Enviar información confidencial a través de un enlace de autodestrucción en un correo electrónico

Navega tus respuestas
3

Necesito encontrar una forma sencilla para que las personas dentro de la empresa envíen información confidencial arbitraria a destinatarios arbitrarios. Existe la misma posibilidad de que el remitente y el destinatario utilicen una máquina MAC o Windows. Supongamos que el remitente y el destinatario con frecuencia necesitan compartir información confidencial, no tienen conocimientos técnicos y son impacientes, lo que significa que cualquier cosa que se considere demasiado difícil de entender o que lleve más de un par de pasos no se utilizará (y no ser ejecutable).

He encontrado esta herramienta que parece resolver la mayoría de mis inquietudes: onetimesecret.com.

Básicamente, permite que se ingrese texto y luego genera un enlace autodestructivo que se puede compartir con otros destinatarios por correo electrónico. La principal preocupación es que esté alojado en una organización externa y que solo permita la transferencia de texto. Superaré estos problemas al crear nuestra propia versión, que incluye un servicio de carga de archivos y alojaré en nuestros propios servidores.

Obviamente, esta no es una bala de plata de ninguna manera, pero parece minimizar algunos de los riesgos de enviar información confidencial por correo electrónico. Mi única preocupación restante es que potencialmente hace que la información confidencial esté disponible a través de un enlace público que, de lo contrario, solo estaría disponible si se violara una cuenta de correo electrónico. Por otro lado, ese enlace en teoría solo debería ser accesible si alguien ya tenía acceso al correo electrónico que contiene el enlace. Debido a la complejidad de los enlaces, no parece ser posible forzarlos bruscamente.

Entonces, si uso una solución como esta y envío los enlaces por correo electrónico, ¿estoy haciendo que el archivo tenga más posibilidades de acceso que si estuviera incluido solo en el correo electrónico? No puedo pensar en ninguna otra forma, aparte de acceder al correo electrónico que contiene el enlace o por fuerza bruta, que la información pueda ser violada.

    
pregunta rdans 23.05.2016 - 14:40
fuente

3 respuestas

2

Creo que onetimesecret.com es un servicio muy útil y se ajusta a sus necesidades. Por supuesto, debe compartir la contraseña en un momento diferente por un canal diferente para aumentar la seguridad y evitar el riesgo de comprometer la información confidencial si alguien tiene acceso a la cuenta de correo electrónico. He lidiado con estas situaciones antes y, dependiendo del contexto, he usado varias herramientas (y también una combinación de ellas):

  • Puede usar un almacenamiento en la nube (como Dropbox o Google Drive) para almacenar un archivo protegido de 7zip con la información confidencial.
  • Servidor FTP dentro de su empresa (debe leer acerca de Pure-ftpd en * nix)

Estoy de acuerdo con Philipp, cifrar los correos electrónicos es siempre la alternativa más segura. Pero no siempre es fácil implementar esto.

Una forma fácil de abordar su inquietud y realizar el cifrado es crear una cuenta de correo electrónico en Hushmail.com . El servicio le permite establecer una contraseña en el momento de enviar el correo electrónico (es incluso más fácil que abrirlo por un momento). Pero recuerde, siempre debe compartir la clave de cifrado por un canal diferente.

    
respondido por el Nick C. 23.05.2016 - 15:52
fuente
1

Ya existe una solución para cifrar el correo electrónico: se llama PGP y hay complementos disponibles para la mayoría de los programas de correo electrónico en la mayoría de los programas. sistemas operativos. Su problema principal en el mundo real es que necesita la clave pública de cualquier persona a la que va a enviar un correo electrónico, pero cuando la está usando internamente, puede solucionarlo configurando un servidor de claves en la red de su empresa que administra las claves de todos los empleados.

Algunos lectores de correo electrónico también tienen soluciones propietarias para el cifrado de correo electrónico ( Outlook , por ejemplo). Es posible que desee comprobar si el software que ya está utilizando se ofrece de forma inmediata.

    
respondido por el Philipp 23.05.2016 - 14:51
fuente
1

Donde trabajo, tenemos una solución que detectará automáticamente la información confidencial y reemplazará el contenido con un enlace a un servidor seguro. La compañía que vende esto hace que se convierta en un negocio, por lo que no es una idea loca. Siempre que haga que los enlaces sean imposibles de adivinar (cadenas aleatorias largas y seguras con cifrado). La solución que utilizamos en realidad requiere que los usuarios se autentiquen, por lo que se agrega otra capa de protección.

Como mencionó Philip, PGP y otras soluciones de cifrado de correo electrónico existen, pero si está tratando con usuarios fuera de su organización, probablemente no sea posible configurarlos con lo que necesita. Este tipo de solución es mucho más fácil de implementar. Es posible que desee considerar comprar uno en lugar de tirar el suyo.

    
respondido por el JimmyJames 23.05.2016 - 15:39
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las mejores prácticas para confiar en las fuentes de conexión en software de código abierto? Rastreando el chat de WhatsApp usando Wireshark