Skype è abbastanza sicuro per trasmettere le password?

Domande che vorrei pormi prima di usare skype per inviare informazioni sensibili:

1. La crittografia è veramente utente finale all'utente finale o i dati sono crittografati solo tra l'utente e Skype (dando così potenzialmente accesso a Skype)?
2. Come vengono gestiti i registri di messaggistica istantanea? Puoi essere certo di aver "cancellato" la password dal log?
3. Anche se i registri non vengono memorizzati sul disco direttamente su Skype, la memoria utilizzata da Skype per questo non è modificabile? cioè la password potrebbe essere inserita in un file di paging senza che tu ne sia a conoscenza e quindi possa essere recuperata per gli utenti locali?

Prima di soddisfare queste domande la mia risposta dovrebbe essere no.

"Una password" non è abbastanza informazioni per determinare come deve essere protetto. A quali risorse concede la password e a quale livello di accesso?

Skype utilizza una crittografia ragionevolmente strong sulla comunicazione vocale - pensiamo. È closed-source, quindi ciò che sappiamo proviene dalla documentazione e invertire il protocollo . Non puoi guardare il loro codice sorgente per assicurarti che non stiano usando, ad esempio, un'implementazione AES difettosa che perde dati chiave.

Anche se il protocollo è completamente sicuro, è ancora gestito da Skype Limited, una società con sede in Lussemburgo, e di proprietà di Silver Lake Investments, una società di investimento tecnologico con sede a Menlo Park.

Quindi, per tornare all'inizio, cosa stai cercando di proteggere? Se si tratta dei codici di lancio nucleari, di oltre 10.000 dollari di dati finanziari o di segreti di stato lussemburghesi, non utilizzare Skype. Se si tratta di un account utente su un dominio che non interesserebbe un'impresa di investimento di capitali, un piccolo paese europeo o un sindacato criminale con le risorse per sniffare il traffico backbone di Internet, probabilmente Skype è ok.

Skype invia informazioni tra i nodi client di terze parti con un protocollo chiuso. Non fornisce garanzie sulla sicurezza della sua connessione. Ti suggerisco di utilizzare qualcosa come OTR sopra il tuo supporto di messaggistica istantanea.

Oltre a ciò, il solito, "c'è abbastanza rischio da giustificare" si applica la regola. Forse non vale la pena affrontare nel tuo caso.

L'altra domanda è se hai davvero bisogno di inviare una password (cioè un segreto condiviso) direttamente, o se abbia più senso stabilire un canale crittografato usando un metodo che non richiede un canale sicuro.

Ad esempio, se puoi ottenere conferma positiva del fatto che stai parlando con la persona giusta (ad esempio riconoscendo la propria voce al telefono), farli generare una coppia di chiavi asimmetriche e leggere l'impronta digitale della chiave per te sarebbe un percorso di fiducia sufficiente per iniziare una comunicazione crittografata in seguito, mentre un intercettatore non guadagnerebbe nulla.

Sembra che sia un po 'in ritardo ma voglio solo condividere la mia opinione.

Niente è abbastanza sicuro da trasferire le password.

Le password come concetto devono essere solo memorizzate. Memorizzare / trasmettere / comunicare a qualcuno una password riduce istantaneamente la sicurezza di qualsiasi cosa stia proteggendo.

Generalmente non dovresti aver bisogno di dare a nessuno una password che dovrebbe creare un account per se stesso o dovresti creare un account per lui.