Hushmail gjennomgang

Hushmail

Hushmail er en sikker e-postleverandør som eies av Hush Communications Ltd, som er basert i Vancouver, Canada. Dette selskapet er imidlertid et datterselskap av Hush Communications Corporation, et selskap med base i Delaware, USA. E-postleverandøren ble lansert i 1999, og siden har den blitt en populær tjeneste for forbrukere som ønsker å sende sikre krypterte e-poster.

ProPrivacy.com Score
8 av 10

Sammendrag

Mens Hushmail har et godt rykte for å tilby sikker e-postfunksjonalitet, er det å være basert i Canada langt fra ideelt. Dette er fordi nasjonen er en del av FEM ØYNE og har mange lover som krenker folks personvern - inkludert Bill C-11 som tvinger ISP-er til å utføre obligatorisk oppbevaring av data. Forbindelsene til det amerikanske baserte morselskapet reiser også spørsmål om muligheten for at warrants og gag-ordre blir brukt til å hente data tilbake til USA fra de internasjonale serverne..

I tillegg er Hushmail en proprietær applikasjon med lukket kildekode, noe som betyr at selv om PGP-krypteringen den utnytter for å gi sikre e-postmeldinger er blitt revidert - har Hushmails programvare ikke gjort det. Avhengig av trusselmodellen din, kan disse faktorene sette noen mennesker utenfor tjenesten.

Hurtigstatistikk

  • Land
    Canada

Hvor mye koster Hushmail?

Hushmail tilbyr en gratis prøveperiode som lar brukerne få en følelse av sine tjenester uten å måtte bruke en krone. Gratis får brukere 15 Mb lagringsplass og en e-postadresse.

Premium koster 49,98 dollar og lar folk bruke en ubegrenset mengde aliaser og 10 GB lagringsplass. Tjenesten har også en sikker skjemafunksjon.

Hushmail Premium avgift

For alle som trenger bruk av et tilpasset domene: du må gaffle ut for den dyrere "forretningskontoen". Dette koster $ 5,99 per måned (71,88 dollar per år), per bruker.

Funksjoner

Sammenlignet med mange e-postleverandører, er Hushmail litt tynn på bakken med tanke på funksjoner. Hvis du flytter over fra Google, kan tapet av en kalender, lagring (via stasjon) og regneark være et sjokk. Imidlertid, hvis du bare trenger sikre e-posttjenester, kan Hushmail være nok.

Det er også verdt å merke seg at hvis du ønsker Nedenfor er hele settet med funksjoner som er tilgjengelige på premium:

  • 10 GB lagring
  • Ubegrensede aliaser
  • IMAP, POP-støtte
  • Importer kontakter via CSV
  • Spam / søppelmappe
  • OpenPGP-kryptering
  • To-trinns bekreftelse (SMS, e-post eller app)
  • Sikre skjemaer har funksjonen
  • iPhone-kompatibel

Personvern

Etter Microsofts tap i saken fra Microsoft Corp. mot USA fant den amerikanske høyesterett at amerikanske selskaper har en plikt til å hente ut data fra sine internasjonale servere når de ble servert en befaling av amerikanske myndigheter. For Hushmail, som er et datterselskap av et amerikansk firma, vekker dette bekymring for personvernet over muligheten for knebleordrer.

Disse bekymringene kommer i tillegg til at Hushmail har base i Canada, som er kjent for å samarbeide med FEM ØYE-land for å utføre overvåkning. Alt i alt setter dette noe av et spørsmålstegn over personvernet du kanskje får når du bruker Hushmail - spesielt med tanke på plattformens lukkede kildetype.

For å åpne en Hushmail-konto, trenger du dessuten å godta en viss behandling av personopplysninger. Selskapet informerer også brukere om at de vil overholde myndighetene hvis de får en legitim garanti for å gjøre det. Det er verdt å merke seg på dette tidspunktet at det ikke er noen e-postleverandører av logger på markedet som lar deg registrere deg uten å overlevere personlige detaljer eller en e-postadresse.

Hushmail opprette konto

Hushmails datainnsamling av personlig informasjon er detaljert i personvernreglene som følger:

“Som en del av prosessen med å opprette kontoer, blir IP-adressen din registrert. Vi kan også be om at du oppgir annen informasjon, for eksempel et telefonnummer. Vi bruker denne informasjonen til å analysere markedstrender, samle bred demografisk informasjon og for å forhindre misbruk av våre tjenester. Vi vil ikke dele denne informasjonen med tredjeparter. ”

I tillegg advarer firmaet brukere om at hvis de bestemmer seg for å kjøpe et abonnement, vil følgende data være nødvendige for behandling:

“Navn, kontoen du oppgraderer, domenet du ønsker å bruke til e-posten din, alternativ e-postadresse, faktureringsadressen og kredittkortinformasjonen din. I tillegg registrerer vi IP-adressen der betalingen utføres. Når vi behandler betalingstransaksjonen din, overføres denne betalingsinformasjonen til vår betalingsprosessor. Vi bruker tredjeparts PCI-kompatible tjenester for å behandle betalingstransaksjonen din. Når vi behandler betalingen din, deler vi din IP-adresse, by, land og postnummer med en tredjeparts anti-svindeltjeneste for å bestemme sannsynligheten for at kjøpet blir en uredelig transaksjon. Vi lagrer ikke kredittkortnummeret ditt på serverne våre. "

Dessuten forklarer Hushmail at den vil samle inn data fra deg når og når du logger deg på og bruker tjenesten:

"Informasjon vi registrerer kan omfatte din IP-adresse, nettlesertypen din, nettleserspråk, dato og klokkeslett for handlingen, brukernavn for kontoen, avsender- og mottakerens e-postadresser, filnavn på vedlegg, emner av e-post, URL-adresser i organene til ukryptert e-post og all annen informasjon som vi anser som nødvendig for å registrere for å opprettholde systemet og forhindre misbruk. "

Som du kan se, firmaet samler inn og beholder alle e-postmetadata, antagelig slik at det kan overholde warrants og forespørsler fra rettshåndhevelse hvis det blir presentert dem. Så er det noen bevis for at Hushmail har gitt data til myndighetene?

For det første gir ikke Hushmail en åpenhetsrapport, eller har en Warrant Canary, som så mange av konkurrentene. Dette er synd fordi det betyr at det er umulig for forbrukerne å forstå antallet forespørsler om data de mottar og etterkomme. Med bare litt research er det imidlertid mulig å finne bevis på at Hushmail har sølt informasjon til kanadiske myndigheter.

I 2007 overrakte Hushmail 12 e-poster med verdi av CD-er relatert til tre Hushmail-kontoer. I følge kilder fra saken ga Hushmail klare tekstversjoner av krypterte e-postmeldinger den ikke skal kunne ha tilgang til på grunn av End to End Encryption. Disse dataene ble sendt til US Feds, etter en domstol som ble innhentet gjennom gjensidig hjelpeavtale mellom USA og Canada (FVEY). Saken er ekstremt bekymringsfull og kaster alvorlig tvil om tjenesten og muligheten for at den har en bakdør.

Etter saken innrømmet CTO for Hushmail også at etterretningsbyråer var i stand til å bryte inn krypterte e-poster med målrettede kontoer via sårbarheter i Javascript-nettleserapplikasjonen.

For å være rettferdig på Hushmail er dette et problem for all nettleserbasert kryptering som kjøres med Javascript. Av denne grunn vil alle som ønsker å sende og motta PGP-krypterte e-postmeldinger sikkert uten muligheten for et mann-i-midten-angrep som kan tvinge kompromitterte krypteringsnøkler til både avsenderens og mottakers nettlesere - måtte velge å bruke en e-post service med en dedikert klient. (Hushmail kan brukes på denne måten; hvis du stoler på det.)

På den annen side går den åpenbare innrømmelsen av at denne Java-utnyttelsen faktisk blir utnyttet på Hushmail-brukere ganske mye lenger enn å bare si at det er mulig i teorien, og det er en skarp påminnelse om at det er veldig vanskelig å stole på Amerikanske tjenester som hevder å gi personvern.

Til slutt hatet vi at vi måtte oppgi et telefonnummer på abonnementstrinnet for å motta en SMS-bekreftelseskode. Å måtte oppgi din gamle e-postadresse og et telefonnummer er for inngripende for oss.

Sikkerhet

Hushmail implementerer kryptering for både sending og lagring av e-post på serverne. Imidlertid lagres all e-post sendt ukryptert på Husmails servere som ikke er kryptert, noe som betyr at de kan bli kompromittert hvis firmaet får en garanti. Dette er synd fordi det absolutt ikke er noen grunn til at Hushmail ikke kunne kryptere alle e-postmeldinger som er i ro; inkludert de som ble sendt ukryptert.

Når brukere sender e-post ved å bruke Hushmail, blir deres virkelige IP-adresse skrubbet fra overskriften og erstattes med en IP-adresse som tilhører Hushmail. Dette er bra for sikkerhet fordi mottakeren aldri vil se avsendernes virkelige IP-adresse. Det er imidlertid verdt å merke seg at Hushmail alltid registrerer IP-adressen din når du logger inn på tjenestene; slik at data blir registrert og kunne gjøre dem i myndighetens hender på et senere tidspunkt.

Selv om Hushmail bruker proprietær lukket kildeprogramvare, implementerer den fullt reviderte OpenPGP-standarder for e-postkryptering. Selskapet implementerer også TLS / SSL-kryptering for Transport Layer Security for alle data som blir kommunisert under transport til serverne. For økt sikkerhet implementerer firmaet Hushmail bruker Forward Secrecy, HTTP Strict Transport Security og Certificate Pinning. SSL / TLS-kryptering brukes også når firmaet overfører e-post mellom servere. Denne sikkerheten bør tillate at Man-i-Midt-angrep kan oppstå.

Når det gjelder PGP-kryptering, sikrer Hushmail at hoveddelen og vedleggene som er inne i e-postmeldinger er beskyttet med OpenPGP-kryptering. OpenPGP-kryptering er tilgjengelig gjennom Hushmails webmail-tjeneste og i sin iPhone-app. Det er også tilgjengelig når du får tilgang til Hushmail via IMAP eller POP3.

Som tilfellet er med Tutantoa, har Hushmail en funksjon som lar brukere sende krypterte e-poster til brukere som ikke har Hushmail (eller en annen PGP-kompatibel e-postkonto). Når du sender en kryptert e-post til en ikke-Hushmail bruker, lagres den krypterte e-posten på Hushmail-servere og mottakeren får tilsendt en lenke for å få tilgang til den e-posten som kan dekrypteres via et spørsmål og svar-system som mottakeren må vite svaret for.

Det systemet anses generelt som trygt. Det betyr imidlertid at du må stole på Hushmail, noe som kan føre til at noen forbrukere føler seg kalde. Du må få den dommen til å ringe deg selv avhengig av trusselmodellen din.

For å logge seg på en konto, foreslår hushmail at brukere oppgir en passordfrase. Selskapet opplyser at passordfraser aldri blir lagret på serverne. I stedet blir de omgjort til en hashverdi som passfrasen aldri kan avledes fra.

Hvis brukerne vil, konfigurerer de også tofaktorautentisering på kontoen sin. Dette gjør at de kan motta en kode via en sekundær e-postkonto, via SMS eller ved hjelp av en godkjenningsapp. Hushmail gir et annet sikkerhetstiltak ved å låse kontoer hvis det blir gjort for mange forsøk på å få tilgang til en konto i løpet av kort tid, dette beskytter kontoer mot forsøk på kraft.

I det hele tatt ser det ut som sikkerhet og kryptering på Hushmail-tjenesten. Selv om vi riktignok har sett enda bedre implementeringer som inkluderer Perfect Forward Secrecy og andre sikkerhetstiltak som HSTS, CAA, CSP, MTA-STS og X-XSS.

Brukervennlighet

Å få en Hushmail-konto er like enkelt som å gå til nettstedet og konfigurere det gratis e-postalternativet. Irriterende må du imidlertid oppgi en tidligere e-post og et telefonnummer for å registrere deg og få SMS-aktiveringskoden. Dette er ekstremt inngripende. Med den angitte SMS-koden får du tilgang til e-postkontoen din.

Hushmail webmail rettssak

Gratis brukere får 25 Mb lagringsplass på den e-postadressen som de har satt opp.

Oppgradering til et premiumabonnement gir brukerne et ubegrenset antall aliaser, pseudonymer og midlertidige e-postadresser. I tillegg får brukere 10 GB datalagring. Premium-versjonen lar også abonnenter sette opp to sikre nettformer ved hjelp av dra-og-slipp-skjermbygger.

I motsetning til mange billigere sikre e-postleverandører på markedet, får du ikke noen kule ekstrautstyr som en kalender, lagring (stasjon), webchat, regneark, etc. Du får imidlertid en meget viktig kontaktseksjon som ligger i hamburgeren -menyen øverst til høyre i det nettbaserte grensesnittet. Og i motsetning til hos noen e-postleverandører, er det ekstremt enkelt å se hvordan du importerer kontaktene dine fra din forrige e-postkonto via CSV-format (vCard er ikke tilgjengelig).

Hushmail importerer kontakter

På grunn av mangelen på funksjoner, kan det sies at det ikke er mye av en læringskurve hos denne e-postleverandøren. Med mindre du selvfølgelig ikke er kjent med å håndtere PGP-nøkler; og så må du enten gjøre din egen undersøkelse eller bruke Hushmails nyttige brukerstøtte (FAQ).

For å sende en e-post til en ikke-Hushmail-bruker via PGP, må mottakeren laste opp sin offentlige nøkkel til Hushmails servere. Det er en guide for å få dette til i FAQ.

IMAP og PoP er tilgjengelige for synkronisering mellom enheter, og de er tilgjengelige for både iOS og Android. Det er også gitt guider for bruk av disse nyttige funksjonene.

For de som vil, kan IMAP brukes til å sette opp Hushmail for å jobbe med en frittstående klient som Outlook, MacMail eller Mozilla Thunderbird. Og dette vil forbedre sikkerheten til plattformen sammenlignet med å bruke det nettleserbaserte webmailsystemet (og dets iboende JavaScript-sårbarheter).

Vi liker også at gratis brukere automatisk får en 14 dagers gratis prøveversjon av premien, og det er det jeg brukte til å teste e-postleverandøren i denne anmeldelsen.

Den kanskje største ulempen med gratistjenesten er at kontoer som forblir sovende i mer enn tre uker, automatisk blir slettet. Dette vil sikkert være frustrerende hvis du tilfeldigvis reiser lenge og kommer tilbake for å oppdage at kontoen din er stengt og at du har mistet / savnet noen viktige e-poster du ventet.

Det enkle svaret på dette problemet er selvfølgelig å få et abonnement. Selv om vi tar hensyn til personvernproblemene vi fant med denne tjenesten (og den relativt høye prisen), vil vi generelt anbefale å kjøpe et abonnement andre steder.

Kundeservice

I tillegg til det nyttige FAQ-brukerstøtten - som kommer med forskjellige guider og artikler - kan både gratis og Premium-brukere be om støtte via e-post.

Det finnes ikke noe billettsystem, så du må være tålmodig og vente på svar. Kundestøtte er bare tilgjengelig i USAs stillehavstid. I tillegg til e-poststøtten, kan brukere få telefonsupport (bare tilgjengelig for Premium-abonnenter).

Totalt sett er støtte på plattformen tilstrekkelig, og vi har aldri stått igjen og ventet på svar i mer enn en dag. Med tanke på den høye prisen (sammenlignet med andre tjenester) er det imidlertid synd at Hushmail ikke har en live chat-funksjon på sin hjemmeside.

Konklusjon

Totalt sett fant vi denne e-postleverandørens webbaserte programvare enkel å bruke og enkel å synkronisere på tvers av enheter. Og selv om det kan betraktes som et godt alternativ for nybegynnere (med tanke på brukervennlighet), kan det betraktes som dyrt sammenlignet med andre, mer anerkjente e-postleverandører. Mangelen på funksjoner kan også sette mange forbrukere i betraktning hva som er tilgjengelig med Mailfence, Posteo og mange andre leverandører.

En tidligere sak der Hushmail ga klare tekstkopier av e-post til myndighetene, er ekstremt bekymringsfull og kan bety at Hushmails applikasjoner med lukkede kilder er bakdør. Mangelen på funksjoner kan også utsette noen mennesker.

For å konkludere, vil vi anbefale å se andre steder. Denne e-postleverandørens hjemmebase i Canada og det amerikanske morselskapet etterlater for mange spørsmålstegn rundt personvern og sikkerhet.

Til slutt, fordi det er mulig å få en bedre e-postkonto for under halvparten av prisen - vil vi anbefale å shoppe rundt for en alternativ tjeneste.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me