Mejores prácticas para compartir una contraseña de archivo (.zip) con el destinatario

5

Al compartir documentos confidenciales, es común comprimir y cifrar los archivos con una buena contraseña.

Sin embargo, con demasiada frecuencia, el archivo se envía por correo electrónico como un archivo adjunto con la contraseña en el cuerpo del correo electrónico. Por lo tanto, un atacante con acceso al correo electrónico tiene todo lo que necesita para acceder a los archivos.

Algunos usuarios un poco más inteligentes enviarán un correo electrónico separado con la contraseña, pero esto es solo un poco menos inseguro, ya que no es razonable suponer que el atacante tendrá acceso a todos los correos electrónicos si tiene acceso a uno.

Algunos usuarios aún más expertos enviarán el archivo por correo electrónico y luego llamarán por teléfono al destinatario para que lea la contraseña. Sin embargo, esto invariablemente resulta en una conversación a lo largo de las líneas de:

  

"OK, la contraseña es 'H65TU' ... no, todo en mayúsculas ... sí 'HT65U', luego un símbolo comercial ... el símbolo y ... no, el garabato y ... sí ... luego 3N ... no, no 3 de ellos, solo el número '3' luego 'N' ... sí ... '\ 4J'. Barra invertida. No la otra. A la izquierda del teclado. Eso es todo. ¿Qué quiere decir con que no funcionó? Inténtelo de nuevo ... 'HT5NU' ...

... y así sucesivamente, todo al alcance de otros colegas en la vecindad.

Entonces, ¿cuál es una manera segura, aunque indolora y práctica, de compartir una contraseña única con un usuario final?

    
pregunta Widor 11.04.2016 - 17:49
fuente

3 respuestas

2

Esta es una buena oportunidad para utilizar un sistema de frase de contraseña aleatoria (como Diceware o XKCD 936 ). Una serie de palabras puede ser mucho más fácil de transmitir por teléfono y, sin embargo, las frases de contraseña siguen brindando una buena protección contra las suposiciones o grietas.

El principal obstáculo para el uso de frases de contraseña tiende a ser si el software que está utilizando espera contraseñas más cortas y no acepta estas cadenas más largas. Sé que los archivos de autodescodificación de PGP funcionan bien con frases de contraseña, y creo que el software ZIP moderno también lo hace.

    
respondido por el PwdRsch 11.04.2016 - 17:59
fuente
0

Como una analogía muy aproximada , muchos sistemas 2FA envían un código por SMS. Dudo en sugerir esto como un enfoque dado que es muy probable que el destinatario tenga tanto el correo electrónico como el SMS en el mismo teléfono y no lo asegure correctamente.

El correo de Snail es probablemente demasiado lento.

Por supuesto, puede dividir la contraseña entre una parte telefónica fácil de pronunciar y una parte aleatoria por SMS, con las instrucciones proporcionadas en el correo electrónico. Esto puede ser excesivo, ya que los archivos zip con contraseña no son tan seguros de todos modos: el mecanismo es conocido y, por definición, están disponibles para ataques fuera de línea, por lo que los diccionarios, las tablas de arco iris y la fuerza bruta son todas posibilidades.

    
respondido por el Chris H 11.04.2016 - 18:04
fuente
-1

Use una combinación entre un archivo de texto y una llamada telefónica:

Coloque la contraseña en un archivo de texto sin formato y luego coloque el archivo de texto en un archivo zip protegido por contraseña. (7zip es gratuito y de código abierto). envíeles por correo electrónico el archivo .zip / .rar / .7z cifrado y luego llámelos con su nombre de usuario y la contraseña para el archivo zip.

Esto evita que alguien abra el archivo zip, e incluso si lo hicieran, es solo una contraseña, que no le proporciona nada sin otra información, como el nombre de usuario y dónde usarlo.

    
respondido por el storm 11.04.2016 - 18:30
fuente

Lea otras preguntas en las etiquetas