Invio di informazioni sensibili tramite un collegamento autodistruttivo in un'email

Naviga le tue risposte
3

Devo trovare un modo semplice per le persone all'interno dell'azienda di inviare informazioni arbitrarie sensibili a destinatari arbitrari. C'è una probabilità uguale che il mittente e il destinatario utilizzeranno un MAC o una macchina Windows. Assumendo che il mittente e il destinatario spesso abbiano bisogno di condividere informazioni sensibili, non sono tecnicamente esperti e sono impazienti, il che significa che tutto ciò che è considerato troppo difficile da comprendere o richiede più di un paio di passaggi non verrà utilizzato (e non essere applicabile)

Ho trovato questo strumento che sembra risolvere la maggior parte delle mie preoccupazioni: onetimesecret.com.

In pratica consente di inserire del testo e quindi genera un collegamento autodistruttivo che può essere condiviso via email con altri destinatari. La preoccupazione principale è che è ospitato da un'organizzazione esterna e che consente solo il trasferimento di testo. Tratterò questi problemi creando la nostra versione che include una funzione di caricamento dei file e che ospiterà sui nostri server.

Ovviamente questo non è un proiettile d'argento, ma sembra minimizzare alcuni dei rischi di inviare informazioni sensibili via email. La mia unica preoccupazione è che potenzialmente mette a disposizione informazioni sensibili su un collegamento pubblico che altrimenti sarebbe disponibile solo se un account e-mail è stato violato. D'altro canto, quel collegamento dovrebbe in teoria essere accessibile solo se qualcuno già avesse accesso all'e-mail contenente il link. A causa della complessità dei collegamenti, non sembra possibile forzarli brutalmente.

Quindi, se utilizzo una soluzione come questa e invii i collegamenti via e-mail, sono in qualche modo in grado di rendere più accessibile il file rispetto a se fosse incluso nella sola e-mail? Non posso pensare in alcun modo, se non accedendo all'e-mail contenente il link o alla forza bruta, che le informazioni potrebbero essere violate.

    
posta rdans 23.05.2016 - 14:40
fonte

3 risposte

2

Penso che onetimesecret.com sia un servizio molto utile e adatto alle tue esigenze. Ovviamente, dovresti condividere la password onetimesecret con un altro canale al fine di aumentare la sicurezza ed evitare il caso di compromettere le informazioni sensibili se qualcuno ha accesso all'account di posta elettronica. Ho già affrontato queste situazioni e, a seconda del contesto, ho usato diversi strumenti (e anche una combinazione di essi):

  • Puoi utilizzare un archivio cloud (come Dropbox o Google Drive) per archiviare un file protetto da 7zip con le informazioni sensibili.
  • Server FTP all'interno della tua azienda (dovresti leggere su Pure-ftpd in * nix)

Sono d'accordo con Philipp, la crittografia delle email è sempre l'alternativa più sicura. Ma non è sempre facile implementarlo.

Un modo semplice per risolvere i tuoi dubbi ed eseguire la crittografia, è creando un account email in Hushmail.com . Il servizio ti consente di impostare una password al momento dell'invio dell'e-mail (è ancora più semplice dell'apertura onetimesecret). Ma ricorda, devi sempre condividere la chiave di crittografia con un altro canale.

    
risposta data 23.05.2016 - 15:52
fonte
1

Esiste già una soluzione per crittografare la posta elettronica: si chiama PGP e ci sono plugin disponibili per la maggior parte dei programmi di posta elettronica sulla maggior parte sistemi operativi. Il suo problema principale nel mondo reale è che è necessaria la chiave pubblica di chiunque invii un'email, ma quando la si utilizza internamente è possibile risolverla impostando un server delle chiavi sulla rete aziendale che gestisce le chiavi di tutti i dipendenti.

Alcuni lettori di e-mail dispongono anche di soluzioni proprietarie per la crittografia e-mail ( Outlook , ad esempio). Potresti voler verificare che cosa il software che stai già utilizzando fornisce subito.

    
risposta data 23.05.2016 - 14:51
fonte
1

Dove lavoro abbiamo una soluzione che rileva automaticamente le informazioni sensibili e sostituisce il contenuto con un collegamento a un server sicuro. La compagnia che vende questo fa affari, quindi non è un'idea pazza. Finché non si riesce a indovinare i collegamenti (lunghe stringhe casuali crittografiche sicure). La soluzione che usiamo in realtà richiede agli utenti di autenticarsi in modo da aggiungere un altro livello di protezione.

Come menzionato da Philip, esistono PGP e altre soluzioni di crittografia e-mail, ma se hai a che fare con utenti esterni alla tua organizzazione, probabilmente non è fattibile impostarli con quello che ti serve. Questo tipo di soluzione è molto più semplice da implementare. Potresti prendere in considerazione l'acquisto di uno anziché il tuo.

    
risposta data 23.05.2016 - 15:39
fonte

Leggi altre domande sui tag

Metodologia Bounty dei bug per un principiante [chiuso] L'impostazione dei cookie di accesso in JavaScript non è sicura?