Best practice per condividere una password di file (.zip) con il destinatario

Naviga le tue risposte
5

Quando si condividono documenti riservati, è normale comprimere e cifrare i file con una buona password.

Tuttavia, troppo spesso il file viene inviato via email come allegato con la password nel corpo dell'email. Pertanto un utente malintenzionato con accesso alla posta elettronica ha tutto ciò di cui ha bisogno per accedere ai file.

Alcuni utenti un po 'più esperti invieranno un'e-mail separata contenente la password, ma questo è solo marginalmente meno insicuro in quanto non è irragionevole presumere che l'attaccante abbia accesso a tutte le e-mail se ne ha accesso.

Alcuni utenti più esperti invieranno via email il file, quindi telefoneranno al destinatario per leggere la password. Tuttavia, questo invariabilmente si traduce in una conversazione sulla falsariga di:

"OK, the password is 'H65TU'... no, all caps... yes 'HT65U' then an ampersand... the and symbol... no, the squiggly and... yeah... then 3N... no, not 3 of them, just number '3' then 'N'... yep... 'J'. Backslash. No the other one. On the left of the keyboard. That's it. What do you mean it didn't work? Right try it again... 'HT5NU'...

... e così via, tutti a portata d'orecchio di altri colleghi nelle vicinanze.

Quindi cos'è un modo sicuro, semplice e indolore di condividere una password una tantum con un utente finale?

    
posta Widor 11.04.2016 - 17:49
fonte

3 risposte

2

Questa è una buona opportunità per utilizzare un sistema passphrase casuale (come Diceware o XKCD 936 ). Una serie di parole può essere molto più facile da trasmettere al telefono e tuttavia le passphrase offrono ancora una buona protezione contro l'ipotesi o il cracking.

L'ostacolo principale per l'uso della passphrase tende ad essere se il software che stai utilizzando richiede password più brevi e non accetta queste stringhe più lunghe. So che gli archivi di auto-decrittografia PGP funzionano bene con le passphrase e credo che anche il moderno software ZIP lo faccia.

    
risposta data 11.04.2016 - 17:59
fonte
0

Come un'analogia molto approssimativa , molti sistemi 2FA inviano un codice via SMS. Esito a suggerire questo come approccio dato che è molto probabile che il destinatario abbia sia l'e-mail sia l'SMS sullo stesso telefono e non lo protegga correttamente.

La posta di una lumaca è presumibilmente troppo lenta.

Ovviamente potresti dividere la password tra una parte facile da parlare e una parte casuale via SMS, con le istruzioni fornite nell'email. Questo potrebbe essere eccessivo dato che i file zip con password non sono comunque così sicuri: il meccanismo è noto e sono per definizione disponibili per attacco off-line, quindi i dizionari, le tabelle arcobaleno e la forza bruta sono tutte possibilità.

    
risposta data 11.04.2016 - 18:04
fonte
-1

Utilizza una combinazione tra un file di testo e una telefonata:

Inserisci la password in un file di testo semplice, quindi rilascia il file di testo in un file zip protetto da password. (7zip è gratuito e open-source). invia loro via email il file .zip / .rar / .7z criptato e poi chiamali con il loro nome utente e la password per il file zip.

Questo impedisce a chiunque di aprire il file zip, e anche se lo facessero, è solo una password, che non ti dà nulla senza altre informazioni, come nome utente e dove usarlo.

    
risposta data 11.04.2016 - 18:30
fonte

Leggi altre domande sui tag

Il governo può davvero irrompere in un iPhone attraverso la sovrascrittura di codice fisico? Server compromesso. Passi per determinare ulteriori danni sulla rete? [chiuso]