Qual è un modo sicuro per trasferire una copia di un documento sensibile?

6

Un'istituzione rispettabile e chiaramente identificata mi ha chiesto, per motivi legittimi, di inviare una scansione via e-mail del passaporto. Tuttavia, considero il passaporto un documento sensibile e sono piuttosto riluttante a utilizzare l'e-mail a tale scopo, per questioni di sicurezza generica / generale. Un altro caso, ad esempio, potrebbe essere una fattura, un contratto confidenziale e simili.

Oltre al fax, quali sono alternative sicure e praticabili per il trasferimento della copia di documenti sensibili sul Web?

    
posta XavierStuvw 22.09.2017 - 21:11
fonte

3 risposte

8

se puoi contattare il destinatario con altri mezzi oltre all'email, un modo semplice per inviare contenuti sicuri via email consiste nel mettere il contenuto (immagini, documenti, ecc.) in un contenitore crittografato (un file zip, 7zip, .rar) che è protetto da una password sicura e non facilmente immaginabile. Quindi, dopo aver inviato l'e-mail, contatta il destinatario e fornisci loro la password.

È importante ricordare che questo metodo si basa sulla segretezza del secondo canale per fornire l'accesso ai contenuti inviati via e-mail, quindi una chiamata diretta e un sms di solito sono ok.

    
risposta data 22.09.2017 - 22:29
fonte
3

Se ti fidi di questa istituzione, e che sono chi dicono di essere, consiglierei semplicemente la crittografia. Criptare l'e-mail se l'applicazione e-mail lo supporta e il destinatario lo supporta. Se non riesci a crittografare l'intera e-mail, dovresti perlomeno essere in grado di crittografare un file zippato dell'immagine e fornire la password utilizzata per decrittografarlo in una e-mail separata, o idealmente inviare la password un altro metodo, come un messaggio di testo. Non rendere la password qualcosa che usi regolarmente (dovrebbe essere una password creata appositamente per questo documento).

Un pensiero è che una tale istituzione dovrebbe avere un modo sicuro di creare già per ricevere tali documenti. Dal momento che apparentemente non lo fanno, questo solleva una bandiera rossa. Assicurati di avere davvero a che fare con chi pensi di avere a che fare. Ad esempio, se hai ricevuto una telefonata o qualcosa che lo richiedeva e non l'avevi avviato, è probabile che si tratti di una truffa. Un passaporto sarebbe probabilmente abbastanza utile per un ladro di identità.

    
risposta data 22.09.2017 - 22:35
fonte
0

Fai questo: Apri l'email dove l'istituto ti ha chiesto il passaporto. Fai clic con il tasto destro e seleziona "Mostra intestazioni" o qualcosa di simile.

Quindi controlla la parte superiore "Ricevuto:" - l'intestazione e cammina verso il basso. Ignora qualsiasi intestazione con 127.*.*.* IP, un 192.168.*.* IP o un indirizzo tra 172.16.*.* a 172.31.*.* (in quanto solitamente si tratta di una comunicazione interna tra filtri antispam, motori antivirus e altri software di gestione della posta locali del provider) .

Quando sei arrivato alla prima intestazione pubblica, leggi se è stata utilizzata la crittografia.

Esempio di posta crittografata:

Received: from THE_REPUTABLE_INSTITUTION (THE_REPUTABLE_INSTITUTION [THEIR_IP])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by YOUR_EMAIL_PROVIDER (Postfix) with ESMTPS id C98D076010F
    for <YOUR_EMAIL>; Wed, 20 Sep 2017 09:10:45 +0200 (CEST)

Esempio di una posta non crittografata:

Received: from THE_REPUTABLE_INSTITUTION (THE_REPUTABLE_INSTITUTION [THEIR_IP])
    by YOUR_EMAIL_PROVIDER (Postfix) with SMTP id 1359D7600C2
    for <YOUR_EMAIL>; Sat, 16 Sep 2017 21:03:38 +0200 (CEST)

Ora, quando hai verificato che l'email è crittografata in transito, basta inviare il passaporto. (In realtà, ho avuto difficoltà a trovare un'e-mail non crittografata nella mia casella di posta con oltre 200 e-mail, ecco come è diventata comune la crittografia delle e-mail oggi)

Questo non è un metodo infallibile al 100%, poiché la posta potrebbe essere crittografata solo a senso unico, ad esempio il tuo provider di posta elettronica riceve ma non invia posta crittografata, oppure l'ente invia posta crittografata ma non la riceve.

Ma dovrebbe essere sufficiente per i tuoi scopi. Se non hai ricevuto una mail da loro, basta inviare una email. Come bonus, chiedi loro di "inoltrare l'e-mail originale come allegato", quindi puoi anche vedere se hanno ricevuto l'e-mail crittografata.

Si noti che questo metodo può essere utilizzato solo per comunicazioni non regolamentate, ad es. dove non si è NECESSARI per garantire la comunicazione, ma VUOI. Se esistono norme per proteggere la comunicazione, ad esempio PCI-DSS o HIPAA o similitudine, l'e-mail di solito è specificamente proibita, indipendentemente dalla sua cifratura o meno, e quindi è possibile leggere nei regolamenti come le informazioni dovrebbero essere trasferite. Solitamente una posta elettronica con registrazione insufficiente se non urgente, è consentita l'invio di fax.

    
risposta data 22.09.2017 - 21:28
fonte