Frage:
Nachteile der Anzeige der E-Mail-Adresse auf dem Android-Sperrbildschirm
freekvd
2019-02-13 11:22:37 UTC
view on stackexchange narkive permalink

Mein Standard Android 9.0 bietet mir die Möglichkeit, eine kurze Textnachricht auf dem Sperrbildschirm anzuzeigen. Ich möchte hier meine E-Mail-Adresse hinzufügen, damit die Leute wissen, wie sie mich kontaktieren können, wenn sie mein Telefon finden.

Gibt es Nachteile? Die Adresse ist mit dem Google-Konto verknüpft, das auf diesem Telefon verwendet wird.

Ich weiß, dass es andere Möglichkeiten gibt, mein Telefon zurückzubekommen, z. B. mein Telefon zu finden, aber ich möchte eine Methode, mit der der Finder mich finden kann statt umgekehrt.

Meins zeigt die Handynummer meiner anderen Hälfte und meine private Telefonnummer. Wahrscheinlich etwas zugänglicher für Menschen - mehr Menschen haben Zugang zu einem Telefon als E-Mail.
Ich habe auch die Handynummer für mein Geschwister (einschließlich internationaler Landesvorwahl), da sie selten bei mir sind, aber wissen, wie ich meine "andere Hälfte" kontaktieren kann, falls meine andere Hälfte und ich beide nicht erreichbar sind.
Die meisten neuen Telefone verfügen über eine Notruffunktion, mit der jeder Benutzer auf einige voreingestellte Notrufkontakte zugreifen kann.Wenn dies fehlschlägt, ist die Option "Mein Telefon suchen" bei weitem am einfachsten, wenn Sie sie verlieren, da Sie sie automatisch sperren und eine Nachricht Ihrer Wahl auf dem Bildschirm drucken lassen können.
@Criggie, aber die Polizei hat definitiv Zugang zu E-Mails. Im schlimmsten Fall (natürlich für jemanden, der bereit ist, sie zurückzugeben) wird die Polizei dies für sie tun.
Fünf antworten:
schroeder
2019-02-13 14:07:47 UTC
view on stackexchange narkive permalink

Ihre E-Mail-Adresse ist allgemein bekannt, daher ist die Offenlegung oft kein großes Sicherheitsrisiko.

Aber es wird kompliziert, wenn es sich um Ihr Telefon handelt. Da Ihre E-Mail-Adresse häufig als Benutzername für die Anmeldung bei Diensten verwendet wird und Sie Ihr Telefon als zweiten Faktor beim Anmelden verwenden sollten (sollten), kann das Verknüpfen dieser beiden Daten unbeabsichtigte Folgen haben. Ja, Sie (sollten bereits) Ihr Telefon verschlüsseln und (sollten) ein sicheres Kennwort haben, um sich bei Ihrem Telefon anzumelden. Je nachdem, wie Sie alles implementiert haben, bestehen jedoch Risiken.

Die bessere Option, um was zu tun Sie möchten eine sekundäre Adresse anzeigen, die Sie nirgendwo als Benutzernamen verwenden. Dies ist einfach und Sie können einfach alle E-Mails von dort an Ihre primäre Adresse weiterleiten.

+1 für den Vorschlag, eine sekundäre Adresse zu verwenden.Darüber hinaus sollte die sekundäre Adresse nicht Ihren richtigen Namen enthalten, da die öffentliche Adresse schnell gefunden werden kann, wenn Sie Ihren Namen und den Ort kennen, an dem das Telefon gefunden / gestohlen wurde.
Ich möchte auch darauf hinweisen, dass das Aufrufen Ihres E-Mail-Kontos (um die Nachricht zu lesen, dass Ihr Telefon gefunden wurde) durch den Verlust des Telefons (als zweiter Faktor) erschwert werden kann.
@EsaJokinen Ich bin mir nicht sicher, welchen Wert das hat.Der gesamte Zweck des Hinzufügens der E-Mail-Adresse besteht darin, dass die Person physisch mit dem Telefonbesitzer interagieren kann.Entweder um das Telefon dem Besitzer zu übergeben oder um es zu verschicken.Zweitens sammelt die Person mit dem Telefon alle Arten von persönlichen Informationen, wenn Sie Ihr Telefon so einrichten, dass Benachrichtigungen angezeigt werden.Um die Vorteile Ihrer Vorschläge zu nutzen, müssten Sie * auch * einige opsec-Schritte ausführen.
Dies spricht meine Bedenken perfekt an, danke für die Antwort!Ich habe einige Zwei-Faktor-Authentifizierungen eingerichtet (für Private Banking und für alle arbeitsbezogenen Informationen; und natürlich für das Google-Konto).Ich habe auch ein Backup für die Google-Zwei-Faktor-Authentifizierung auf einem alten, heruntergefahrenen Telefon, sodass ich auch dann auf das E-Mail-Konto zugreifen kann, wenn ich mein Telefon verliere.
Ein Freund von mir hat seine Handynummer auf den Sperrbildschirm gesetzt, damit jeder, der das Telefon gefunden hat, sie anrufen kann, um sie zu informieren und eine Rückgabe zu arrangieren.‍♂️
@EsaJokinen Ich bin auch damit einverstanden, Ihren Namen zu verbergen, um es schwieriger zu machen, Ihre öffentliche Adresse zu finden.Wenn Sie Ihr Telefon verloren haben (oder es gestohlen haben), ist es sehr wahrscheinlich, dass dasselbe mit Ihrem Haus- oder Autoschlüssel passiert ist.Machen Sie es einer böswilligen Person nicht leicht, sie zu benutzen.
Wir müssen uns auch daran erinnern, dass eine Person, die das Telefon zurückgibt, wahrscheinlich eine andere Person ist als die Person, vor der wir unsere Informationen schützen möchten.Wir müssen diese Anwendungsfälle separat betrachten.Nach dem ersten Kontakt von jemandem, der das Telefon gefunden hat, können wir entscheiden, welche weiteren Informationen wir bereit sind zu geben, während wir alles vor dem Täter verbergen können.
Auf meinem Sperrbildschirm habe ich eine https://return.me/ ID und eine gebührenfreie Nummer.
@LightnessRacesinOrbit Ich habe meine Telefonnummer auch auf meinem Sperrbildschirm angezeigt.Ich mache das lieber als meine E-Mail-Adresse.Ich kann Texte von jedem Computer abrufen und Anrufe tätigen / empfangen, solange der Computer über ein Mikrofon verfügt.
+1 Dies ist, was ich tue, und ein gutes Detail, dass die sekundäre E-Mail nicht identifizierbar sein sollte.
"Ihre E-Mail-Adresse ist allgemein bekannt, daher ist die Offenlegung oft kein großes Sicherheitsrisiko."Versuchen Sie, dies allen Leuten zu erzählen, die im jüngsten GDPR-Thread auf Meta.SO einen großen Gestank darüber geäußert haben.Wenn Sie sie sprechen hören, denken Sie, es wäre eine größere Sache als Ihre Sozialversicherungsnummer!o_0
Zumindest in Outlook können Sie einen Alias für Ihr Konto erstellen und ihn dann verwenden, und die E-Mail wird so gesendet, als ob sie für Ihr Hauptkonto wäre.Bei Google Mail bin ich mir nicht sicher, ob ich nur ein ** + ** hinzufügen kann, gefolgt von dem, was Sie wollen, aber das verrät trotzdem Ihr Hauptkonto.
Das letzte Mal, als ich versuchte, ein Android-Telefon mit einem sicheren Passwort zu schützen, wurde es abgelehnt, weil es zu lang war.
Esa Jokinen
2019-02-13 16:08:57 UTC
view on stackexchange narkive permalink

Wenn das Ziel darin besteht, dass ein aufrichtiger Finder Sie kontaktiert, aber keine Informationen preisgibt:

  1. Sperren Sie das Telefon ordnungsgemäß (sicheres Passwort, Fingerabdruck usw.)
  2. Verschlüsseln Sie den Inhalt.
  3. Blenden Sie Details für Benachrichtigungen auf dem Sperrbildschirm aus.
  4. Verhindern Sie nach Möglichkeit das Beantworten von Telefonanrufen ohne Authentifizierung. Dies ist wahrscheinlich der schwierigste Schritt, und jeder, der Sie anruft, kann versehentlich Ihre Identität preisgeben, ganz zu schweigen davon, ob ein Anruf für eine 2FA-Methode ausgewählt wurde.
  5. Verwenden Sie eine sekundäre E-Mail-Adresse, die nicht verknüpft werden konnte für Sie.
    6. ol>

    Wie in Schröders hervorragender Antwort ist die E-Mail-Adresse nicht die wichtigste Information, die ein Telefon verlieren könnte. Die Nr. 5 ist nur dann wirklich nützlich, wenn Sie in Nr. 1-4 alles erreicht haben, da es in Nr. 1-4 trivial sein kann, die in Nr. 5 versteckten Informationen zu finden.

Ist der Fingerabdruck wirklich so gut, wenn es relativ trivial ist, Fingerabdrücke zu entfernen, manchmal vom Telefon selbst, und Formen zu erstellen, um auf das Gerät zuzugreifen?
Abhängig vom Fingerabdrucksensor scheint es schwierig zu sein, ihn auch mit dem eigentlichen Finger zum Laufen zu bringen.;) Eine zusätzliche Sicherheitsebene besteht darin, ein Passwort zum Entsperren des Telefons und den Fingerabdrucksensor für die andere Authentifizierung zu verwenden, sobald das Telefon entsperrt ist.
George M Reinstate Monica
2019-02-15 01:29:53 UTC
view on stackexchange narkive permalink

Es gibt eine bessere Lösung. Zeigen Sie stattdessen die Telefonnummer der Person an, die Sie im Notfall kontaktieren möchten, und kennzeichnen Sie sie eindeutig als "ICE" (was für alle Notfallhelfer "im Notfall" bedeutet). Wenn Sie dann in einen Unfall geraten und bewusstlos sind, wird Ihre Person viel schneller kontaktiert. Und als Nebeneffekt wird ein Freund schnell benachrichtigt, wenn Sie Ihr Telefon verlieren.

Ángel
2019-02-15 04:10:37 UTC
view on stackexchange narkive permalink

Ich würde annehmen, dass das Hauptrisiko beim Platzieren der E-Mail-Adresse darin besteht, dass sie bei Verlust ein Phishing-Ziel für das Entsperren des Geräts darstellt.

Dies ist bei Apple-Geräten durchaus üblich: Das iPhone geht verloren / wird gestohlen, und der Besitzer sperrt den Zugriff auf das Telefon, sodass dieses Gerät nicht mehr verwendet werden kann (es sei denn, er greift auf das Apple-Konto des Besitzers zu). Die Nachricht, die für diejenigen angezeigt wird, die sie finden, enthält jedoch häufig die dem Konto zugeordnete E-Mail-Adresse. Angreifer senden also tatsächlich eine Phishing-E-Mail, die behauptet, von Apple zu stammen, und geben an, dass das iPhone gefunden wurde, was tatsächlich zu einer Phishing-Seite führt, von der aus die Anmeldeinformationen eines solchen Dienstes stammen Konten werden für die Freigabe des Geräts gesammelt.

Ich finde, dass der gleiche Ansatz auch mit einem Android-Telefon funktionieren würde. Wenn es sich bei der angezeigten E-Mail-Adresse um das mit dem Gerät verknüpfte Google-Konto handelt (wie es normalerweise der Fall ist), kann das Gerät durch Phishing der Kontoanmeldeinformationen entsperrt werden.

Verwenden Sie ausschließlich dafür eine sekundäre E-Mail-Adresse ( Das sollte dann 0 E-Mails erhalten, und Sie können nicht einmal nachsehen, bis Sie Ihr Telefon verlieren) und nicht mit dem Telefon verbunden sein, sollte helfen. † Obwohl Sie sehr vorsichtig sein sollten, dass alles, was dort empfangen wird, als Phishing-Versuch angesehen werden sollte (Beachten Sie, dass keine Benachrichtigung bezüglich des verlorenen Telefons nicht dorthin gesendet wird, sondern nur ein Mensch, der die Nachricht gelesen hat, telefonische E-Mails dorthin leitet!)

† Natürlich Speichern Sie den Namen und das Kennwort für diese E-Mail sowie das primäre Konto, auf dem das Gerät alles sichert.

Einige gehen davon aus, dass jedes verlorene Telefon gestohlen wird.Ich habe einmal eine gefunden und versucht herauszufinden, wie ich die Besitzerin kontaktieren kann, als sie versucht hat, mich per Video anzurufen, um das Gesicht von "The Stealer" zu bekommen.
Felipe Pereira
2019-02-14 19:21:29 UTC
view on stackexchange narkive permalink

Einschließlich Ihrer E-Mail gibt es einen ziemlich riskanten Schritt. Stellen Sie sich vor, Sie verlieren das Telefon und ein Bösewicht findet es:

  • er sieht die E-Mail und geht zu example.com und versucht sich anzumelden
  • , da er es nicht weiß Als Passwort wählt er das Konto aus, indem er ein Token an Ihr (jetzt sein) Telefon sendet.
  • In der Textbenachrichtigung auf dem Telefon wird das Token angezeigt, da es nicht sehr lang ist (und Sie es konfiguriert haben) Zeige diese Vorschau)
  • Jetzt kann er das Passwort von example.com ändern und dieses Konto ist weg.

Er kann das für andere Dienste wiederholen und viel Schaden anrichten Geben Sie also Ihre E-Mail-Adresse nicht an. Schauen Sie sich die anderen Antworten an, die gute Ratschläge geben (in dieser Antwort wollte ich nur darauf hinweisen, wie leicht Dinge schief gehen können).

Dies ist im Grunde meine Antwort, aber Ihre Einstellung dazu erfordert eine sehr spezielle Einrichtung für Benachrichtigungen auf dem Sperrbildschirm, wie 2FA verwendet wird und wie der Prozess zum Zurücksetzen des Passworts auf der Seite der Site funktioniert.
@schroeder, genau, deshalb habe ich die Bits hinzugefügt, die sich auf _spezifische Einstellungen für Sperrbildschirmbenachrichtigungen beziehen, wie 2FA verwendet wird und wie der Prozess zum Zurücksetzen von Passwörtern auf der Seite der Site funktioniert_, erwähnt, um die anderen Antworten (einschließlich Ihrer) zu suchen, und auch erklärt, warumMeine Antwort war so strukturiert
Auf jeden Fall bleibt mein Kommentar bestehen.Ich bin mir nicht sicher, ob dies etwas hinzufügt, und es erfordert eine ganz bestimmte Menge von Dingen, um wahr zu sein, um relevant zu sein.
@schroeder Nun, Sie haben nicht vorgeschlagen, dass ich auf Ihren Kommentar reagiere. Sie haben einfach gesagt, dass diese Ergänzungen nach meinem Kommentar kamen. Und das ist überhaupt nicht wahr. Auch hier wurde die Antwort nicht bearbeitetNachdem ich es gepostet habe, gibt es keine Möglichkeit, zwei Versionen davon zu lesen, es sei denn, Sie als Mod können den Entwurf sehen, während ich ihn schreibe.Für den Fall, dass Sie nicht sicher sind, ob diese Antwort etwas hinzufügt, habe ich näher auf das eingegangen, was Sie in "möglicherweise unbeabsichtigte Konsequenzen" erwähnt haben. Es wird ein klares Beispiel für einen Exploit gegen das Vorhandensein der E-Mail hinzugefügt.
Auch keine Antwort, wenn Sie auf eine andere Antwort verweisen, die in Zukunft geändert oder gelöscht werden könnte.
@pipe Ich habe unzählige Beispiele für Antworten gesehen, in denen die Antworten anderer zitiert wurden, hier auf infosec und auch im Rest des SE-Netzwerks.Wenn Sie glauben, dass eine Antwort eines Mods, der vom OP hoch bewertet und akzeptiert wurde, wahrscheinlich gelöscht wird, kann ich Sie nicht davon abhalten, anders zu denken.
@pipe können Sie in diesem Fall auch als NAA kennzeichnen
@FelipePereira Ich habe viele Leute in einer Straße in der Nähe meines Hauses parken sehen, in der das Parken illegal ist.Das heißt nicht, dass es richtig ist.Wenn Sie einer Antwort nur etwas hinzufügen möchten, können Sie eine Bearbeitung vorschlagen.Ich werde dies nicht markieren, sondern nur abstimmen, da es versucht, die Frage zu beantworten, aber so wie es ist nicht sehr nützlich ist.
@pete, Wenn Sie der Meinung sind, dass meine Antwort einen eindeutigen Verstoß gegen die Richtlinien der Website darstellt (wie in Ihrem Parkbeispiel), markieren Sie sie (falls Sie dies noch nicht getan haben).
@pipe Übrigens, ich habe ein klares Beispiel für die Nachteile gegeben, nach denen das OP gefragt hat. Wenn das nicht sehr nützlich ist, weiß ich einfach nicht, was es sein würde (ja, die allgemeinen Motive, warum die E-Mail dort in einer anderen Antwort behandelt wird).aber ein konkretes Beispiel ist auch nicht schlecht / nutzlos IMO)


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...