Recensione di Hushmail

Hushmail

Hushmail è un provider di posta elettronica sicuro di proprietà di Hush Communications Ltd, con sede a Vancouver, in Canada. Tuttavia, quella società è una consociata della Hush Communications Corporation, una società con sede nel Delaware, negli Stati Uniti. Il provider di posta elettronica è stato lanciato nel 1999 e da allora è diventato un servizio popolare per i consumatori che cercano di inviare e-mail crittografate sicure.

ProPrivacy.com Punto
8 su 10

Sommario

Sebbene Hushmail abbia una buona reputazione nel fornire funzionalità di posta elettronica sicure, la sua sede in Canada è tutt'altro che ideale. Questo perché la nazione fa parte dei CINQUE OCCHI e ha numerose leggi che violano la privacy delle persone, tra cui la legge C-11 che obbliga gli ISP a eseguire la conservazione obbligatoria dei dati. Le sue connessioni con la società madre con sede negli Stati Uniti sollevano anche dubbi sulla possibilità che i warrant e gli ordini di bavaglio vengano utilizzati per estrarre i dati negli Stati Uniti dai suoi server internazionali.

Inoltre, Hushmail è un'applicazione proprietaria chiusa, il che significa che sebbene la crittografia PGP sfrutti per fornire e-mail sicure è stata verificata, il software di Hushmail no. A seconda del modello di minaccia, questi fattori potrebbero scoraggiare alcune persone dal servizio.

Statistiche rapide

  • Nazione
    Canada

Quanto costa Hushmail?

Hushmail offre una versione di prova gratuita che consente agli utenti di farsi un'idea dei propri servizi senza dover spendere un centesimo. Gratis, gli utenti ottengono 15 Mb di spazio di archiviazione e un indirizzo e-mail.

Il premio costa $ 49,98 e consente alle persone di utilizzare una quantità illimitata di alias e 10 Gb di spazio di archiviazione. Il servizio include anche una funzione di moduli sicuri.

Tariffa premium di Hushmail

Per chiunque richieda l'uso di un dominio personalizzato: sarà necessario sborsare per l'account "business" più costoso. Questo costa $ 5,99 al mese ($ 71,88 all'anno), per utente.

Caratteristiche

Rispetto a molti provider di posta elettronica, Hushmail è un po 'sottile in termini di funzionalità. Se stai eseguendo la migrazione da Google, la perdita di un calendario, spazio di archiviazione (tramite unità) e fogli di calcolo potrebbe essere una sorpresa. Tuttavia, se hai solo bisogno di servizi di posta elettronica sicuri, Hushmail potrebbe essere sufficiente.

Vale anche la pena notare che se si desidera di seguito sono disponibili tutte le funzionalità disponibili in versione premium:

  • 10 GB di spazio di archiviazione
  • Alias ​​illimitati
  • IMAP, supporto POP
  • Importa contatti tramite CSV
  • Cartella Spam / Junk
  • Crittografia OpenPGP
  • Verifica in due passaggi (SMS, e-mail o app)
  • Funzionalità moduli sicuri
  • compatibile con iPhone

vita privata

A seguito della perdita di Microsoft nel caso Microsoft Corp. vs. Stati Uniti, la corte suprema degli Stati Uniti ha rilevato che le società statunitensi hanno il dovere di estrarre i dati dai loro server internazionali quando ricevono un mandato dalle autorità statunitensi. Per Hushmail, che è una consociata di una società americana, ciò solleva preoccupazioni sulla privacy riguardo alla possibilità di ordini di bavaglio.

Tali preoccupazioni si aggiungono al fatto che Hushmail ha sede in Canada, che è noto per cooperare con altre nazioni CINQUE OCCHI per eseguire la sorveglianza. Tutto sommato, questo pone un punto interrogativo sulla privacy che potresti guadagnare usando Hushmail, specialmente considerando la natura chiusa della piattaforma.

Inoltre, per aprire un account Hushmail devi accettare un trattamento dei dati personali. La ditta informa inoltre gli utenti che si conformeranno alle autorità qualora ricevano un mandato legittimo per farlo. Vale la pena notare a questo punto che non ci sono fornitori di e-mail di registro sul mercato che ti consentono di iscriverti senza consegnare dettagli personali o un indirizzo e-mail.

Hushmail crea un account

La raccolta di dati personali di Hushmail è dettagliata nella sua politica sulla privacy come segue:

"Come parte del processo di creazione dell'account verrà registrato il tuo indirizzo IP. Potremmo richiedere di fornire anche altre informazioni, come un numero di telefono. Utilizziamo queste informazioni per analizzare le tendenze del mercato, raccogliere ampie informazioni demografiche e prevenire l'abuso dei nostri servizi. Non condivideremo queste informazioni con terze parti. "

Inoltre, l'azienda avvisa gli utenti che se decidono di acquistare un abbonamento saranno richiesti i seguenti dati per l'elaborazione:

"Nome, account che stai aggiornando, dominio che desideri utilizzare per la tua e-mail, indirizzo e-mail alternativo, indirizzo di fatturazione e dati della tua carta di credito. Inoltre, registreremo l'indirizzo IP da cui viene effettuato il pagamento. Quando elaboriamo la transazione di pagamento, queste informazioni di pagamento verranno trasmesse al nostro responsabile del pagamento. Utilizziamo servizi conformi a PCI di terze parti per elaborare la transazione di pagamento. Quando elaboriamo il pagamento, condividiamo l'indirizzo IP, la città, il paese e il codice postale con un servizio antifrode di terze parti per determinare la probabilità che l'acquisto sia una transazione fraudolenta. Non memorizziamo il numero della tua carta di credito sui nostri server ".

Inoltre, Hushmail spiega che raccoglierà i tuoi dati man mano che accederai e utilizzerai il suo servizio:

"Le informazioni che registriamo possono includere il tuo indirizzo IP, il tipo di browser, la lingua del browser, la data e l'ora dell'azione, i nomi utente dell'account, gli indirizzi e-mail del mittente e del destinatario, i nomi dei file degli allegati, gli oggetti delle e-mail, gli URL nei corpi delle e-mail non crittografate e qualsiasi altra informazione che riteniamo necessaria per registrare al fine di mantenere il sistema e prevenire gli abusi. "

Come puoi vedere, l'azienda raccoglie e conserva tutti i metadati delle e-mail, presumibilmente in modo che possa conformarsi ai warrant e alle richieste delle forze dell'ordine se viene presentato con loro. Quindi, ci sono prove che Hushmail trasmetta i dati alle autorità?

Tanto per cominciare, Hushmail non fornisce un rapporto sulla trasparenza né un Warrant Canary, come molti dei suoi concorrenti. È un peccato perché significa che è impossibile per i consumatori comprendere il numero di richieste di dati che stanno ricevendo e rispettando. Tuttavia, con solo un po 'di ricerca è possibile trovare prove della diffusione di informazioni da parte di Hushmail alle autorità canadesi.

Nel 2007, Hushmail ha consegnato 12 CD di e-mail relative a tre account Hushmail. Secondo le fonti del caso, Hushmail ha fornito versioni in testo chiaro di e-mail crittografate a cui non avrebbe dovuto poter accedere a causa della crittografia end-to-end. Tali dati sono stati trasmessi ai federali statunitensi, a seguito di un ordine del tribunale ottenuto tramite il trattato di mutua assistenza tra Stati Uniti e Canada (FVEY). Il caso è estremamente preoccupante e solleva seri dubbi sul servizio e sulla possibilità che abbia una backdoor.

A seguito del caso, il CTO di Hushmail ha anche ammesso che le agenzie di intelligence sono state in grado di penetrare nelle e-mail crittografate di account mirati tramite vulnerabilità nell'applicazione browser Javascript.

Ad essere onesti su Hushmail, questo è un problema per tutta la crittografia basata su browser che viene eseguita con Javascript. Per questo motivo, chiunque desideri inviare e ricevere e-mail crittografate PGP in modo sicuro senza la possibilità di un attacco man-in-the-middle che può forzare chiavi di crittografia compromesse sul browser del mittente e del destinatario, dovrà optare per l'utilizzo di un'e-mail servizio con un cliente dedicato. (Hushmail può essere utilizzato in questo modo; se ti fidi di esso.)

D'altra parte, l'ammissione sincera che questo exploit Java sia effettivamente sfruttato sugli utenti di Hushmail va ben oltre il semplice dire che è possibile in teoria, ed è un forte promemoria del fatto che è molto difficile fidarsi Servizi statunitensi che dichiarano di fornire privacy.

Infine, odiavamo il fatto di dover fornire un numero di telefono in fase di abbonamento per ricevere un codice di verifica SMS. Dover fornire la tua vecchia e-mail e un numero di telefono è troppo invasivo per noi.

Sicurezza

Hushmail implementa la crittografia per inviare e archiviare e-mail sui suoi server. Tuttavia, qualsiasi e-mail inviata non crittografata viene archiviata sui server Husmail non crittografati, il che significa che potrebbero essere compromessi se l'azienda ricevesse un mandato. È un peccato perché non c'è assolutamente alcun motivo per cui Hushmail non possa crittografare tutte le email che sono in pausa; compresi quelli che sono stati inviati non crittografati.

Quando gli utenti inviano e-mail utilizzando Hushmail, il loro indirizzo IP reale è scrubber dall'intestazione e viene sostituito con un indirizzo IP appartenente a Hushmail. Questo è utile per la sicurezza perché il destinatario non vedrà mai l'indirizzo IP reale del mittente. Tuttavia, vale la pena notare che Hushmail registra sempre il tuo indirizzo IP quando accedi ai suoi servizi; in modo che i dati vengano registrati e potrebbero essere trasmessi nelle mani delle autorità in un secondo momento.

Sebbene Hushmail utilizzi software proprietario chiuso, implementa standard OpenPGP completamente controllati per la crittografia della posta elettronica. L'azienda implementa anche la crittografia Transport Layer Security (TLS / SSL) per tutti i dati che vengono comunicati in transito ai suoi server. Per una maggiore sicurezza, l'azienda implementa Hushmail che utilizza Segretezza diretta, Sicurezza di trasporto rigorosa HTTP e Appuntamento certificati. La crittografia SSL / TLS viene utilizzata anche quando l'azienda trasmette e-mail tra server. Questa sicurezza dovrebbe consentire di bloccare gli attacchi Man-in-the-Middle.

Per quanto riguarda la crittografia PGP, Hushmail garantisce che il corpo principale e gli allegati contenuti nelle e-mail siano protetti con la crittografia OpenPGP. La crittografia OpenPGP è disponibile tramite il servizio webmail di Hushmail e all'interno della sua app per iPhone. È disponibile anche quando si accede a Hushmail tramite IMAP o POP3.

Come nel caso di Tutantoa, Hushmail ha una funzione che consente agli utenti di inviare e-mail crittografate a utenti che non dispongono di Hushmail (o di un altro account e-mail PGP compatibile). Quando si invia un'e-mail crittografata a un utente non Hushmail, l'e-mail crittografata viene archiviata sui server Hushmail e al destinatario viene inviato un collegamento per accedere a quell'e-mail che può essere decrittografato tramite un sistema di domande e risposte per cui il destinatario deve conoscere la risposta.

Tale sistema è generalmente considerato sicuro. Tuttavia, significa che devi fidarti di Hushmail, che potrebbe far sentire freddo alcuni consumatori. Dovrai fare in modo che quel giudizio ti chiami in base al tuo modello di minaccia.

Per accedere a un account, hushmail suggerisce agli utenti di inserire una passphrase. L'azienda afferma che tali passphrase non vengono mai archiviate sui propri server. Al contrario, vengono trasformati in un valore con hash da cui la passphrase non può mai essere derivata.

Se gli utenti lo desiderano, impostano anche l'autenticazione a due fattori sul proprio account. Ciò consente loro di ricevere un codice tramite un account di posta elettronica secondario, tramite SMS o tramite un'app di autenticazione. Hushmail fornisce un'altra misura di sicurezza bloccando gli account se vengono effettuati troppi tentativi di accesso a un account in un breve periodo di tempo, questo protegge gli account dai tentativi di forza bruta.

Nel complesso, la sicurezza e la crittografia sul servizio Hushmail sembrano essere buone. Sebbene sia vero, abbiamo visto implementazioni ancora migliori che includono Perfect Forward Secrecy e altre misure di sicurezza come HSTS, CAA, CSP, MTA-STS e X-XSS.

Facilità d'uso

Ottenere un account Hushmail è facile come accedere al suo sito Web e impostare l'opzione di posta elettronica gratuita. In modo fastidioso, tuttavia, è necessario inserire una precedente e-mail e un numero di telefono per registrarsi e ottenere il codice di attivazione SMS. Questo è estremamente invasivo. Con il codice SMS inserito avrai accesso al tuo account e-mail.

Versione di prova della webmail di Hushmail

Gli utenti gratuiti ottengono 25 Mb di spazio di archiviazione sul singolo indirizzo e-mail che hanno impostato.

L'aggiornamento a un abbonamento premium offre agli utenti un numero illimitato di alias, pseudonimi e indirizzi email temporanei. Inoltre, gli utenti ottengono 10 Gb di archiviazione dei dati. La versione premium consente inoltre agli abbonati di configurare due moduli Web sicuri utilizzando il suo generatore di moduli con trascinamento della selezione.

A differenza di molti provider di posta elettronica sicuri più economici sul mercato, non ottieni extra interessanti come un calendario, spazio di archiviazione (unità), webchat, fogli di calcolo, ecc. Tuttavia, ottieni una sezione di contatti molto importante che si trova nell'hamburger menu in alto a destra dell'interfaccia basata sul web. E, a differenza di alcuni provider di posta elettronica, è estremamente facile vedere come importare i contatti dal proprio account di posta elettronica precedente tramite il formato CSV (vCard non è disponibile).

Contatti di importazione di Hushmail

A causa della sua mancanza di funzionalità, si può dire che non c'è molto di una curva di apprendimento con questo provider di posta elettronica. A meno che, ovviamente, non si abbia familiarità con la gestione delle chiavi PGP; e quindi dovrai fare le tue ricerche o utilizzare l'utile Centro assistenza di Hushmail (FAQ).

Per inviare un'e-mail a un utente non Hushmail tramite PGP, il destinatario dovrà caricare la propria chiave pubblica sui server di Hushmail. C'è una guida per farlo nelle FAQ.

IMAP e PoP sono disponibili per la sincronizzazione tra dispositivi e sono disponibili sia per iOS che per Android. Sono anche fornite guide per l'utilizzo di tali utili funzioni.

Per chi lo desidera, IMAP può essere utilizzato per configurare Hushmail in modo che funzioni con un client autonomo come Outlook, MacMail o Mozilla Thunderbird. E questo migliorerà la sicurezza della piattaforma rispetto all'utilizzo del sistema di webmail basato sul browser (e delle sue intrinseche vulnerabilità JavaScript).

Ci piace anche che gli utenti gratuiti ricevano automaticamente una prova gratuita di 14 giorni di premium, che è quello che ho usato per testare il provider di posta elettronica in questa recensione.

Forse il più grande svantaggio del servizio gratuito è che gli account che rimangono inattivi per più di tre settimane vengono automaticamente eliminati. Questo sarà frustrante se ti capita di viaggiare per un lungo periodo e tornare a scoprire che il tuo account è chiuso e hai perso / perso alcune email importanti che ti aspettavi.

Naturalmente, la semplice risposta a questo problema è ottenere un abbonamento. Tuttavia, considerando i problemi di privacy che abbiamo riscontrato con questo servizio (e il prezzo relativamente elevato), in genere consigliamo di acquistare un abbonamento altrove.

Servizio Clienti

Oltre al suo utile Centro assistenza FAQ, fornito con varie guide e articoli, sia gli utenti gratuiti che quelli Premium possono richiedere assistenza via e-mail.

Non esiste un sistema di ticket, quindi dovrai essere paziente e attendere una risposta. L'assistenza clienti è disponibile solo durante l'orario di lavoro negli Stati Uniti del Pacifico. Oltre al supporto e-mail, gli utenti sono in grado di ottenere supporto telefonico (disponibile solo per gli abbonati Premium).

Nel complesso, il supporto sulla piattaforma è adeguato e non siamo mai rimasti in attesa di una risposta per più di un giorno. Tuttavia, considerando l'alto prezzo (rispetto ad altri servizi) è un peccato che Hushmail non abbia una funzionalità di chat dal vivo sul suo sito Web.

Conclusione

Nel complesso, abbiamo riscontrato che il software basato sul Web di questo provider di posta elettronica è facile da usare e facile da sincronizzare su tutti i dispositivi. E, sebbene possa essere considerata una buona opzione per i principianti (in termini di facilità d'uso), può essere considerata costosa rispetto ad altri provider di posta elettronica più affidabili. La sua mancanza di funzionalità può anche scoraggiare molti consumatori, considerando ciò che è disponibile con Mailfence, Posteo e molti altri fornitori.

Un caso precedente in cui Hushmail ha fornito alle autorità copie in chiaro delle e-mail è estremamente preoccupante e può significare che le applicazioni a codice chiuso di Hushmail sono coperte. La mancanza di funzionalità può anche scoraggiare alcune persone.

Per concludere, consigliamo di cercare altrove. La base di residenza di questo provider di posta elettronica in Canada e la sua società madre statunitense lasciano troppi punti interrogativi sulla privacy e sulla sicurezza.

Infine, poiché è possibile ottenere un account e-mail migliore a meno della metà del prezzo, consigliamo di fare acquisti per un servizio alternativo.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me