ईमेल इंटरनेट पर संचार का सबसे सर्वव्यापी तरीका है - शायद इस ग्रह पर भी। यह फोन और टैबलेट से लेकर पारंपरिक कंप्यूटर से लेकर गेमिंग डिवाइस तक लगभग हर चीज में बनाया गया है - यहां तक कि कनेक्टेड घरेलू उपकरण और कारें भी ईमेल कर सकती हैं। इससे भी महत्वपूर्ण बात यह है कि, "इंटरनेट पर" होने का मतलब एक ईमेल पता (या उनमें से दर्जनों) होना है; वे हमारी आईडी हैं, हम चीजों के लिए कैसे साइन अप करते हैं, हम नोटिस कैसे प्राप्त करते हैं, और कभी-कभी एक-दूसरे के साथ संवाद भी करते हैं। ईमेल मूल "हत्यारा ऐप" है।
लेकिन ईमेल को डिज़ाइन नहीं किया गया था कोई गोपनीयता या सुरक्षा को ध्यान में रखते हुए. ईमेल को अधिक सुरक्षित बनाने के लिए कई प्रयास किए गए हैं, लेकिन हाल ही में अत्यधिक प्रचारित सुरक्षित ईमेल सेवाओं को बंद कर दिया गया है लावाबिट (कथित तौर पर एनएसए लीकर एडवर्ड स्नोडेन द्वारा उपयोग किया गया) और शांत मंडल सरकारी निगरानी कार्यक्रमों के मद्देनजर कठिनाइयों पर प्रकाश डालें। ईमेल सुरक्षा की कमी से कुछ आश्चर्यजनक संपार्श्विक क्षति भी हो रही है, जैसे कि प्रतिष्ठित सॉफ्टवेयर और कानून ब्लॉग को बंद करने की घोषणा ग्रोकलॉ.
अनुशंसित वीडियो
क्या ईमेल सुरक्षा निराशाजनक है? क्या हम इंटरनेट के हत्यारे ऐप के अंत की ओर देख रहे हैं?
ईमेल सुरक्षित क्यों नहीं है?
ईमेल सुरक्षित नहीं है क्योंकि इसे कभी भी हमारे डिजिटल जीवन का केंद्र नहीं माना गया था। इसे तब विकसित किया गया था जब इंटरनेट विभिन्न प्रकार के कंप्यूटरों का उपयोग करने वाले लोगों के बीच सरल स्टोर-एंड-फॉरवर्ड मैसेजिंग को मानकीकृत करने के लिए एक बहुत छोटी जगह थी। ईमेल को पूरी तरह से खुले में स्थानांतरित किया गया था - सब कुछ किसी भी व्यक्ति द्वारा पढ़ने योग्य था जो नेटवर्क ट्रैफ़िक देख सकता था या खातों तक पहुंच सकता था (मूल रूप से पासवर्ड भी एन्क्रिप्ट नहीं किए गए थे)। आश्चर्यजनक रूप से, उन व्यापक-खुले तरीकों का उपयोग करके भेजा गया ईमेल अभी भी (अधिकतर) काम करता है।
आज, चार बुनियादी स्थान हैं जहां अधिकांश लोगों के ईमेल से छेड़छाड़ की जा सकती है:
- आपके डिवाइस पर
- नेटवर्क पर
- सर्वर पर
- आपके प्राप्तकर्ता के डिवाइस पर
पहला और अंतिम स्थान - उपकरण - समझना आसान है। यदि कोई आपके कंप्यूटर पर बैठ सकता है, आपका फोन पकड़ सकता है, या आपके टैबलेट पर स्वाइप कर सकता है, तो संभावना है कि आपका ईमेल उनके पढ़ने के लिए वहीं बैठा है - आप करना अपने डिवाइस पर लॉक स्क्रीन या पासवर्ड का उपयोग करें, है ना? यही बात आपके प्राप्तकर्ताओं के उपकरणों के लिए भी लागू होती है। लेकिन पासवर्ड और लॉक स्क्रीन भी कभी-कभी ज्यादा मददगार नहीं होते हैं। जबकि कुछ ईमेल प्रोग्राम डिवाइस पर संग्रहीत ईमेल संदेशों को एन्क्रिप्ट करते हैं, अधिकांश नहीं करते हैं। इसका मतलब है कि कोई भी व्यक्ति (या कोई भी प्रोग्राम) जो डिवाइस के आंतरिक स्टोरेज तक पहुंच सकता है, संभवतः ईमेल भी पढ़ सकता है और अटैचमेंट फ़ाइल प्राप्त कर सकता है। दूर की कौड़ी लगती है? इसका एक व्यक्ति होना ज़रूरी नहीं है; ईमेल के माध्यम से घुसपैठ करना मैलवेयर द्वारा की जाने वाली सबसे आम चीजों में से एक है।
नेटवर्क को समझना थोड़ा कठिन है, और इसमें तीन बुनियादी लिंक शामिल हैं:
- आपके ईमेल प्रदाता से आपका कनेक्शन (चाहे वह आपका ISP, Google, Outlook, Yahoo, Apple, या कोई और हो)
- कोई भी नेटवर्क कनेक्शन बीच में आपका ईमेल प्रदाता और आपका प्राप्तकर्ता
- आपके प्राप्तकर्ता का उनके ईमेल प्रदाता से नेटवर्किंग कनेक्शन।
यदि आप किसी को उसी सेवा पर ईमेल भेज रहे हैं जिसका आप उपयोग करते हैं (जैसे, Outlook.com), तो आपके पास कम से कम पहला और तीसरी संभावित नेटवर्क कमजोरियाँ: Outlook.com से आपका कनेक्शन और आपके प्राप्तकर्ता का कनेक्शन आउटलुक.कॉम. यदि आपके प्राप्तकर्ता का ईमेल कहीं और है (जैसे कोई कंपनी या स्कूल) तो आपके पास कम से कम एक और है: Outlook.com और आपके प्राप्तकर्ता के ईमेल प्रदाता के बीच कनेक्शन। नेटवर्क स्थलाकृति की वास्तविकता का मतलब है कि उनमें से प्रत्येक कनेक्शन में राउटर और स्विच (शायद एक दर्जन या अधिक) की एक श्रृंखला शामिल है, जो संभवतः विभिन्न संगठनों के स्वामित्व और संचालित हैं। यदि एक कनेक्शन सुरक्षित है, तो इसकी कोई गारंटी नहीं है अन्य अनुक्रम में कनेक्शन सुरक्षित है. और यदि आप एनएसए के पीआरआईएसएम निगरानी कार्यक्रम जैसी चीज़ों के बारे में चिंतित हैं, तो अब तक के संकेत यह हैं कि इनमें से कुछ इन अंतरिम नेटवर्क बिंदुओं पर होता है।
ईमेल को डिज़ाइन नहीं किया गया था कोई गोपनीयता या सुरक्षा को ध्यान में रखते हुए.
सर्वर आपके ईमेल प्रदाता या आईएसपी की मशीनें हैं जो आपके ईमेल को भौतिक रूप से संग्रहीत करती हैं। यदि कोई आपके ईमेल पासवर्ड को क्रैक करता है (या अनुमान लगाता है, या चुराता है), तो संभवतः उन्हें आपके डिवाइस की आवश्यकता नहीं है; वे सीधे आपके ईमेल प्रदाता में लॉग इन कर सकते हैं और वहां संग्रहीत किसी भी ईमेल को पढ़ सकते हैं। यह केवल कुछ संदेश हो सकते हैं, लेकिन यह सप्ताह, महीने या वर्षों के बराबर ईमेल हो सकता है - जिसमें कम से कम कुछ संदेश भी शामिल हैं जिन्हें आपने हटा दिया है। लेकिन यह एकमात्र जोखिम नहीं है. अधिकांश ईमेल सेवाएँ आपके संदेशों को सादे पाठ के रूप में संग्रहीत करती हैं। इसलिए, कोई भी हमलावर जो उन सर्वरों तक पहुंच सकता है (जैसे, सुरक्षा दोष के माध्यम से या व्यवस्थापक पासवर्ड चुराकर) आसानी से सभी संग्रहीत ईमेल और अनुलग्नकों तक पहुंच सकता है। प्रदाता संग्रहीत ईमेल की सुरक्षा क्यों नहीं करते? आंशिक रूप से ओवरहेड के कारण जो उत्पन्न होगा, लेकिन ईमेल को अनएन्क्रिप्टेड संग्रहीत करने से लोगों को अपने संदेश खोजने की सुविधा मिलती है (आप खोजना पसंद करते हैं) आपका ईमेल, ठीक है?) और जीमेल जैसी सेवाओं को विज्ञापन बेचने के लिए कीवर्ड के लिए स्वचालित रूप से मेल स्कैन करने में सक्षम बनाता है (और आपको विज्ञापन पसंद है, सही?)।
बचाव के लिए एन्क्रिप्शन!
संचार को सुरक्षित रखने का सबसे अच्छा तरीका उन्हें एन्क्रिप्ट करना है: मूल रूप से, डेटा को जटिल तरीके से खंगालना गणितीय परिवर्तन इसलिए इसे केवल सही पासवर्ड या अन्य क्रेडेंशियल्स का उपयोग करके ही समझा जा सकता है। एन्क्रिप्शन का एक सामान्य रूप सार्वजनिक कुंजी क्रिप्टोग्राफी है, जहां लोग (या आईएसपी या कंपनियां) एक सार्वजनिक कुंजी दे देते हैं जिसे कोई भी कर सकता है उनके लिए इच्छित डेटा को खंगालने के लिए उपयोग करें, लेकिन इसे केवल उस निजी कुंजी का उपयोग करके डिकोड किया जा सकता है जिसे व्यक्ति (या आईएसपी या कंपनी) रखता है गुप्त।
सार्वजनिक कुंजी क्रिप्टोग्राफी ईमेल की सुरक्षा के दो प्राथमिक तरीकों का आधार है:
- संदेशों को एन्क्रिप्ट करना
- नेटवर्क कनेक्शन एन्क्रिप्ट करना
संदेशों को एन्क्रिप्ट करना
एन्क्रिप्टेड संदेशों के पीछे का विचार सीधा है: सादा पाठ भेजने के बजाय जिसे कोई भी पढ़ सकता है, आप स्क्रैम्बल गोबलडेगूक भेजते हैं जिसे केवल इच्छित प्राप्तकर्ता ही पढ़ सकता है। ईमेल को एन्क्रिप्ट करने के लिए सामान्य टूल में शामिल हैं पीजीपी (अब सिमेंटेक का एक वाणिज्यिक उत्पाद) और कई मुख्यधारा के ऐप्स और टूल जो ओपन सोर्स ओपनजीपीजी और एस/एमआईएमई का समर्थन करते हैं।
संदेशों को एन्क्रिप्ट करना एक सीधा विचार है, लेकिन इस दृष्टिकोण के फायदे और नुकसान हैं। सकारात्मक पक्ष पर, एन्क्रिप्टेड संदेश नेटवर्क और सर्वर दोनों पर सुरक्षित होते हैं, भले ही वे छेड़छाड़ किए गए हों या संदेशों को सादे पाठ के रूप में संग्रहीत करते हों। (हालाँकि, गॉब्लेडगुक जीमेल पर कुछ अजीब विज्ञापन पेश कर सकता है!) संदेश संभवतः एन्क्रिप्टेड भी है आपके डिवाइस और आपके प्राप्तकर्ता के डिवाइस पर (जब तक वे इसे डिकोड नहीं करते), जो कुछ अतिरिक्त सुरक्षा प्रदान करता है। वह सब अच्छा है.
अब नकारात्मक पक्ष. व्यक्तिगत संदेशों को एन्क्रिप्ट करना कष्टकारी है. की सार्वजनिक कुंजी आपके पास होनी चाहिए सब लोग आप सुरक्षित रूप से संवाद करना चाहते हैं. एक या दो लोगों के लिए, यह बुरा नहीं है, लेकिन अधिकांश लोगों के पास दर्जनों (या सैकड़ों) संपर्क होते हैं। उन सभी को सार्वजनिक कुंजी क्रिप्टोग्राफी के साथ चलाना आसान नहीं होगा।
इसके अलावा, हर कोई जो भेजना चाहता है आप सुरक्षित ईमेल के लिए आपकी सार्वजनिक कुंजी की आवश्यकता है! आप इसे उन्हें ईमेल के माध्यम से भेज सकते हैं... लेकिन वह एन्क्रिप्टेड नहीं होगा इसलिए यह सुरक्षित नहीं है। ब्लॉग पोस्ट या फेसबुक पेज या कीसर्वर सेवाओं या किसी अन्य असुरक्षित चैनल के साथ भी ऐसा ही है। सार्वजनिक कुंजियों का आदान-प्रदान करने का एकमात्र वास्तव में सुरक्षित तरीका आमने-सामने या किसी अन्य तरीके से है सही मायने में सुनिश्चित करें कि आपको सही व्यक्ति से सही कुंजी मिल रही है। यह बेहद अव्यावहारिक हो सकता है. कुछ लोग जो आपको संवेदनशील ईमेल भेजते हैं - जैसे बैंक, क्रेडिट कार्ड कंपनियां, अस्पताल, स्कूल, या स्थानीय प्रजनन क्लिनिक - शायद आपकी सार्वजनिक कुंजी का उपयोग नहीं करेंगे (या नहीं जानते होंगे) भले ही उनके पास हो यह। मूल बात यह है कि आपके बहुत से ईमेल संदेश एन्क्रिप्ट नहीं किए जाएंगे, इसलिए सुरक्षित ईमेल के लिए संदेशों को एन्क्रिप्ट करना कोई सामान्य समाधान नहीं है।
पर रुको! संदेशों को एन्क्रिप्ट करने के और भी नकारात्मक पहलू हैं। केवल संदेश अंतर्वस्तु (और अनुलग्नक, यदि कोई हो) खंगाले गए हैं। हेडर जानकारी (आपका पता, प्राप्तकर्ता का पता, विषय, दिनांक और अधिक सहित) सभी अभी भी सादे पाठ हैं जिन्हें कोई भी पढ़ सकता है। वह जानकारी महज़ मेटाडेटा हो सकती है, लेकिन समय के साथ यह आपकी ऑनलाइन गतिविधियों की आश्चर्यजनक रूप से विस्तृत तस्वीर पेश कर सकती है। (अभी एनएसए से पूछो!) एक और नकारात्मक पहलू चाहते हैं? अपने वेबमेल में लॉग इन करने और एन्क्रिप्टेड मेल के माध्यम से फ़ोन नंबर या पता खोजने का प्रयास करें।
कनेक्शन एन्क्रिप्ट करना
एन्क्रिप्टेड संदेशों के साथ होने वाली परेशानियों का मतलब है कि ईमेल को सुरक्षित करने का अधिकांश ध्यान नेटवर्क कनेक्शन को एन्क्रिप्ट करने पर रहा है। मूल विचार आपके बैंक या Amazon.com जैसी सुरक्षित वेब साइट का उपयोग करने जैसा ही है। जब आप अपने ईमेल प्रदाता से जुड़ते हैं, तो आपका सॉफ़्टवेयर आपके डिवाइस और सेवा के बीच कनेक्शन को एन्क्रिप्ट करने के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस, जिसे अभी भी एसएसएल के रूप में जाना जाता है) का उपयोग करता है। यहां तक कि यह कुंजियों के आदान-प्रदान का भी ध्यान रखता है: आज अधिकांश डिवाइस प्रमाणपत्र प्राधिकारियों के लिए कुंजियों के साथ पहले से इंस्टॉल आते हैं, जहां से वे डाउनलोड कर सकते हैं उपयोगकर्ताओं को परेशान किए बिना साइटों और सेवाओं के लिए प्रमाणित कुंजियाँ: कोई झंझट नहीं, कोई झंझट नहीं, सार्वजनिक कुंजियों का आदान-प्रदान करने के लिए ऑस्ट्रेलिया नहीं जाना कोई व्यक्ति। बुनियादी तकनीक ने लगभग दो दशकों तक ईकॉमर्स के लिए काम किया है।
वह जानकारी महज़ मेटाडेटा हो सकती है, लेकिन समय के साथ यह आपकी ऑनलाइन गतिविधियों की आश्चर्यजनक रूप से विस्तृत तस्वीर पेश कर सकती है।
आपके और आपके ईमेल प्रदाता के बीच कनेक्शन को एन्क्रिप्ट करने का मतलब है कि नेटवर्क पर कोई भी आपके द्वारा भेजे गए या प्राप्त ईमेल संदेशों को नहीं देख सकता है: यह सब गड़बड़ है। यह आपको स्थानीय वाई-फाई नेटवर्क और यहां तक कि रास्ते में कहीं डेटा सेंटर में गुप्त सरकारी टैप से बचाता है।
हालाँकि, एक बार जब संदेश आपके ईमेल प्रदाता तक पहुँच जाता है, सभी दांव बंद हैं। अधिकांश समय, आपका ईमेल प्रदाता संदेश डेटा को सादे पाठ के रूप में संग्रहीत करता है (ऊपर देखें), हालांकि कनाडा जैसे अपवाद भी हैं हशमेल. और यदि आपका प्राप्तकर्ता किसी अन्य ईमेल प्रदाता या आईएसपी पर है, तो आपका संदेश पुराने स्कूल के सादे पाठ ईमेल के रूप में इंटरनेट पर उन्हें प्रेषित किया जा सकता है (और शायद है!)। बड़ी संख्या में ईमेल सेवाएँ अपने बीच कनेक्शन एन्क्रिप्ट करने के लिए टीएलएस का उपयोग कर रही हैं, लेकिन बहुत बड़ा दुनिया में अधिकांश ईमेल सर्वर अभी भी बिना किसी एन्क्रिप्शन के संदेशों का आदान-प्रदान करते हैं - और आपके लिए जानने का कोई तरीका नहीं है। इसके अलावा, यह भी नहीं बताया जा सकता कि आपका प्राप्तकर्ता आपके ईमेल को प्राप्त करने या उसका उत्तर देने के लिए संरक्षित कनेक्शन का उपयोग करेगा या नहीं। आपने रक्षा की होगी अपने आप को सार्वजनिक वाई-फाई नेटवर्क पर रेंगने से, लेकिन क्या आपके डॉक्टर या अकाउंटेंट ने? शायद नहीं।
क्या ईमेल बर्बाद हो गया है?
ईमेल जल्द ही कभी भी बंद नहीं होगा. यह बहुत उपयोगी है, और लगभग हर डिवाइस और सेवा पर इसकी लगभग सार्वभौमिक स्थिति यह सुनिश्चित करती है कि ईमेल कई वर्षों तक हमारे साथ रहेगा।
लेकिन सुरक्षित ईमेल? लब्बोलुआब यह है कि वह ईमेल जैसा कि हम आज जानते हैं कभी नहीं सुरक्षित है, और हमारे द्वारा ईमेल संदेश भेजने, प्राप्त करने, संग्रहीत करने और उपयोग करने के असंख्य तरीके ईमेल को पूरी तरह से सुरक्षित बनाते हैं बहुत कठिन समस्या. सबसे अच्छे रूप में।
हम नई सुरक्षित संदेश सेवाओं का आविष्कार कर सकते हैं जो ईमेल की जगह ले सकती हैं। यही तो शांत मंडल ने अपनी एन्क्रिप्टेड संचार सेवा के साथ ऐसा किया है, और यकीनन ब्लैकबेरी ने बीबीएम के साथ यही किया है और एप्पल ने iMessage के साथ भी यही किया होगा। बहरहाल, ये सेवाएँ सरकारों के प्रकटीकरण अनुरोधों के अधीन हैं - हालाँकि साइलेंट सर्कल लगभग कुछ भी नहीं के साथ जवाब देने में सक्षम होने का दिलचस्प कदम उठाता है। इससे भी महत्वपूर्ण बात यह है कि मध्यम या दीर्घावधि में किसी भी बिंदु पर ईमेल की व्यापक सर्वव्यापकता और लगभग सर्वव्यापी पहुंच किसी के पास नहीं है। उम्मीद है, कठिनाई लोगों को प्रयास करने से नहीं रोकेगी - और किम डॉटकॉम का मेगा पहले से ही है अपनी टोपी रिंग में फेंकना.
लेकिन, निकट भविष्य में, इंटरनेट उपयोगकर्ता यह उम्मीद नहीं कर सकते कि ईमेल चुभती नज़रों या अवरोध से सुरक्षित रहेगा। अवधि।
शीर्ष छवि के सौजन्य से Shutterstock/3सपने