将传真转换为 PDF 的互联网服务,有时传真最终会通过 VOIP 而不是电话线运行。最后两个可能导致不安全的互联网通信。

加密连接没有解决的一个问题,到目前为止还没有提到,是电子邮件位于收件人邮箱中的威胁。这些其他方显然没有非常重视安全性,所以谁知道他们的系统可能有什么危害,这可能会导致某些恶意方读取您的敏感信息,或者他们多久让他们的计算机解锁和无人看管。您也可能会花时间确保它安全地送达他们,然后他们不安全地将电子邮件转发给其他人。

正如@UweBurger 所说,在发送之前花时间加密您的电子邮件,将降低拦截的风险——假设你使用强加密——但很难使用。我想向房地产经纪人解释如何使用 PGP/GPG 将是一场噩梦。这种方法的一个优点是它还会阻止邮件管理员阅读邮件,因为您手动加密了,而且它也不一定会在对方的计算机上未加密。请注意,谷歌创建了端到端(https://github.com/google/end-to-end),试图使电子邮件加密更容易,但我没有研究它的实现来评论它的优点或问题。

最后,这个决定不是非黑即白的:您必须在安全性和易用性之间选择合适的平衡点,让您感到舒服。

其它你可能感兴趣的问题
上一篇Lync (Skype for Business) 可以采用 Activesync 风格的策略吗? 下一篇Windows netsh 旋转