Nie loguj się mailem

Chronimir
w

Wiele serwisów każe logować się e-mailem, bo to wygodne. Tylko że e-mail jest jak numer telefonu: działa świetnie jako identyfikator, ale jest też bardzo „przenośny” między usługami i często wycieka. Nazwa użytkownika może być mniej wygodna, za to bywa bezpieczniejsza – bo utrudnia łączenie Twoich kont i zmniejsza skuteczność ataków na logowanie.

E-mail to identyfikator globalny

Adres e-mail ma jedną cechę, której brakuje większości loginów: zwykle jest stały i używany wszędzie. Jeśli wpisujesz go jako login, to:

  • łatwiej powiązać Twoje konta między różnymi serwisami,
  • łatwiej zebrać o Tobie metadane (które usługi masz, gdzie jesteś klientem),
  • łatwiej budować Twój profil dla reklam, spamu i socjotechniki.

Nazwa użytkownika może być unikalna tylko w danym serwisie. I o to chodzi: ogranicza „rozpoznawalność” między platformami.

Wycieki danych: e-mail jest pierwszą rzeczą, która krąży po świecie

Wyciek z jednego serwisu często oznacza, że Twój e-mail trafia do list:

  • spamerów,
  • oszustów phishingowych,
  • ludzi robiących ataki na logowanie (credential stuffing).

Jeśli e-mail jest Twoim loginem, to atakujący ma już połowę danych potrzebnych do próby włamania. Zostaje mu tylko hasło (albo obejście hasła).

Jeśli loginem jest nazwa użytkownika, to po wycieku e-maila atakujący nadal nie ma pewności, jaki jest Twój identyfikator w danym serwisie. Dla Ciebie to mały szczegół, dla automatycznych ataków – dodatkowy próg.

„Credential stuffing” lubi e-maile

Credential stuffing to masowe próby logowania kombinacjami „e-mail + hasło” z wcześniejszych wycieków. To działa, bo ludzie:

  • używają tego samego hasła w wielu miejscach,
  • albo używają wariacji tego samego hasła.

Jeśli serwis wymaga e-maila jako loginu, automatyzacja jest banalna. Jeśli wymaga nazwy użytkownika, automatyzacja staje się trudniejsza, bo trzeba najpierw znać tę nazwę albo ją odgadnąć.

To nie jest tarcza nie do przebicia. To jest utrudnienie, które potrafi zredukować ryzyko, szczególnie przy masowych atakach.

Phishing: e-mail jako login ułatwia „wiarygodny” atak

Gdy e-mail jest loginem, przestępca może napisać wiadomość w stylu:

„Wykryliśmy podejrzane logowanie na Twoje konto [serwis]. Zaloguj się, żeby potwierdzić.”

Jeśli zna Twój e-mail i wie, że jest on loginem, może dopasować komunikat, a nawet podszywać się pod konkretne usługi. Do tego dochodzi efekt psychologiczny: użytkownik widzi „swój e-mail” w formularzu i uznaje to za znajome, a więc bezpieczne.

Przy loginach-username trudniej zbudować tak „osobisty” atak, bo brakuje pewnego identyfikatora, który prawie zawsze pasuje.

Prywatność: e-mail to często Twoje imię i nazwisko

Wiele osób ma adresy typu:

  • imie.nazwisko@…
  • inicjaly + nazwisko@…
  • nazwa firmy + imię@…

To oznacza, że używanie e-maila jako loginu:

  • ujawnia dane osobowe przy samym logowaniu (np. na ekranie współdzielonym, w pracy, w cafe),
  • zostawia ślady w logach, zrzutach ekranu, filmikach instruktażowych, support ticketach.

Nazwa użytkownika może być neutralna i „oderwana” od tożsamości.

Ale uwaga: nazwa użytkownika też może szkodzić, jeśli używasz jej wszędzie

Jeśli masz jeden unikalny nick i używasz go w 30 serwisach, to zyskujesz wygodę, ale tracisz prywatność. To działa wtedy podobnie jak e-mail: stajesz się łatwy do „zlepienia” w jedną osobę.

Najbezpieczniejszy model to:

  • różne nazwy użytkownika w różnych serwisach (lub przynajmniej w tych ważnych),
  • a do tego różne adresy e-mail do różnych ról (ważne konto, rejestracje, newslettery).

Kiedy e-mail jako login jest OK (i jak to robić mądrze)

Czasem e-mail jako login jest nieunikniony. Wtedy nadrabiasz zabezpieczeniami:

  • Unikalne, długie hasło (menedżer haseł robi to bez bólu).
  • MFA/2FA (najlepiej aplikacja lub klucz sprzętowy, nie SMS).
  • Alerty o logowaniach i transakcjach.
  • Osobny e-mail tylko do najważniejszych kont.

To sprawia, że nawet jeśli e-mail jest znany, to włamanie nadal jest trudne.

Podsumowanie

Logowanie nazwą użytkownika bywa bezpieczniejsze niż e-mailem, bo:

  • e-mail jest globalnym identyfikatorem, łatwym do powiązania między usługami,
  • wycieki e-maili są powszechne, a wtedy atakujący dostaje „gotowy login”,
  • masowe ataki na logowania działają lepiej, gdy loginem jest e-mail,
  • e-mail często zdradza tożsamość, a nazwa użytkownika może być neutralna.

Najważniejsze: to nie jest magia, tylko redukcja powierzchni ataku. Im mniej uniwersalnych identyfikatorów rozdajesz jako „klucz do drzwi”, tym trudniej Cię namierzać, łączyć i atakować masowo.